Danıştay 10. Daire Başkanlığı 2019/10238 E. , 2023/6569 K.
"İçtihat Metni" T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2019/10238
Karar No : 2023/6569
DAVACI : … Sendikası
VEKİLİ : Av. …
DAVALILAR : 1- … Bakanlığı
VEKİLLERİ : Av. …
Hukuk Müşaviri …
2- … Kurumu
VEKİLİ : Av. …
DAVANIN_KONUSU : 21/06/2019 tarih ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesinin dördüncü fıkrasının, 6. maddesinin birinci fıkrasının ve 14. maddesinin iptali istenilmektedir.
DAVACININ İDDİALARI : Davacı tarafından, 6197 sayılı Eczacılar ve Eczaneler Hakkında Kanun’da serbest eczanelerin il sağlık müdürlüğünce düzenlenmiş ve valilikçe onaylanmış bir ruhsatname ile açılacağı ve teftişin nasıl olacağı hususunun düzenlendiği, ancak dava konusu Yönetmelik hükümlerinde, 6197 sayılı Kanun hükümlerine aykırı şekilde eczanelerde kişisel verilerin gizliliğinin sağlanması hususunda alınacak tedbirlerin kesin ve net olarak belirlenmediği, eczacıların ceza tehdidi altında bırakıldığı, dava konusu hükümler ile kişisel sağlık verilerinin mahremiyeti sağlanmaya çalışılırken eczacıların özel mevzuatları ile çelişen ve uygulanması fiilen imkânsız olan yükümlülükler yüklendiği, anılan düzenlemelerin eczacıların sağlık hizmeti sunumunu ve hastaların ilaca ulaşım sürecini aksatacağı, vatandaşların sağlık hizmeti giderlerinin Sosyal Güvenlik Kurumu tarafından karşılandığı, Sosyal Güvenlik Kurumu ile sağlık hizmet sunucusu olan eczaneler arasında protokol yapılarak hizmet satın alındığı, bu işlemler sırasında sigorta harcamalarının kontrolü amacıyla kişilerin daha önce geçirdiği ve devam eden hastalıkları, kullandığı ve kullanmakta olduğu ilaçları, ilaç kullanım raporları gibi her türlü sağlık verisinin MEDULA denilen veri tabanında saklanmakta olduğu, eczacıların kişisel sağlık verilerine hastanın ömrü boyunca ulaşmasının gerekli olduğu, mevzuat gereği eczanede satılan tüm ilaçların elektronik ortamda kaydedildiği ve denetimlerde istenilmesi halinde sunulmak üzere saklanmasının gerektiği, bu nedenle kişisel verilerin imhasına yönelik düzenlemenin hukuka aykırı olduğu, ayrıca eczacıların fiilen eczanelerde hasta ve hasta yakınlarının çeşitli sorunları ile muhatap oldukları, hastalığın çeşidi ve uygulanan tedavi şekli hususunda yükümlülüklerinin bulunduğu, dava konusu düzenlemelerde kişisel sağlık verileri sebebiyle eczacılar için getirilen yükümlülüklerin muğlak, müphem ve hizmet gereklerine aykırı olduğu, dava konusu düzenlemelerin iptaline karar verilmesi gerektiği ileri sürülmektedir.
DAVALILARIN_SAVUNMALARI : Davalı Sağlık Bakanlığı tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun genel amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, bağımsız nitelikte olan Kişisel Verileri Koruma Kurulunun, Kişisel Verileri Koruma Kurumunun karar organı olduğu, anılan Kurulun ilke kararı alma yetkisine sahip olduğu, ilke kararlarının Resmî Gazete'de yayımlandığı, yayımlanan ilke kararlarının bağlayıcı nitelikte olduğu, dava konusu Yönetmeliğin 5. maddesinin dördüncü fıkrasının Kişisel Verileri Koruma Kurulunun 21/12/2017 tarih ve 2017/62 sayılı kararında alınan ilke kararı gereği getirildiği, 6698 sayılı Kanun'un "Genel ilkeler" başlıklı 4. maddesinin ikinci fıkrasının (ç) bendinde "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" hükmüne yer verildiği, Yönetmeliğin iptali istenilen 6. maddesinin birinci fıkrası uyarınca da sağlık hizmeti sunumunda görevli kişilerin ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilmesinin, Kanun'da yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin bir gereği olduğu, Yönetmeliğin dava konusu edilen 14. maddesinde yer alan düzenlemenin de 6698 sayılı Kanun'un 7. maddesinin gereği olduğu, dava konusu edilen hükümlerin 6197 sayılı Kanun'a aykırılık teşkil etmediği, eczacıların kendilerine verilen yetki ve görevleri yerine getirirken 6698 sayılı Kanun ve yönetmeliklerine uygun hareket etmeleri gerektiği, dava konusu hükümlerin Anayasada öngörülen temel hak ve hürriyetler arasında sayılan kişisel verilerin korunmasını isteme hakkının bir gereği olduğu, davanın reddi gerektiği savunulmaktadır.
