DANIŞTAY İDARE DAVA DAIRELERI KURULU

DANIŞTAY İDARİ DAVA DAİRELERİ KURULU         2023/2654 E.  ,  2024/179 K.
"İçtihat Metni" T.C.
D A N I Ş T A Y
İDARİ DAVA DAİRELERİ KURULU
Esas No : 2023/2654
Karar No : 2024/179

TEMYİZ EDEN (DAVACI) : … AŞ
VEKİLLERİ : Av. …, Av. …

KARŞI TARAF (DAVALI) : … Kurumu
VEKİLİ : Av. …

İSTEMİN KONUSU : Danıştay Onüçüncü Dairesinin 23/05/2023 tarih ve E:2021/1362, K:2023/2556 sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in 2. maddesinin 1. fıkrasının, 7. maddesinin 1. fıkrasının, 8. maddesinin 1. fıkrasının (ç) ve (e) bentlerinin, 11. maddesinin 1. fıkrasının, 13. maddesinin 2. ve 4. fıkralarının, Geçici 1. maddesinin 2. fıkrasının iptali istenilmiştir.
Daire kararının özeti: Danıştay Onüçüncü Dairesinin 23/05/2023 tarih ve E:2021/1362, K:2023/2556 sayılı kararıyla;
Anayasa'nın "Özel hayatın gizliliği” başlıklı 20., "Tüketicilerin korunması” başlıklı 172. maddeleri; 5809 sayılı Elektronik Haberleşme Kanunu'nun "İlkeler” başlıklı 4. maddesinin 1. fıkrasının (b) ve (l) bentleri, "Kurumun görev ve yetkileri” başlıklı 6. maddesinin 1. fıkrasının (c), (s), (y) bentleri, "İşletmecinin hak ve yükümlülükleri" başlıklı 12. maddesinin 2. fıkra, "Şeffaflığın sağlanması ve bilgilendirme” başlıklı 49. maddesi ile "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51. maddesine yer verilerek,
5809 sayılı Kanun'un “Kişisel verilerin İşlenmesi ve gizliliğin korunması” başlıklı 51. maddesinin Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararıyla, "Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumu'na veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır." şeklindeki gerekçeyle iptal edilmesi üzerine; 6639 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun'un 32. maddesi ile 5809 sayılı Kanun'un 51. maddesi yeniden düzenlendiği, söz konusu maddenin bazı maddelerinin iptali istemiyle tekrar Anayasa Mahkemesine başvurulması üzerine, Anayasa Mahkemesinin 02/11/2016 tarih ve E:2015/61, K:2016/172 sayılı kararıyla, iptal talebinin reddine karar verildiği,
5809 sayılı Kanun'un, Anayasa Mahkemesinin anılan kararı uyarınca yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kuralların herhangi bir duraksamaya yer vermeyecek açıklıkta belirlendiği, maddenin son fıkrasında, uygulamaya ilişkin usul ve esasların Kurum tarafından belirleneceğinin kurala bağlandığı,
Söz konusu yetkiye dayanılarak davalı idare tarafından, 5809 sayılı Kanun'un 51. maddesinin uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil konuların düzenlenmesi amacıyla, tüketicilerin korunması, sektörün ihtiyaçları ve teknolojide yaşanan gelişmeler de dikkate alınarak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Taslağının hazırlandığı, 17/03/2020 tarih ve 2020/DK-THD/077 sayılı Kurul kararı ile anılan Taslağın kamuoyu görüşlerinin alınabilmesini teminen Kurumun internet sitesinde otuz (30) gün süre ile yayımlanmasına karar verildiği, Kuruma iletilen kamuoyu görüşlerinin değerlendirilmesi sonrasında, Taslağın, görüşleri alınmak üzere Kişisel Verileri Koruma Kurumuna (KVKK) gönderildiği anlaşılmakta olup, Kuruma iletilen KVKK görüşleri dikkate alınmak suretiyle, 5809 sayılı Kanun'un 4., 6.,12., 49., 51. ve 60. maddeleri dayanak alınarak, 17/10/2019 tarih ve 30921 sayılı Resmî Gazete’de yayımlanan 2019/22 sayılı Cumhurbaşkanlığı Genelgesi uyarınca, 2002/58/AT sayılı Direktif başta olmak üzere ilgili AB mevzuatı da göz önünde bulundurularak hazırlandığı anlaşılan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girdiği,
Dava konusu Yönetmelik'in "Kapsam" başlıklı 2. maddesinin 1. fıkrası yönünden;
Yönetmelik'in 2. maddesinin 1. fıkrasında, Yönetmelik'in, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsadığının belirtildiği,
Davacı tarafından, anılan maddede tüzel kişilerin de Yönetmelik kapsamına alındığı, oysa tüzel kişilere ait verilerin kişisel veri olarak nitelendirilemeyeceği, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda sadece gerçek kişilere ait kişisel verilerin koruma altına alındığının ileri sürüldüğü,
