Danıştay 15. Daire

Esas Numarası: 2016/10500

Karar Tarihi: 06.07.2017

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (Yürütmesinin Durdurulması – Kişisel Verileri Koruma Kurulu’nun Kontrol ve Denetiminden Geçirilmeksizin Hazırlanan ve Resmi Gazete’de Yayımlanarak Yürürlüğe Giren Davaya Konu Düzenlemede Mevzuata ve Hukuka Uygunluk Bulunmadığı)

Kişisel Verileri Koruma Kurulu (Kişisel Verilerin Korunması Konusunda Genel Nitelikte Kontrol ve Denetim Yetkisine Sahip Olduğu – Kurulun Kontrol ve Denetiminden Geçirilmeksizin Hazırlanan Düzenlemede Hukuka Uygunluk Bulunmadığı/Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin Yürütmesinin Durdurulması)

Kişisel Verileri Koruma Kurulu’ndan Görüş Alınmasının Şart Olduğu (Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin Yürütmesinin Durdurulması – Kişisel Verileri Koruma Kurulu’nun Kontrol ve Denetiminden Geçirilmeksizin Hazırlanan Düzenlemede Mevzuata ve Hukuka Uygunluk Bulunmadığı)

Kurum ve Kuruluşlarca Hazırlanan ve Kişisel Verilere Dair Hükümler İçeren Mevzuat (Kişisel Verileri Koruma Kurulu’nun Kontrol ve Denetiminden Geçirilmeksizin Hazırlanan Düzenlemede Hukuka Uygunluk Bulunmadığı – Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin Yürütmesinin Durdurulması)

2709/m.20/3, 6698/m.21,22/1-h, 5237/m.135

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşmesi/m.9/2

Özet: Dava; Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptali istemine ilişkindir. Kişisel Verileri Koruma Kurulu’nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulun’dan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu’nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve Resmi Gazete’de yayımlanarak yürürlüğe giren davaya konu düzenlemede bu sebeple mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.

İstemin Özeti: 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptali istenilmektedir.

Sağlık Bakanlığı’nın Savunmasının Özeti: Kişisel Verilerin işlenmesine İlişkin Usûl ve Esasların Ancak Kanunla Düzenlenebileceği iddiası hakkında; Anayasa’nın 20. maddesinin üçüncü fıkrasının son cümlesinde “Kişisel verilerin korunmasına dair esas ve usuller kanunla düzenlenir.” hükmünün bulunduğu, Anayasa’da, “Kişisel verilerin otomatik işleme tabi tutulmasına dair usûl ve esasların ancak kanunla düzenlenebileceğine” dair herhangi bir hüküm bulunmadığı, davacının, aynı fıkranın bir önceki “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” cümlesi ile bu hükmü karıştırdığının düşünüldüğü, ayrıca, Yönetmeliğin dayanağı olan 663 Sayılı KHK’nın 47. maddesinin, 6698 Sayılı Kanun’un 30. maddesinin yedinci fıkrası ile düzenlendiği, dolayısı ile kişisel sağlık verilerinin işlenmesine dair usûl ve esasların Bakanlıkça yürürlüğe konulacak bir yönetmelikle düzenleneceği hususunun, 6698 Sayılı Kanun’un emredici hükmüne dayandığı,

Anayasa’nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun’un 07.04.2016 tarihi itibariyle yürürlükte olduğu ve Anayasa’nın 20. maddesinde öngörülen hükmün bu Kanun ile yerine getirildiği, iç hukukta uygun güvencelerin sağlanması ön koşulunun yerine getirilmediğini iddia etmenin, yürürlükte olan Kanunu yok saymak anlamına geldiği,