Davalı Kişisel Verileri Koruma Kurumu tarafından, Kişisel Verileri Koruma Kurulunun, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 22. maddesinin birinci fıkrasının (h) bendi ve Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmelik gereğince dava konusu Yönetmelik taslağına ilişkin görüşlerini Sağlık Bakanlığına bildirdiği, Yönetmeliğin hazırlanma sürecinde başka bir görevi ve sürece dahlinin mümkün bulunmadığı, bu nedenle Kurumun hasım mevkiinden çıkarılması gerektiği, 6698 sayılı Kanun, 1 nolu Cumhurbaşkanlığı Kararnamesi ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu kapsamında Sağlık Bakanlığı tarafından hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin yayımlandığı, kişisel sağlık verilerinin 6698 sayılı Kanun'a uygun şekilde, yeterli önlemler alınmak kaydıyla ya ilgili kişinin açık rızası ya da ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, 6698 sayılı Kanun kapsamında veri sorumlusunun kişisel veri işleme faaliyetlerini yerine getirirken, kişisel verilerin korunması için alınacak güvenlik önlemlerinin neler olduğu ve detayları hususlarında da karar verme yetkisine sahip olduğu, kişisel veri saklama ve imha politikasına ilişkin esaslar, kişisel veri saklama ve imha politikasının kapsamı, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin ilkelerin ve bunlara ilişkin uygulanacak teknik yöntemler ve kişisel verilerin işlenme sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Kişisel Verileri Koruma Kurulu kararları ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi hazırlandığı ve kamuoyuna sunulduğu, dava konusu Yönetmelik ile de veri güvenliğine ilişkin olarak bu düzenleyici işlemlere atıf yapıldığı, kişisel sağlık verilerinin işlenmesinde asıl önemli olanın 6698 sayılı Kanun'da sayılan genel ilkelere ve Kanun'un emredici kurallarına uygun bir veri işleme faaliyetini gerçekleştirebilmek ve bu faaliyetler esnasında kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini önlemek veya kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri içeren bir veri kayıt sistemi oluşturabilmek olduğu, bu kapsamda dava konusu Yönetmelik'te veri sorumlusu olarak Sağlık Bakanlığının özellikle kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemeye yönelik düzenlemelere yer verildiği, dava konusu Yönetmeliğin 5. maddesinin dördüncü fıkrasında, sağlık ve bankacılık sektörü başta olmak üzere banko, gişe, masa gibi hizmet alanlarında kişisel verilerin korunmasına yönelik olarak Kişisel Verileri Koruma Kurulu tarafından verilen 21/12/2017 tarihli ve 2017/62 sayılı ilke kararına paralel düzenleme yapıldığı, Sağlık Bakanlığının 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında sayılan amaçlarla sınırlı olmak üzere, kişisel sağlık verilerine sağlık personelinin erişimine ilişkin kurallar koyması, söz konusu verilere Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak erişim sağlanıp sağlanmadığı hususlarında yetkilendirdiği birimleri vasıtasıyla yeniden değerlendirme yaparak teknik ve idari tedbirleri almasının Kanun'dan doğan yükümlülüklerinin gereği olduğu, buna göre Yönetmeliğin 6. maddesinin birinci fıkrasına göre sağlık hizmet sunumunda görevli kişilerin ilgili kişinin sağlık verilerine ancak verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilecekleri, anılan hükmün 6698 sayılı Kanun’un genel ilkeleri düzenleyen 4. ve 6. maddeleri ile uyumlu olduğu, 6698 sayılı Kanun ile ikincil düzenlemeler uyarınca kişisel sağlık verilerinin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ve bu sürenin sona ermesi halinde de silinmesi, yok edilmesi veya anonim hale getirilmesinin 6698 sayılı Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği olduğu, bu kapsamda dava konusu edilen 14. madde hükmünün de 6698 sayılı Kanun'a uygun olduğu, davanın reddi gerektiği savunulmaktadır.