5809 sayılı Kanun'un 3. maddesinin 1. fıkrasında, "abone"nin, bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi; "kullanıcı"nın ise, aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi olarak tanımlandığı; elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin 2002/58/AT sayılı Direktif'te tüzel kişileri de kapsayacak düzenlemelere yer verildiği; öte yandan, 2002/21/EC sayılı Çerçeve Direktif'te de "tüketici" tanımının yanı sıra "abone", "kullanıcı" ve "son kullanıcı" tanımlarına yer verildiğinin görüldüğü,
Kanun koyucu tarafından, elektronik haberleşme sektörüne ilişkin konuların, tüketicilerin veya kişisel verilerin gizliliğinin korunması gibi genel nitelikli kanunlardan ayrılarak, elektronik haberleşme sektörüne özgü uluslararası düzenlemelerin de dikkate alınması suretiyle 5809 sayılı Kanun ile düzenlediği; bu kapsamda, kişisel verilen gizliliğinin korunmasına ilişkin tüm sektörleri ilgilendiren genel düzenlemeler 6698 sayılı Kanun'da yapılmış olmasına rağmen, elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğinin korunmasına ilişkin özel düzenlemelerin 5809 sayılı Kanun'un 51. maddesinde yapıldığı; 5809 sayılı Kanun'un ise yalnızca gerçek kişi tüketicileri değil, tüzel kişiler de dâhil bütün son kullanıcıları kapsayacak hükümler içerdiği anlaşıldığından, dava konusu Yönetmelik kuralında hukuka ve üst hukuk kurallarına aykırılık bulunmadığı,
Dava konusu Yönetmelik'in "Riskin ve kişisel veri ihlâlinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrası yönünden;
Yönetmeliğin "Riskin ve kişisel veri ihlâlinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrasında, işletmecilerin, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; bu risk hakkında, bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendireceği kuralının yer aldığı,
5809 sayılı Kanun'un 49., 51. ve 12. maddesindeki düzenlemeler uyarınca, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin, elektronik haberleşme hizmetlerinin sunumu sırasında elde ettikleri, abonelere ait kişisel verilerin güvenliğini sağlamakla yükümlü tutulduğu, davalı idare tarafından söz konusu yükümlülüğün yerine getirilmesi açısından işletmecilere mevzuatın öngördüğü doğrultuda yükümlülükler getirilebileceği, dava konusu düzenlemenin de bu kapsamda olduğunun anlaşıldığı,
2002/58/AT sayılı Direktif'te, verilerin güvenliğinin sağlanması ve ihlâllere ilişkin olarak işletmecilerin, verdikleri hizmetlerin güvenliğini garanti altına almak adına gerektiğinde şebeke güvenliği hususunda uygun teknik ve yapısal önlemleri alması gerektiği, teknolojik imkânlar göz önünde tutularak önlemlerin mevcut olan riske uygun güvenlik düzeyini sağlaması gerektiğinin ifade edildiği, kişisel verilerin gizliliğine ilişkin belirli bir risk durumunda bu risk hakkında ve bu riskin nasıl bertaraf edileceği konusunda aboneleri bilgilendirme yükümlülüğünün bulunduğunun belirtildiği,
Yönetmelik'te "belirli bir risk" kavramının hangi durumları ifade ettiğinin somut ve açık olarak belirlenmediği ileri sürülmekte ise de, idarelerin önceden saptanması her zaman mümkün olmayan durumlarda, gelişen koşullara ayak uydurmak amacıyla, kurallar hiyerarşisine aykırı olmamak şartıyla, gerekli önlemleri almak veya ortaya çıkan ihtiyaçları karşılayabilmek adına gerekli düzenlemeler yapabileceklerinin açık olduğu,
Bu itibarla, elektronik haberleşme hizmetinin sunumu kapsamında elde edilen, abonelere ait kişisel verilerin taşıdığı hassasiyet ve elektronik haberleşme sektörünün dinamizmi dikkate alındığında, 5809 sayılı Kanun ile Kuruma verilen görev ve yetkiler kapsamında, abonelere ait kişisel verilerin gizliliğinin korunabilmesi amacıyla, şeffaflık ve bilgilendirme yükümlülüğü kapsamında tüketicilerin azami fayda elde edebilmelerini teminen, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka ve üst hukuk kurallarına aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu,