6698 Sayılı Kanun m. 6/IV Uyarınca Yeterli Önlemlerin Henüz Belirlenmemiş Olduğu iddiası hakkında; 6698 Sayılı Kanun’un yürürlüğe girmiş olması ve 6. maddesinin dördüncü fıkrasında değinilen yeterli önlemlerin henüz belirlenmemiş olmasının, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi için ileri sürmenin izahtan vareste olduğu, bu iddianın doğruluğunu savunmanın, özel nitelikli kişisel verilerden olan kişisel sağlık verilerinin yalnızca Sağlık Bakanlığı tarafından değil; aynı zamanda hiçbir kişi (hekim), kurum ve kuruluş (özel ve kamu sağlık tesisleri) tarafından işlenmemesini de beraberinde getireceğinin ki bunun da ülkemizdeki tüm sağlık hizmetlerinin durması anlamına geleceği, hatta dernek üyeliğinin de özel nitelikli kişisel veriler arasında zikredilmiş olması göz önünde bulundurulduğunda, davacı Türk Dermatoloji Derneği ile Türk Psikiyatri Derneğinin kendi üyelerine dair verileri işleyemeyecekleri, dernek üyesi olmaları gerekçesiyle üyelerine hiçbir iş ve işlemde bulunamayacakları, ki bu durumun hayatın olağan akışına aykırı olduğu nitekim 6698 Sayılı Kanun’un 6. maddesinin dördüncü fıkrasında öngörülen ve Kurul tarafından belirlenecek yeterli önlemlerin alınması şartının, yalnızca aynı maddenin üçüncü fıkrası uyarınca istisnai hallerde işlenen özel nitelikli kişisel veriler için de geçerli olduğu Kanun hükmünün yalnızca Sağlık Bakanlığı değil; özel nitelikli kişisel veri işleyen tüm gerçek kişiler ile özel hukuk ve kamu hukuku tüzel kişilerini bağladığı, dolayısı ile özel nitelikli kişisel verilerin işlenmesinde gerekli olan yeterli önlemlerin Kurul tarafından henüz belirlenmemiş olması hususunu, kişisel sağlık verilerinin Sağlık Bakanlığı tarafından işlenememesi için bir gerekçe olarak sunmanın tutarlı hiç bir tarafı bulunmadığı, 6698 Sayılı Kanun’un 6. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, bu yeterli önlemlerin ise Kurul tarafından henüz belirlenmediği,

6698 Sayılı Kanun’un 22. maddesinin birinci fıkrasının (h) bendi gereği kişisel verilere dair hüküm içeren mevzuat taslaklarını hazırlarken Kurul’dan görüş alınmasının zorunlu olduğu davacı tarafından iddia edilmekte ise de, Kanun’da böyle bir zorunluluk bulunmadığı, ilgili hükümde, “Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında görüş bildirmek” hususunun, Kurulun görev ve yetkileri arasında zikredildiği, bu hükmün, Yönetmeliğin çıkartılmasında Kuruldan görüş alınmasının zorunlu olduğu anlamına gelmediği, ayrıca, Yönetmeliğin çıkartıldığı tarihte Kurulun henüz teşekkül etmediği, teşekkül etmeyen bir Kuruldan görüş alınmasının da mümkün olmadığı, Kanun’un Geçici 1. maddesinin 1. fıkrası uyarınca en geç 07.10.2016 tarihinde oluşması gereken Kurul’un bu tarihten ancak aylar sonra oluşturulduğu, Yönetmeliğin ise 20.10.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdiği,

Dava konusu Yönetmelik hükümlerinin, en başta Anayasa olmak üzere kişisel veriler hukuku ile ilgili milletlerarası hukuk kurallarına, kanunlara ve hizmet gereklerine tamamiyle uygun olduğu savunulmaktadır.

Kişisel Verileri Koruma Kurumu’nun Savunmasının Özeti: 12 Ocak 2017 ‘de, 6698 Sayılı Kanun’un 21. maddesi hükümlerine göre, -en son iki üyesi 4 Ocak 2017’de TBMM Genel Kurulu Kararıyla seçilmiş- seçilen Kişisel Verileri Koruma Kurulu üyelerinin Yargıtay 1. Başkanlık Kurulu huzurunda yemin ettikleri, 30 Ocak 2017’de Başkan ve 2 Başkanın seçildiği, Kurum tarafından halihazırda başta hizmet birimlerinin çalışma usul ve esaslarını belirleyen teşkilat yönetmeliğinin hazırlanması ile diğer mevzuat hazırlıkları, idari ve teknik çalışmalarının yürütüldüğü,

Sağlık Bakanlığı tarafından çıkarılan davaya konu yönetmeliğin hazırlanma sürecinde Kurumun dahlinin bulunmadığı, işbu davada taraf sıfatına haiz olmadıkları,

Anayasa’nın 20. maddesinin 3. fıkrasındaki, kişisel verilerin korunmasına dair esas ve usullerin kanunla düzenlenmesi hükmünün, bu alanın yalnızca kanunla düzenleneceği anlamına gelmediği,

Anayasa’nın 20. maddesinde öngörülen kanun olan 6698 Sayılı Kanun ile düzenleme altına alman fiillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun tereddütsüz olarak belirlendiği, suç teşkil eden fiiller bakımından da Kanundan önce yürürlükte bulunan Türk Ceza Kanunu’nun 135-140. maddelerine özel olarak atıfta bulunulduğu, sağlık verilerinin özel nitelikli kişisel veri olduğu, bu konunun da Kanunun 6. maddesiyle düzenlendiği özel nitelikli kişisel verilere rastgele, dayanaksız bir müdahalede bulunulmasının söz konusu olmadığı savunulmaktadır.

