DANIŞTAY İDARE DAVA DAIRELERI KURULU

DANIŞTAY İDARİ DAVA DAİRELERİ KURULU         2023/2799 E.  ,  2024/182 K.
"İçtihat Metni" T.C.
D A N I Ş T A Y
İDARİ DAVA DAİRELERİ KURULU
Esas No : 2023/2799
Karar No : 2024/182

TEMYİZ EDEN (DAVACI) : … Derneği
VEKİLİ : Av. …

KARŞI TARAF (DAVALI) : … Kurumu
VEKİLİ : Av. …

İSTEMİN KONUSU : Danıştay Onüçüncü Dairesinin 23/05/2023 tarih ve E:2021/354, K:2023/2560 sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendinin, 6. maddesinin 4. fıkrasının, 7. maddesinin başlığındaki "riskin ve" ibaresi ile 1. fıkrasının, 8. maddesinin 1. fıkrasının (d) bendinin ve 10. maddesinin iptali istenilmiştir.
Daire kararının özeti: Danıştay Onüçüncü Dairesinin 23/05/2023 tarih ve E:2021/354, K:2023/2560 sayılı kararıyla;
Anayasa'nın "Özel hayatın gizliliği” başlıklı 20., "Tüketicilerin korunması” başlıklı 172. maddeleri; 5809 sayılı Elektronik Haberleşme Kanunu'nun "İlkeler” başlıklı 4. maddesinin 1. fıkrasının (b) ve (l) bentleri, "Kurumun görev ve yetkileri” başlıklı 6. maddesinin 1. fıkrasının (c), (s), (y) bentleri, "İşletmecinin hak ve yükümlülükleri" başlıklı 12. maddesinin 2. fıkra, "Şeffaflığın sağlanması ve bilgilendirme” başlıklı 49. maddesi ile "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51. maddesine yer verilerek,
5809 sayılı Kanun'un “Kişisel verilerin İşlenmesi ve gizliliğin korunması” başlıklı 51. maddesinin Anayasa Mahkemesinin 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararıyla, "Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumu'na veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır." şeklindeki gerekçeyle iptal edilmesi üzerine; 6639 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun'un 32. maddesi ile 5809 sayılı Kanun'un 51. maddesinin yeniden düzenlendiği, söz konusu maddenin bazı maddelerinin iptali istemiyle tekrar Anayasa Mahkemesine başvurulması üzerine, Anayasa Mahkemesinin 02/11/2016 tarih ve E:2015/61, K:2016/172 sayılı kararıyla, iptal talebinin reddine karar verildiği,
5809 sayılı Kanun'un, Anayasa Mahkemesinin anılan kararı uyarınca yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kuralların herhangi bir duraksamaya yer vermeyecek açıklıkta belirlendiği, maddenin son fıkrasında, uygulamaya ilişkin usul ve esasların Kurum tarafından belirleneceğinin kurala bağlandığı,
Söz konusu yetkiye dayanılarak davalı idare tarafından, 5809 sayılı Kanun'un 51. maddesinin uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil konuların düzenlenmesi amacıyla, tüketicilerin korunması, sektörün ihtiyaçları ve teknolojide yaşanan gelişmeler de dikkate alınarak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Taslağının hazırlandığı, 17/03/2020 tarih ve 2020/DK-THD/077 sayılı Kurul kararı ile anılan Taslağın kamuoyu görüşlerinin alınabilmesini teminen Kurumun internet sitesinde otuz (30) gün süre ile yayımlanmasına karar verildiği, Kuruma iletilen kamuoyu görüşlerinin değerlendirilmesi sonrasında, Taslağın, görüşleri alınmak üzere Kişisel Verileri Koruma Kurumuna (KVKK) gönderildiği anlaşılmakta olup, Kuruma iletilen KVKK görüşleri dikkate alınmak suretiyle, 5809 sayılı Kanun'un 4., 6.,12., 49., 51. ve 60. maddeleri dayanak alınarak, 17/10/2019 tarih ve 30921 sayılı Resmî Gazete’de yayımlanan 2019/22 sayılı Cumhurbaşkanlığı Genelgesi uyarınca, 2002/58/AT sayılı Direktif başta olmak üzere ilgili AB mevzuatı da göz önünde bulundurularak hazırlandığı anlaşılan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girdiği,
Dava konusu Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendi yönünden;
Dava konusu düzenleme ile trafik verisinin, bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veri olarak tanımlandığı,
2002/58/AT sayılı Avrupa Birliği Direktifi'nin Türkçeye çevrilmiş "Tanımlar" başlıklı 2. maddesinde, "trafik verisi"nin, bir elektronik haberleşme şebekesi üzerinden bir haberleşmenin iletilmesi ya da faturalandırılması amacıyla işlenen her türlü veriyi ifade edeceğinin belirtildiği,