Dava konusu Yönetmelik'in "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (ç) ve (e) bentleri yönünden;
Yönetmeliğin "Açık rıza alma şartları" başlıklı, 8. maddesinin 1. fıkrasında, işletmecilerin, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda yapılacak işlemler düzenlenmiş olup, davacı tarafından, Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) bendinde yer alan, abonelerin açık rızasının alınmasına ilişkin olumlu irade beyanının “evet/onay/kabul” şeklinde sınırlandırılmasına ilişkin düzenlemenin ve aynı fıkranın (e) bendinde yer alan, sadece trafik ve konum verilerinin üçüncü kişilere aktarımının söz konusu olduğu durumlarda tekrardan açık rıza alınmasına ilişkin düzenlemenin kanunî dayanağının bulunmadığının ileri sürüldüğü,
Yönetmelik'in 8. maddesinin 1. fıkrasının (ç) bendinde, işletmecilerin, abonelerin “evet/onay/kabul” şeklindeki irade beyanlarını yazılı veya elektronik ortamda alması ve söz konusu irade beyanının rıza alınan duruma özgü olması gerektiği düzenlenirken, açık rızaya ilişkin irade beyanları ile ilgili elektronik haberleşme sektörüne özgü suistimal (abonelik sözleşmelerindeki veri işleme kutucuğunun bazı bayilerin kendileri tarafından işaretlenmesi vb.) uygulamaların giderilmesinin, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında abonelerin menfaatine uygun şekilde irade beyanlarının doğru ve gerçek olarak alınmasının amaçlandığı; dava konusu düzenlemenin şekil şartı getirerek irade beyanını kısıtlamayı değil, irade beyanlarının doğru ve gerçek olarak alınmasını amaçladığı,
Yönetmelik'in 8. maddesinin 1. fıkrasının (e) bendinde, trafik ve konum verilerinin üçüncü tarafa aktarımının söz konusu olduğu durumlarda gerekli bilgilendirme yapılarak açık rıza alınacağı, söz konusu bilgilerde değişiklik olması halinde tekrar açık rıza alınacağının kurala bağlandığı,
5809 sayılı Kanun'un 49. maddesinin 1. fıkrasında, Kurumun tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için, abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği düzenlenmiş olup, trafik ve konum verilerinin hassasiyeti dikkate alındığında, verilerin üçüncü taraflara veya yurtdışına aktarımı öncesinde abonelerin bilgilendirilmesinin ve açık rızalarının alınmasının, anılan Kanun maddesinde belirtilen şeffaflık ilkesine ve bilgilendirme yükümlülüğüne uygun olduğu ve tüketici hak ve menfaatlerine aykırı bir durum görülmediği,
Dava konusu Yönetmelik'in "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrası yönünden;
Yönetmelik'in "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrasında, işletmecinin, aboneye/kullanıcıya, kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanıyacağına ilişkin kuralın yer aldığı,
Davacı tarafından, dava konusu düzenlemenin bu hâliyle uygulama imkânının bulunmadığı, zira, otomatik çağrı yönlendirme uygulamasının kapsamının belirsiz şekilde genişletildiği, ayrıca, elektronik haberleşme cihazında (telefon vb.) başka bir numaraya yönlendirme özelliğinin bulunması durumunda yönlendirmeyi engellemenin mümkün olmadığının ileri sürüldüğü,
2002/58/AT sayılı Direktif'in "Otomatik çağrı yönlendirme başlıklı" 11. maddesinde, herhangi bir abonenin terminal cihazına üçüncü bir tarafça yapılan otomatik çağrı yönlendirmesini ücretsiz ve basit bir yöntemle durdurma imkânına sahip olmasının garanti altına alınacağının kurala bağlandığı,
Bu itibarla, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, abonelerin/kullanıcıların menfaatine uygun olacak şekilde istenmeyen otomatik çağrı yönlendirmelerinin durdurulmasının amaçlandığı, 5809 sayılı Kanun'un 12. maddesinin 2. fıkrasında yer alan, Kurumun uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek, kişisel veri ve gizliliğin korunması, tüketicinin korunması gibi konularda işletmecilere yükümlülük getirebileceğine ilişkin düzenleme de dikkate alındığında, abonelere ait kişisel verilerin gizliliğinin korunması amacıyla, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu,