Danıştay Tetkik Hakimi Düşüncesi: Yönetmeliğin iptali istenen maddelerinin incelemesine geçilmesi gerektiği düşünülmektedir.

Türk Milleti Adına

Hüküm veren Danıştay Onbeşinci Dairesince davalı idarelerin birinci savunmaları alındıktan sonra incelenmesine karar verilen yürütmenin durdurulması istemi, savunmaların verildiği görülmüş olmakla incelenerek işin gereği görüşüldü:

Karar: Dava, 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin muhtelif maddelerinin ve tümünün yürütmesinin durdurulması ve iptali istemiyle açılmıştır.

Davacılar, Anayasa’da kişisel verilerin otomatik işleme tabi tutulmasına dair usul ve esasların ancak kanunla düzenlenebileceği belirtilmişken, sağlık verilerinin işlenme ve korunma kurallarının yönetmelikle düzenlendiği,

6698 Sayılı Kanun’da sağlık gibi özel nitelikli verilerin işlenmesinde uyulacak önlemleri belirlemekle yetkili olan Kişisel Verileri Koruma Kurulu oluşturulmadan alana dair düzenleme yapıldığı, Kanunun 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşların kişisel verilere dair hüküm içeren mevzuat taslaklarını hazırlarken Kurul’dan görüş almasının zorunlu olduğu,

Dava konusu düzenlemede sağlık hizmeti ilişkisinin iki tarafı olan hekimlerin sır saklama başta olmak üzere mesleki hak ve yükümlülükleri ile veri sahibi hastanın haklarının yok sayıldığı, bu durumun aynı zamanda hastanın Anayasa’nın 56. maddesinde güvence altına alınan sağlık hakkını ihlal ettiği,

Sağlık verilerinin rıza alınmaksızın işlenebileceği istisnai hallerin Yönetmelik ve dayanak kanunda, ülkemizce usulüne uygun olarak onaylanarak yürürlüğe giren 1981 tarihli ve 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşme”ye aykırı biçimde geniş tutulduğu, özel hayatın korunması ilkesinin özünün zedelendiği,

Sözleşmenin 9. maddesinin 2. fıkrasında sağlık verilerinin işlenmeme yasağına sadece devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi ile ilgili kişinin veya başkasının hak ve özgürlüklerinin korunması” halinde istisna getirilebileceği; ancak bu istisnaların da kanunla düzenlenmesinin ve demokratik bir toplumda zorunlu olmasının ön koşul olduğu, maddenin 1. fıkrasına göre ise sayılan bu haller dışında devletlerin başka istisnai halleri düzenleyemeyeceği,

Dava konusu Yönetmeliğin “Kişisel sağlık verilerinin işlenmesi” başlıklı 7 maddesinin 1 fıkrasında “Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik tıbbî teşhis tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği”nin belirtilerek sözleşmedeki hallerin keyfi biçimde genişletildiği, bu maddenin 6698 Sayılı Kanun’un 6 maddesinin 3. fıkrasının aynen tekrarı olduğu, diğer dayanak 663 Sayılı KHK’nın 47 maddesinin 2. fıkrasında da yer aldığı,

Maddede sayılan hallerin hiçbirinin demokratik bir toplumda gerekli, elzem, amaçla orantılı ve ölçülü bir tedbir olmadığı,

Neredeyse hiçbir istisna hali bırakılmaksızın niteliği ne olursa olsun tüm sağlık verilerinin işlenmesi kamu kurumlan arasında paylaşılması ve uluslararası güçlere aktarılmasının toplumsal kaygılarla kişileri sağlık hizmeti almaktan alıkoyabileceği, kişilerin bilgilerini kamusal olarak kaydedilmesinden endişe ederek’ bazı temel hak ve hürriyetleri kullanmaktan imtina edebilecekleri,