DANIŞTAY TETKİK HAKİMİ : …
DÜŞÜNCESİ : Dava konusu düzenlemelerin üst hukuk normları ile hukuka uygun olduğu, davanın reddi gerektiği düşünülmektedir.
DANIŞTAY SAVCISI : …
DÜŞÜNCESİ : Dava; 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesinin dördüncü fıkrasının, 6. maddesinin birinci fıkrasının ve 14. maddesinin iptali istemiyle açılmıştır.
Dava konusu Yönetmeliğin 5. maddesinin dördüncü fıkrası yönünden yapılan inceleme:
Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Genel ilke ve esaslar" başlıklı 5. maddesinin dördüncü fıkrasında, "Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır." kuralı yer almaktadır.
Dava konusu Yönetmeliğin dayalı olduğu, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde, kişilerin sağlığı ile ilgili verilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği hükme bağlanmış ise de, anılan kişi, kurum ve kuruluşların söz konusu kişisel sağlık verilerinin Yasa hükmünde belirtilen kişi ve amaçlar dışında kullanılmasını önleyecek tedbirleri almakla yükümlü oldukları açıktır.
Belirtilen durum karşısında, kişisel sağlık verilerinin sağlık hizmeti sunumunda görevli yetkisiz kişiler tarafından öğrenilmesini önleyecek tedbirleri içeren inceleme konusu Yönetmelik kuralında üst norm olan Yasa hükümlerine ve hukuka aykırılık görülmemiştir.
Dava konusu Yönetmeliğin 6. maddesinin birinci fıkrası yönünden yapılan inceleme:
Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Sağlık personelinin verilere erişimi" başlıklı 6. maddesinin birinci fıkrasında, "Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir." kuralına yer verilmiştir.
Kişisel Sağlık Verileri Hakkında Yönetmeliğin dayalı olduğu, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun yukarıda anılan 6. maddesinde, kişilerin sağlığı ile ilgili verilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği hükme bağlandığı halde, incelenen Yönetmelik kuralı ile sağlık hizmeti sunumunda görevli olan ve sır saklama yükümlülüğü bulunan kişilerin kişisel sağlık verilerine erişim hakkının sadece verilecek olan sağlık hizmetinin gereği ile sınırlı hale getirildiği anlaşılmaktadır.
Bu durumda dava konusu Yönetmeliğin 6. maddesinin, sağlık hizmeti sunumunda görevli olan ve sır saklama yükümlülüğü bulunan kişilere Yasa ile verilen kişisel sağlık verilerine erişim hakkının sınırlandırılması sonucuna yol açan birinci fıkrasının üst norm olan 6698 sayılı Yasa hükümlerine ve hukuka aykırı olduğu sonucuna varılmıştır.
Dava konusu Yönetmeliğin 14. maddesi yönünden yapılan inceleme:
Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Kişisel sağlık verilerinin imha edilmesi" başlıklı 14. maddesinde, "Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir." düzenlemesi yer almaktadır.
Dava konusu Yönetmeliğin 14. maddesinin, üst norm olan 6698 sayılı Yasanın kişisel verilerin silinmesi veya yok edilmesine ilişkin 7. maddesi ile getirilen düzenlemeye ve hukuka aykırı olmadığı tespit edilmiştir.
Sonuç:
Açıklanan nedenlerle, dava konusu Yönetmeliğin 5. maddesinin dördüncü fıkrası ile 14. maddesi yönünden davanın reddi gerektiği; anılan Yönetmeliğin 6. maddesinin birinci fıkrasının ise iptali gerektiği düşünülmektedir.
TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
Üye … 'un kişisel verilere ilişkin düzenlemeler içeren ve dava konusu düzenlemenin dayanaklarından olan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin birinci, ikinci (son cümlesi hariç), üçüncü, dördüncü ve altıncı fıkralarının, Anayasa'nın 20. ve 104. maddelerine aykırı olduğu, bu nedenle anılan kuralların iptali istemiyle Anayasa Mahkemesine başvurulması gerektiği oyuna karşılık, Anayasa Mahkemesine başvurulmasına gerek olmadığına oyçokluğuyla karar verilerek ve davalı idarelerden Kişisel Verileri Koruma Kurumunun usul itirazı da yerinde görülmeyerek işin esasına geçildi.