Dava konusu Yönetmelik'in "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. ve 4. fıkraları ile Geçici 1. maddesinin 2. fıkrası yönünden;
Yönetmelik'in "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. fıkrasında, işletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılacağı, aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyetinin bilgilendirme yapılıncaya kadar durdurulacağı; 4. fıkrasında, aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızaların geri alınmış sayılacağı; Geçici 1. maddesinin 2. fıkrasında ise, Yönetmelik'in yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerin işlenmeye devam etmesi durumunda bu işlemin, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, Yönetmelik'in yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulacağı kuralının yer aldığı,
Davacı tarafından, dava konusu Yönetmelik maddelerinde yer alan düzenlemelerin, kanunî dayanağının bulunmadığı, abonelerin daha önceden vermiş oldukları açık rızalarını diledikleri zaman geri alabilme haklarının bulunduğu, Kurumun aboneler tarafından verilen açık rızaları geri alma yetkisinin bulunmadığı; ayrıca, Yönetmelik'in 13. maddesinin 2. fıkrasında yer alan kuralın, her yılın üçüncü çeyreğinde mutad bilgilendirme yükümlülüğü getirilmesinin işletmecilere gereksiz bir iş yükü oluşturacağı; 4. fıkrasında yer alan kuralın ise, aboneliğin sonlanması hâlinde açık rızaların geri alınmış sayılmasının sözleşme ilişkisinden kaynaklanan haklarının kısıtlanmasına sebebiyet vereceğinin ileri sürüldüğü,
Kanun koyucu tarafından, elektronik haberleşme sektörüne ilişkin konuların, tüketicilerin veya kişisel verilerin gizliliğinin korunması gibi genel nitelikli kanunlardan ayrılarak, elektronik haberleşme sektörüne özgü uluslararası düzenlemelerin de dikkate alınması suretiyle 5809 sayılı Kanun ile düzenlendiği; anılan Kanun'un konuya ilişkin düzenlemeleri uyarınca işletmecilerin, elektronik haberleşme hizmetinin şeffaflık ilkesine uygun şekilde sunulabilmesini teminen, bilgilendirmenin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirme yükümlülüğünün bulunduğu, ayrıca Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında tüketicilerin, azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun şekilde sunulabilmesi için işletmecilere yükümlülükler getirebileceği dikkate alındığında, dava konusu düzenlemelerin kanunî dayanağının bulunduğu; aboneler tarafından verilerinin işlenmesine yönelik olarak açık rıza verdikten sonra senede bir defa, verilerinin işlendiği hususunda bilgilendirilmelerinin tüketici hak ve menfaatlerinin korunması bakımından gerekli olduğu, söz konusu bilgilendirmeler yapılıncaya kadar, veri işleme faaliyetlerinin durdurulmasına ilişkin kuralın ise, bilgilendirme mekanizmasının düzenli ve sağlıklı bir şekilde işleyebilmesi için gerekli olduğu; öte yandan, abonelik ilişkisinin sonlanması üzerine, işletmeci ile herhangi bir hukukî bağının kalmadığını düşünen tüketicilerin, işletmecilerin kişisel verilerini işleme faaliyetine son vereceği beklentisi taşımasının hayatın olağan akışına uygun olduğu, aboneliğin sona ermesine rağmen, verilerin işlenmeye devam edilmesinin tüketici mağduriyetine sebep olabileceği, 5809 sayılı Kanun'un 51. maddesinin 10. fıkrasının (c) bendinde, abonelerin/kullanıcıların açık rızalarının abonelik sözleşmesinin sona ermesinden sonra da devam edeceğinin değil, kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların açık rızalarını gösteren "kayıtların" asgari olarak abonelik süresince saklanacağının kurala bağlandığı; benzer şekilde, Yönetmelik'in yürürlük tarihinden önce rızası alınarak aboneliği sonlanmasına rağmen açık rızaları olmaksızın abonelerin kişisel verilerinin pazarlama gibi açık rıza gerektiren amaçlarla Yönetmelik'in yürürlük tarihi sonrasında da işlenmeye devam edilmesinin tüketici mağduriyetine sebep olabileceği,