Bu sebeplerle Yönetmeliğin 8. maddesinin 1. fıkrası ile 7. maddesinin 1. fıkrasının ve bu fıkranın dayanağı olan 6698 Sayılı Kanun’un 6. maddesinin 3. fıkrasının ve 663 Sayılı KHK’nın 47. maddesinin, Anayasa’nın 2., 17., 20., 56. maddelerine, 108 Sayılı Sözleşmenin 9 maddesinin 2. fıkrasına ve BİYOTIP Sözleşmesinin özel hayat ve bilgi edinme hakkına yönelik 10. maddesine aykırılığından hareketle Anayasa’nın 90. maddesine aykırı olduğu,

Nitekim, 6698 Sayılı Kanun’un bir çok hükmünün ana muhalefet partisi tarafından Anayasa Mahkemesi’ne götürüldüğü, bu hükümler içerisinde 6. maddesinin 3 fıkrasının 663 Sayılı KHK’nın 47. maddesinin de bulunduğu,

Yönetmeliğin sağlık verilerinin korunmasına dair yeterli ve objektif hükümler içermediği,

6. maddenin, 2. fıkrasındaki “Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır.”

7. fıkrasının son cümlesindeki “Yetkilendirme, kayıt altına alma ve verilerin muhafazasına dair hususlar, Genel Müdürlükçe belirlenir.”

8. fıkrasındaki “Kişisel sağlık verilerinin bulunduğu bilgi sistemlerine erişen kullanıcıların erişim kaydı, sağlık hizmet sunucularının sistemlerinde Bakanlıkça belirlenen standartlara uygun olarak tutulur.”

7. maddenin 4. fıkrasındaki “Kişisel sağlık verilerinin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemler de alınır.”

8. maddenin 3. fıkrasındaki “Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır.” ibarelerinde sağlık verilerini korumanın yöntemi, esasları, kapsam, tam belirlenmeden idareye ucu açık, çevresi çizilmemiş, sınırsız bir yetki verildiği; yönetmelikle düzenlenmesi gereken hususların idarenin keyfine bırakıldığı kişisel sağlık verilerinin idare tarafından işlenerek içeriği belirsiz protokoller ile diğer kamu kurum ve kuruluşlarına aktarılabileceği, veri sahiplerinin ise bu protokol içeriklerine müdahale edemeyecekleri, aktarımda uygulanacak kuralların belirli biçimde düzenlenmemesi ve protokole bırakılması sebebiyle aktarımda uyulacak esasların da bilinemeyeceği,

Yönetmeliğin 4. maddesinin 1. fıkrasının (o) bendinde yer alan veri sorumlusunun 6698 Sayılı Kanun’un 3. maddesinin (ı) bendinin aynen tekrar, olduğu, 11. maddesinde de veri sorumlusunun görevi, yetkileri ve sorumluluk sınırlarının düzenlendiği, ancak veri sorumlusunun kim olacağının belirtilmediği, oysa sağlık verilerini işlemeye girişen bu sistemi kuran sağlık hizmet sunucularını buna uymaya zorlayan idarenin bu sorumluluğu da üstlenerek veri sorumlusu olarak kabulünün gerektiği, veri sorumlusunun kim olacağının yoruma yer bırakmayacak şekilde açıkça düzenlenmesinin gerektiği, yani mevcut hükümlerin noksan düzenleme sebebiyle hukuka aykırı oldukları,

Sağlık verisi sahibinin Anayasa ve 108 numaralı Sözleşme ile güvence altına alınan haklarının yönetmelikle ortadan kaldırıldığı,

Örneğin, veri sahibi kişilerin tutulan tutulan sağlık verilerinin başka kurumlara ya da özel firmalara aktarılmasına rıza göstermeme gibi bir hakka sahip olmadığı, bu durumun verilerin silinmesini talep hakkı için de geçerli olduğunu, Yönetmeliğin 15. maddesinin 5. fıkrasında “ilgili kişi, kişisel sağlık kaydı sistemi üzerinden kendisine dair sağlık verilerini yönetebilir bu verileri silebilir, eksik bilgilerinin sisteme eklenmesini, yanlış bilgilerin düzeltilmesini veya silinmesini talep edebilir, kullanıcı hesabını dondurabilir” düzenlemesine yer verildiğini, ancak verilerin asıl tutulduğu ve Bakanlığın elinde olan sistemin “Merkezi Sağlık Veri Sistemi” olduğu veri sahibinin bu sisteme müdahale olanağının bulunmadığı, sadece kendi kendi hesabı olan kişisel sağlık kaydı sistemi üzerinde değişiklik yapmasının bir anlamının bulunmadığı,