Davacı tarafından, dava konusu Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendinde yer alan "trafik verisi" tanımına ilişkin olarak, davalı idare tarafından atıf yapılan Direktif’in 6. maddesinde, 6 fıkra hâlinde trafik verisine ilişkin oldukça detaylı düzenlemelere yer verilerek kesin sınırların çizildiği, söz konusu tanımın çerçeve nitelikte bir düzenleme olan Direktif'ten alınarak, ikincil mevzuata doğrudan eklenmesinin hukuk sistematiği bakımından kabul edilebilir olmadığı iddialarına yer verilmiş olduğundan, Dairelerinin 14/12/2022 tarihli ara kararı ile davalı idareden, davacının beyan dilekçelerinde belirtilen iddialar ve 2002/58/AT sayılı Avrupa Birliği Direktifi'nin Türkçeye çevrilmiş örneği dikkate alındığında, dava konusu Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendinde yer verilen "trafik verisi" tanımının, 2002/58/AT sayılı Avrupa Birliği Direktifi'nde yer alan "trafik verisi" tanımıyla uyumlu olduğu görülmekle birlikte, anılan Direktif'in 6. maddesinde belirtilen trafik verisine ilişkin kurallara dayanılarak davalı idare tarafından mevzuatta düzenleme yapılıp yapılmadığı, yapılmış ise maddeler hâlinde yapılan düzenlemelerin açıklanmasının istenilmesine, yapılmamış ise buna ilişkin gerekçelerin sorularak, konuya ilişkin tüm bilgi ve belgelerin gönderilmesinin istenilmesine karar verildiği ve davalı idare tarafında UYAP üzerinden gönderilen 28/02/2023 tarihli cevabi yazının ayrıntılarına yer verilerek,
Bu bağlamda, 5809 sayılı Kanun'da "trafik verisi" tanımlamasına yer verilmediği görülmekle birlikte, anılan Kanun'un 51. maddesinde trafik verisine ilişkin çerçevenin belirlendiği, dava konusu trafik verisi tanımının 2002/58/AT sayılı Avrupa Birliği Direktifi'ne uyumlu olarak düzenlendiği, 2002/58/AT sayılı Avrupa Birliği Direktifi'nde trafik verisine ilişkin kuralların ara karar cevabında da belirtildiği üzere mevzuata uygun olduğu ölçüde dercedildiği, bu nedenle davacının buna ilişkin iddiasının geçerliliğinin bulunmadığı, ayrıca davacı tarafından dava konusu trafik tanımlamasıyla 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 1. fıkrasının (j) bendinde yer alan trafik verisi tanımlamasının genişletildiği ve Kanun'da belirlenen sınırların aşıldığı iddia edilmiş ise de, uyuşmazlık konusu Yönetmelik'in kapsamının elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde edilen veriler bakımından uyacakları usul ve esaslar olarak belirlediği, bu Yönetmelik'in 05/11/2008 tarih ve 5809 sayılı Kanun'un 4, 6, 12, 49, 51 ve 60. maddelerine dayanılarak hazırlandığı, dolayısıyla uyuşmazlık konusu Yönetmelik'in dayanağının 5651 sayılı Kanun olmadığı, 5651 sayılı Kanun'un içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin usul ve esasları düzenlediği açık olup, dava konusu "trafik verisi" tanımlamasında hukuka ve üst hukuk kurallarına aykırılık bulunmadığı,
Dava konusu Yönetmelik'in 6. maddesinin 4. fıkrası ile 8. maddesinin 1. fıkrasının (d) bendi yönünden;
Yönetmelik'in 6. maddesinin 4. fıkrasında, işletmecilerin kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü olduğu; 8. maddesinin 1. fıkrasının (d) bendinde, işletmecilerin abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlü olduğu kuralına yer verildiği,
Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (f) bendinde ise, "Trafik bilgilerinin muhafaza edilmesi: Erişim sağlayıcı olan veya telefon hizmeti sunan işletmeci, taraflara ilişkin IP adresi, port aralığı, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı, kullanıcı sayısı ve abone kimlik bilgileri ile altyapısı üzerinden gerçekleşen görüşmelere ait trafik bilgilerini iki yıl süreyle; kullanıcı bilgilerini ise ilgili mevzuatta belirtilen zamanaşımı süresi boyunca muhafaza etmekle yükümlüdür." kuralının yer aldığı,
Bu bağlamda, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (f) bendinde kişisel verilere ilişkin saklama sürelerine yönelik olarak 5809 sayılı Kanun'un 51. maddesinde belirtilen sınıra uygun belirlemelerin yapıldığı, dava konusu kuralın anılan Yönetmelik maddesiyle uyumlu olduğu, davacının iddialarının dava konusu kuralı kusurlandırıcı mahiyette olmadığı anlaşıldığından, dava konusu kurallarda hukuka aykırılık bulunmadığı,
Dava konusu Yönetmelik'in 7. maddesinin başlığındaki "riskin ve" ibaresi ile 1. fıkrası yönünden;
Yönetmelik'in "Riskin ve kişisel veri ihlâlinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrasında, işletmecilerin, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; bu risk hakkında, bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendireceği kuralının yer aldığı,