Bu itibarla, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi amacıyla yapıldığı anlaşılan ve birbirini tamamlar nitelikteki dava konusu düzenlemelerin, kişisel verilerin işlenmesinin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uygun olduğu görüldüğünden, söz konusu düzenlemelerde hukuka ve üst hukuk kurallarına aykırılık bulunmadığı sonucuna ulaşıldığı gerekçesiyle,
davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, tüzel kişilere ait verilerin kişisel veri kapsamında olmadığı, 6698 sayılı Kanun'da sadece gerçek kişilere ait kişisel verilerin koruma altına alındığı; Yönetmelik'in 7. maddesinin 1. fıkrasındaki "belirli risk" kavramının sınırlarının belirsiz olduğu, aboneyi etkileyen herhangi bir ihlâl gerçekleşmemişken risk aşamasında olan her durumun abonelere bildirilmesinin işletmeciler ile aboneler arasındaki güven ilişkisini zedeleyeceği; gerek Borçlar Kanunu'nda, gerekse 5809 sayılı Kanun'da açık rıza alınmasına ilişkin herhangi bir şekil şartının düzenlenmediği, dolayısıyla olumlu irade beyanı (açık rıza) alınmasının "evet/onay/kabul" şeklinde üç kelime ile sınırlandırılamayacağı; sadece trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bilgilendirme yapılarak tekrar ve ayrıca açık rıza alınmasının kanunî dayanağının bulunmadığı; otomatik çağrı yönlendirme uygulamasının kapsamının belirsiz şekilde genişletildiği, ayrıca düzenlemenin bu hâliyle uygulama imkânının bulunmadığı, zira, düzenleme kapsamındaki beklentinin netleştirilebilmesi için tüm operatörlerin bir araya gelerek ortak bir çalışma yapması gerektiği; açık rıza bulunması durumunda dâhi, kişisel verilerin işlenmesinin durdurulmasına dair düzenlemenin kanunî dayanağının bulunmadığı, usulüne uygun olarak alınan açık rızaya rağmen, kişisel verilerin işlenmesinin durdurulmasının abone iradesini yok saydığı, böylesi bir kısıtlamanın ikincil düzenlemelerle getirilmeyeceği, abonelerin vermiş oldukları rızaların her yıl mutad olarak hatırlatılmasının, abone ve kullanıcıların zihninde soru işaretleri oluşturacağı, abonelerin mevcut iradesinin hiçe sayıldığı, kanunî düzenlemelerin sınırının aşıldığı, davalı idarenin abonenin rızasını geri alma yetkisinin bulunmadığı, aboneliğin sona ermesi ile açık rızaların geri alınmış olmasının, sözleşme ilişkisinden kaynaklanan hakların kısıtlanmasına sebep olacağı; hukuka uygun olarak alınmış rızalara istinaden gerçekleştirilen veri işleme faaliyetinin, kullanıcıların talepleri olmamasına rağmen durdurulmasının kanunî dayanağının bulunmadığı, dava konusu düzenlemelerin hukuka aykırı olduğu ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, istemin reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ …'UN DÜŞÜNCESİ : Temyiz isteminin reddi ile Daire kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay İdari Dava Daireleri Kurulunca, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

HUKUKİ DEĞERLENDİRME:
Danıştay dava dairelerinin nihai kararlarının temyizen incelenerek bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde yer alan;
"a) Görev ve yetki dışında bir işe bakılmış olması,
b) Hukuka aykırı karar verilmesi,
c)Usul hükümlerinin uygulanmasında kararı etkileyebilecek nitelikte hata veya eksikliklerin bulunması" sebeplerinden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, temyiz dilekçesinde ileri sürülen iddialar kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU:
Açıklanan nedenlerle;
1.Davacının temyiz isteminin reddine,
2.Davanın yukarıda özetlenen gerekçeyle reddine ilişkin Danıştay Onüçüncü Dairesinin temyize konu 23/05/2023 tarih ve E:2021/1362, K:2023/2556 sayılı kararının ONANMASINA,
3.Kesin olarak, 05/02/2024 tarihinde oybirliği ile karar verildi.