Yönetmeliğin 5. maddesinin 2. fıkrasının (d) bendine göre sağlık verilerinin işlendikleri amaç için gerekli olan süre kadar saklanabileceğinin belirtildiği, ancak verilerin hangi süreden sonra silineceğinin düzenlenmediği, 9. maddenin 3. fıkrasında işlenen sağlık verilerinin yerel veri tabanından 10 yıl sonra silineceğinin belirtildiği, ancak sistemin ana bilgi deposu olan merkezi sağlık veri sisteminden ne zaman silineceğinin düzenlenmediği,

9. maddenin 1. fıkrasındaki “Bu Yönetmelik, 6698 Sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.” ibaresi ile idareye takdir hakkı tanındığı oysa işlenme sebebi ortadan kalkar kalkmaz verinin silinmesinin esas olması gerektiği,

9. maddenin 2. fıkrası ile sağlık verisi sahibinin silinme talep etmesine rağmen idare tarafından “bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesi” gibi son derece muğlak ve her durumu kapsayan hallerde verilerin silinmeyip arşivlendiği,

Bu nedenlerle, Yönetmeliğin 9. maddesinin 1., 2. ve 3. fıkralarının hukuka aykırı olduğu,

Yönetmelikle “Kişisel Sağlık Verileri Komisyonu” adı altında dayanak yasalarda öngörülmeyen bir komisyonun oluşturulduğu, Kişisel Verileri Koruma Kurulunun yurtdışına veri aktarılmasına karar verme yetkisinin Komisyona verildiği,

“Sağlık Verileri Komisyonu” başlıklı 12. maddenin 1. fıkrasında “Kişisel sağlık verilerine dair hususlarda, Kanunun ve Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlık politikasının belirlenmesine yardımcı olmak, görüş belirtmek anlaşmazlıkları çözümlemek veri aktarımına dair başvurular, değerlendirmek şikayetleri incelemek ve gerekli denetimleri yapmak üzere, Müsteşara bağlı olarak görev yapacak Kişisel Sağlık Verileri Komisyonunun oluşturulduğu”

2 fıkrasında “Komisyonun, Müsteşarın veya görevlendirdiği Müsteşar Yardımcısının başkanlığında Hukuk Müşavirliği, Sağlık Hizmetleri Genel Müdürlüğü, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü, Acil Sağlık Hizmetleri Genel Müdürlüğü, Türkiye Kamu Hastaneleri Kurumu, Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve Tıbbi Cihaz Kurumu ve Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğünün bu işle ilgili yetkilendirildikleri birer üyeden üyeden oluşacağının” düzenlendiği,

Alana dair önemli kararlar, alan sürekli kurulların Bakanlıkların görev ve yetkisini düzenleyen kanunlarda açıkça düzenlenmiş ya da kurulmasına olanak sağlanmış olmasının şart olduğu, bu haliyle Komisyonun kuruluş meşruiyetini yasadan alan, tarafsız ve alana dair meslek örgütlerinin katılımıyla oluşan bir oluşum olmadığı, bu sebeple 12. maddenin tamamının hukuka aykırı olduğu,

Yönetmeliğin 8. maddesinin 4. fıkrasındaki “Kişisel sağlık verilerinin uluslararası aktarımına dair her türlü talep ile bu maddede sayılanlar dışındaki veri aktarım talepleri Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir” ibaresinin, 6698 Sayılı Kanun’un 9. maddesine açıkça aykırı olduğu, Kanunda yurt dışına veri aktarılmasına yönelik talepler hakkında karar verme yetkisinin Kişisel Verileri Koruma Kurulu’nda olduğunu ileri sürerek, düzenlemenin yürütmesinin durdurulması ve iptalini istemektedirler.

07.04.2016 tarihli ve 29677 Sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye Büyük Millet Meclisine sunulan genel gerekçesinden de anlaşılacağı üzere, kişisel verilerin korunması konusunun pek çok sektörü ve kamu ya da özel pek çok kurumu ilgilendirmesi sebebiyle bir “çerçeve kanun” olarak hazırlanmıştır.

Bu Kanuna neden ihtiyaç duyulduğunu açıklayan genel gerekçede Türk Ceza Kanunu’nun 135 vd. maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma başlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmaktadır. Ayrıca 2010 yılında Anayasa’nın 20. maddesinde yapılan düzenlemeyle kişisel verilerin korunması temel bir insan hakkı olarak güvence alınmış ve konuya dair usul ve esasların kanunla düzenleneceği öngörülmüştür.