MADDİ OLAY VE HUKUKİ SÜREÇ :
Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiş olup, anılan Yönetmeliğin 5. maddesinin dördüncü fıkrasının, 6. maddesinin birinci fıkrasının ve 14. maddesinin iptali istemiyle bakılmakta olan dava açılmıştır.
İNCELEME VE GEREKÇE:
İlgili Mevzuat:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin birinci fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; üçüncü fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun,
"Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü;
"Kapsam" başlıklı 2. maddesinde, "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü;
"Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü;
"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü;
"Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.
Öte yandan, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiş; ek 11. maddesinin üçüncü fıkrasında, "Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılır. Uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir." hükmüne yer verilmiştir.
10/07/2018 tarih ve 30474 sayılı Resmi Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin Sağlık Bakanlığının düzenlendiği Onüçüncü Bölümünde yer alan "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.
Buna göre, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla ve 3359 sayılı Kanun ile 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.
Anılan Yönetmeliğe göre, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri; veri sorumlusu ise, kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Hukuki Değerlendirme:
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş ve kişisel verilerin işlenme şartları düzenlenmiştir. Anılan Kanun'un 5. maddesinde, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Maddenin ikinci fıkrasında ise ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği durumlar öngörülmüştür.
Bununla birlikte Kanun'un 6. maddesinde, sağlık verileri, özel nitelikli (hassas) kişisel veri olarak sayılmış ve işlenmesi özel kurallara bağlanmıştır. Sağlık verileri, ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Maddenin taslak gerekçesinde, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirileceği belirtilmiş, diğer yandan 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinde de, kamu veya özel sağlık kuruluşlarına başvuranların kişisel verilerinin işlenebileceği düzenlenmiş, Bakanlığın, toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurulacağı, kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği hükme bağlanmıştır.
Bu durumda davalı Sağlık Bakanlığının özel nitelikteki sağlık verilerinin toplanması ve işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu açıktır.
Dava konusu Yönetmeliğin 5. maddesinin dördüncü fıkrasının incelenmesi:
Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesinde kişisel sağlık verilerinin işlenmesinde uyulacak genel ilke ve esaslar belirlenmiş; anılan maddenin birinci fıkrasında, kişisel verilerin işlenmesinde 6698 sayılı Kanun'un 4. maddesinde yer alan genel ilkeler başta olmak üzere, anılan Kanun'da yer alan bütün esaslara riayet edileceği kurala bağlamıştır.
Aynı maddenin dava konusu edilen dördüncü fıkrasında ise, "Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır." kuralına yer verilmiştir.
Davacı tarafından, söz konusu düzenlemenin 6197 sayılı Eczacılar ve Eczaneler Hakkında Kanun hükümleri aşılarak eczacıların eczanelerinde hizmet alanların başkalarına ait kişisel verileri öğrenmelerini engellemek amacıyla alacakları tedbirlerin kesin ve net olarak belirlemeden eczacıların ceza tehdidi altında bırakıldığı iddia edilmektedir.
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinde herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu düzenlenmek suretiyle, kişisel verilerin korunması hakkının, özel yaşama saygı hakkı içerisinde, onun bir uzantısı olarak değerlendirildiği görülmekle, bu anlamda Devlete herkesin kişisel verilerini korumak konusunda bir görev ve ödev yüklenmiştir.
Kişisel verilerin korunmasına yönelik çerçeve kanun olan 6698 sayılı Kanun'un "Genel ilkeler" başlıklı 4. maddesinde, kişisel verilerin, ancak bu Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği belirtildikten sonra, işlenirken uyulması zorunlu ilkeler tek tek sayılmıştır. Buna göre, kişisel veriler işlenirken, hukuka ve dürüstlük kurallarına uygun olmalı; doğru ve gerektiğinde güncel olmalı; belirli, açık ve meşru amaçlar için işlenmeli; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Aynı zamanda, Kanun'un 5. maddesinde de kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmış; devamında da, hangi hallerin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olabileceğine ilişkin istisnalar gösterilmiştir.
Bununla birlikte, anılan Kanun'un 3. maddesinin birinci fıkrasının (ı) bendinde, "veri sorumlusu", kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmış; yine aynı Kanun'un 12. maddesinin birinci fıkrasında da veri sorumlusuna, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü verilmiştir.