Genel gerekçede, kişisel verilerin korunmasına yönelik bir kanuni düzenleme olmamasının uluslararası ilişkiler açısından da sorunlar yarattığı, EUROPOL EUROJUST gibi Avrupa kurumları ile ilişkilerin sekteye uğradığı, sağlık kuruluşlarınca tutulan kişisel verilerin güvenliğinin sağlanmasında yeterli yasal önlem olmamasının Avrupa İnsan Hakları Mahkemesince özel hayatın gizliliğine müdahale olarak kabul edildiği ve bu sebeple ihlal kararları verildiği belirtilmektedir. Yine genel gerekçede, bu Kanunun Türkiye’nin Avrupa Birliğine üyelik süreci açısından da önemine dikkat çekilmekte, Türkiye’nin, Avrupa Konseyi tarafından tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ne de 1981 yılından itibaren taraf olduğu ifade edilmektedir.

Bütün bu hususlardan anlaşılacağı üzere 6698 Sayılı Kanun, kişisel verilerin korunması konusunda önemli bir yasal boşluğu doldurmak amacıyla kabul edilen çerçeve niteliğinde bir yasal düzenlemedir. Genel gerekçede yer verilen şu tespit Kanun ile oluşturulan Kişisel Verileri Koruma Kurulu’nun genel kontrol ve denetleme işlevlerine dikkat çekmesi bakımından önemlidir. “Ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum bulunmamaktadır. Bunun bir sonucu olarak halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.”

6698 Sayılı Kanun’un 21. maddesi hükümlerine göre oluşturulan Kişisel Verileri Koruma Kurulunun görev ve yetkileri, aynı Kanun’un 22. maddesiyle belirlenmiştir. 22. maddenin 1. fıkrasının (h) bendinde “Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında görüş bildirmek” hükmüne yer verilmiştir

Anılan Kanun’un, “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin 1. fıkrasında davaya konu Yönetmelikle düzenlenen, sağlık verilerinin de özel nitelikli kişisel veri olduğu belirtilmiş; maddenin 4. fıkrasında, “özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü getirilmiştir.

6698 Sayılı Kanun’un Geçici 1. maddesi hükmü uyarınca, Kanunun 21. maddesine göre oluşturulacak Kişisel Verileri Koruma Kurulu’nun Kanunun Resmi Gazetede yayımlandığı 7/4/2016 tarihinden itibaren altı ay içinde üyelerinin seçiminin tamamlanması gerekmekte iken, bu yasal gerekliliğin ancak 30.01.2017 tarihinde yerine getirilebildiği anlaşılmaktadır.

Davalıların savunmaları ve dosya içeriğinden, davaya konu yönetmeliğin Resmi Gazete’de yayımlandığı tarih olan 20.10.2016’da Kişisel Verileri Koruma Kurulu’nun henüz oluşturulmadığı, dolayısıyla 6698 Sayılı Kanun’un 6. maddesinin 4. fıkrasında belirtilen yeterli önlemlerin Kurul tarafından belirlenmediği ve Kanun’un 22. maddesinin 1. fıkrasının (h) bendine göre diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında Kurul görüşü alınmadan davaya konu düzenlemenin tesis edildiği görülmektedir.

Yukarıda yer verilen genel gerekçe ve Kanun hükümlerine göre, Kişisel Verileri Koruma Kurulu’nun kişisel verilerin korunması konusunda genel nitelikte bir kontrol ve denetim yetkisine sahip olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere dair hükümler içeren mevzuat taslakları hakkında Kişisel Verileri Koruma Kurulun’dan görüş alınmasının şart olduğu, Kişisel Verileri Koruma Kurulu’nun kontrol ve denetiminden geçirilmeksizin hazırlanan ve 20.10.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren davaya konu düzenlemede bu sebeple mevzuata ve hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır.

Sonuç: Açıklanan nedenlerle, olayda 2577 Sayılı İdari Yargılama Usulü Kanunu’nun 4001 Sayılı Kanun ile değişik 27. maddesinin 2. fıkrasında sayılan koşullar gerçekleşmiş olduğundan yürütmenin durdurulması isteminin kabulüne, 20.10.2016 tarihli ve 29863 Sayılı Resmi Gazetede yayımlanarak yürürlüğü giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin yürürlüğünün durdurulmasına, bu kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri Kurulu’na itiraz yolu açık olmak üzere, 06.07.2017 tarihinde oyçokluğu ile karar verildi.

Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr

Open chat