Öte yandan, özel nitelikli (hassas) kişisel verilerinin işlenme şartları hususunda Kanun'un 6. maddesinde özel düzenlemelere yer verilmiş; anılan maddede kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin özel nitelikli kişisel veri olduğu kabul edilmiş; özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış; sayılan verilerden sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği düzenlenmiş; bununla birlikte sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği kurala bağlanmıştır. Anılan maddenin son fıkrasına göre de, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şart koşulmuştur.
Yine kişisel sağlık verilerine ilişkin olarak, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin dördüncü fıkrası gereğince, davalı Sağlık Bakanlığı, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri almakla yükümlü tutulmuştur.
Bu doğrultuda, özel nitelikli kişisel veri kategorisindeki kişisel sağlık verilerinin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi yollarla bu verilerin işlenmesinin, bir kamu hizmeti olan sağlık hizmetinin kaliteli ve etkin şekilde sunulması, kamu sağlığının korunması ve bilimsel araştırmaların geliştirilmesi için gerekli olduğu, kanuni dayanağı bulunan bu gerekliliğin kamu yararına hizmet ettiği açık olmakla birlikte, kişisel sağlık verilerin işlenmesinin ve aktarılmasının, Anayasanın 13. maddesindeki temel hakların sınırlandırılmasına ilişkin ilkelerin yanı sıra 6698 sayılı Kanun ile belirlenen ilkelere uygun olması, veri sorumlularının, anılan Kanun kapsamındaki tüm yükümlülüklerini yerine getirmesi ve bu verilerin güvenliğini ve mahremiyetini sağlamak amacıyla yeterli önlemleri ve teknik ve idari tedbirleri almaları zorunludur.
Bu zorunluluk karşısında, kişisel sağlık verilerinin işlenmesi ve aktarılması esnasında veri sorumlusu olan davalı Sağlık Bakanlığı tarafından, bu verilerin korunmama veya üçüncü kişilerle paylaşılma riskini bertaraf etmek amacıyla en üst düzeyde veri güvenliğinin sağlanması ve korunması gerekmektedir.
Yapılan değerlendirmeler ışığında, dava konusu hükümde, sağlık hizmeti sunucuları tarafından, banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirlerin alınacağının düzenlendiği, görevi gereği belli amaçla ve sınırlı olarak işlediği kişisel sağlık verilerinin korunması hususunda ödev ve yükümlülükleri bulunan davalı idare tarafından, anılan düzenlemenin kişisel sağlık verilerinin hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik olarak getirildiği anlaşılmaktadır. Buna göre, kişisel sağlık verilerinin güvenliğinin sağlanmasına yönelik olarak düzenlediği anlaşılan dava konusu hükümde kamu yararına, hizmet gereklerine ve hukuka aykırılık bulunmamaktadır.
Öte yandan, 6698 sayılı Kanun'un "Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir." şeklindeki 15. maddesinin altıncı fıkrası uyarınca Kişisel Verileri Koruma Kurulunca alınan 21/12/2017 tarih ve 2017/62 sayılı İlke Kararında, "Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen; bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına" karar verildiği görülmekle, dava konusu düzenlemenin anılan İlke Kararına da uygun olduğu anlaşılmakla iptalini gerektirecek bir yönü bulunmamaktadır.
Dava konusu Yönetmeliğin 6. maddesinin birinci fıkrasının incelenmesi:
Yönetmeliğin 6. maddesinde sağlık personelinin verilere erişimi düzenlenmiş olup, anılan maddenin birinci fıkrasında "Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir." kuralına yer verilmiştir.
Davacı tarafından, dava konusu düzenlemenin eczacıların sağlık hizmeti sunumunu ve hastaların ilaca ulaşım sürecini aksatan nitelikte olduğu, Sosyal Güvenlik Kurumu ile sağlık hizmet sunucusu olan eczaneler arasında protokol yapılarak hizmet satın alındığı, bu işlemler sırasında sigorta harcamalarının kontrolü amacıyla kişilerin daha önce geçirdiği ve devam eden hastalıkları, kullandığı ve kullanmakta olduğu ilaçları, ilaç kullanım raporları gibi her türlü sağlık verisinin MEDULA denilen veri tabanında saklanmakta olduğu, eczacıların kişisel sağlık verilerine hastanın ömrü boyunca ulaşmasının gerekli olduğu iddiasıyla iptali istenilmektedir.
Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Ancak söz konusu hak mutlak ve sınırsız olmayıp Anayasa'nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere kanunla sınırlanabilir. Nitekim Türkiye'nin imzaladığı ancak uygulama kanununun yürürlüğe konamaması nedeniyle taraf olmadığı 1981 tarih ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği öngörülmüştür. Bu nedenle, kişisel verilerin korunması temel hakkına kamu yararı nedenlerine dayalı olarak müdahale edilebilmesine olanak tanınmaktadır. (AYM, E.2014/180, K.2015/30, 19/03/2015, § …)
Bu bağlamda, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verilerin korunması hakkına yapılacak müdahalenin sınırlarının belirlenmesi maksadıyla çıkarılan 6698 sayılı Kanun'un 4. maddesinde kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş, bu ilkeler arasında belirli, açık ve meşru amaçlar için işlenme ilkesine yer verilmiş, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesi ve bu amacın meşru olması zorunlu tutulmuştur.
Yine, Kanun'da sayılan genel ilkeler arasında kişisel verilerin işlenmesinin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olmasını, amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerekli kılmıştır. Buna göre, kişisel sağlık verilerin işlenmesinde ve aktarılmasında, Anayasa'da temel hakların sınırlandırılmasına ilişkin yer alan ilkelerin yanı sıra 6698 sayılı Kanun ile belirlenen ilkelere de uyulması zorunludur.
Bununla birlikte aynı Kanun'un 6. maddesinin üçüncü fıkrasına göre de, kişisel sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
Bu durumda, sağlık hizmetinin sunumu sırasında kişisel sağlık verilerine erişebilen sağlık personelinin, bu verilere ancak verilen sağlık hizmetinin gereği ile sınırlı olarak erişebilmesine ilişkin getirilen düzenlemenin kişisel verilerin işlenmesinde belirlenen temel ilkeler ile Anayasa ve 6698 sayılı Kanun gereği olduğu, düzenlemede üst hukuk normlarına ve hukuka aykırılık bulunmadığı sonucuna varılmıştır.
Dava konusu Yönetmeliğin 14. maddesinin incelenmesi:
Yönetmeliğin dava konusu edilen "Kişisel sağlık verilerinin imha edilmesi" başlıklı 14. maddesinde "Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir." kuralı yer almaktadır.
6698 sayılı Kanun'un "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinde "Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir." hükmüne yer verilmiş; anılan düzenleme ile kişisel verileri işleyen veri sorumlularına kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu verileri silme, yok etme ve anonim hale getirme yükümlülüğü yüklenmiştir.
Nitekim 6698 sayılı Kanun'un 4. maddesinde kişisel verilerin işlenmesine ilişkin olarak yer verilen genel ilkeler arasında ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şartına yer verilmiş olmakla, gerekli olan sürenin sona ermesinden sonra veri sorumlusu tarafından kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiği muhakkaktır.
Bu amacın yerine getirilebilmesi için söz konusu Kanun'un 7. maddesine dayanılarak Kişisel Verileri Koruma Kurumu tarafından 28/10/2017 tarih ve 30224 sayılı Resmî Gazete’de Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayımlanmış ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar belirlenmiştir. Anılan Yönetmelikte kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi "imha" olarak ifade edilmiştir.
Bu çerçevede, kişisel sağlık verilerinin imha edilmesinde 6698 sayılı Kanun'un 7. maddesinde verilen ödevler kapsamında davalı Sağlık Bakanlığı tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe atıfta bulunularak anılan Yönetmelik hükümlerine riayet edileceğine ilişkin getirilen dava konusu maddede hukuka aykırılık bulunmamaktadır.
KARAR SONUCU :
Açıklanan nedenlerle;
1. DAVANIN REDDİNE,
2. Ayrıntısı aşağıda gösterilen toplam … TL yargılama giderinin davacı üzerinde bırakılmasına,
3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca belirlenen … TL vekâlet ücretinin davacıdan alınarak davalı idarelere verilmesine,
4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra istemi halinde davacıya iadesine,
5. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 07/11/2023 tarihinde oy birliğiyle karar verildi.
Dilekçeniz oluşturuluyor. Bu süreç biraz zaman alabilir, ancak sıkılmamanız için aşağıda dilekçe oluşturulmasını istediğiniz konuda benzer içtihatları listeledik. İncelemek isteyebilir veya bekleyebilirsiniz. Dilekçeniz oluşturulduktan sonra ekranda sizinle paylaşılacaktır. Sabrınız için teşekkür ederiz!