5809 sayılı Kanun'un 49., 51. ve 12. maddesindeki düzenlemeler uyarınca, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin, elektronik haberleşme hizmetlerinin sunumu sırasında elde ettikleri, abonelere ait kişisel verilerin güvenliğini sağlamakla yükümlü tutulduğu, davalı idare tarafından söz konusu yükümlülüğün yerine getirilmesi açısından işletmecilere mevzuatın öngördüğü doğrultuda yükümlülükler getirilebileceği, dava konusu düzenlemenin de bu kapsamda olduğunun anlaşıldığı,
2002/58/AT sayılı Direktif'te, verilerin güvenliğinin sağlanması ve ihlâllere ilişkin olarak işletmecilerin, verdikleri hizmetlerin güvenliğini garanti altına almak adına gerektiğinde şebeke güvenliği hususunda uygun teknik ve yapısal önlemleri alması gerektiği, teknolojik imkânlar göz önünde tutularak önlemlerin mevcut olan riske uygun güvenlik düzeyini sağlaması gerektiğinin ifade edildiği, kişisel verilerin gizliliğine ilişkin belirli bir risk durumunda bu risk hakkında ve bu riskin nasıl bertaraf edileceği konusunda aboneleri bilgilendirme yükümlülüğünün bulunduğunun belirtildiği,
Yönetmelik'te "belirli bir risk" kavramının hangi durumları ifade ettiğinin somut ve açık olarak belirlenmediği ileri sürülmekte ise de, idarelerin önceden saptanması her zaman mümkün olmayan durumlarda, gelişen koşullara ayak uydurmak amacıyla, kurallar hiyerarşisine aykırı olmamak şartıyla, gerekli önlemleri almak veya ortaya çıkan ihtiyaçları karşılayabilmek adına gerekli düzenlemeler yapabileceklerinin açık olduğu,
Bu itibarla, elektronik haberleşme hizmetinin sunumu kapsamında elde edilen, abonelere ait kişisel verilerin taşıdığı hassasiyet ve elektronik haberleşme sektörünün dinamizmi dikkate alındığında, 5809 sayılı Kanun ile Kuruma verilen görev ve yetkiler kapsamında, abonelere ait kişisel verilerin gizliliğinin korunabilmesi amacıyla, şeffaflık ve bilgilendirme yükümlülüğü kapsamında tüketicilerin azami fayda elde edebilmelerini teminen, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka ve üst hukuk kurallarına aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu,
Dava konusu Yönetmelik'in 10. maddesi yönünden;
Yönetmelik'in 10. maddesinde, işletmecinin, arayan numaranın görünmesine imkân sağladığı durumlarda; arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla, aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla, arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla; yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla ve belirtilen imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirmekle yükümlü olduğu, arayan numaranın gizlenmesi imkânının, acil yardım çağrıları için geçerli olmadığı kuralına yer verildiği,
Davacı tarafından, arayan numaranın gizlenmesinin, haberleşme gizliliği veya 6698 sayılı Kanun ile korunması amaçlanan herhangi bir menfaate hizmet ettiği söylenemeyeceği gibi düzenleme ile kamu yararı da gözetilmediği iddiasına yer verilmiş ise de, Anayasa'nın 22. maddesinde haberleşmenin gizliliğinin esas olduğunun belirtildiği ve 5809 sayılı Kanun'un 51. maddesinin 2. fıkrasında da elektronik haberleşmenin ve ilgili trafik verisinin gizliliğinin amaçlandığı, kişilerin yaptıkları veya kendilerine gelen aramalarda, kendilerinin ve karşı tarafın numarasını gizleyebilme seçeneğinin bulunması ile kişiye gerçekleştirdiği haberleşmeye dair bilgileri kontrol etme ve gizliliğini sağlama olanağı sunulduğu dikkate alındığında, 2002/58/AT sayılı AB Direktifi'yle de arayan veya aranan abonelere numaralarının gizlenmesi gibi gizlilik hakkına yönelik imkânlar sunulması gerekliliğine yer verildiğinden, AB Direktifi ile uyumlu olarak hazırlanan dava konusu kuralda hukuka aykırılık bulunmadığı gerekçesiyle,
davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, Avrupa Birliği müktesebatına uyum adı altında, bir tanımın bağlamından kopartılarak, eksik ve yetki aşımı olacak şekilde Yönetmelik’e eklenmesinin kabul edilebilir olmadığı, trafik verisi tanımın çerçeve nitelikte bir düzenleme olan direktiften alınarak, ikincil mevzuata doğrudan eklenmesinin, hukuk sistematiğine aykırı olduğu; yönetmelik ile belirleneceği bildirilen saklama sürelerine ilişkin Yönetmelik'te veri kategorileri bazında düzenleme yapılmamış olmasının, açıkça hukuka aykırılık oluşturduğu; işletmecilere açıkça “hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda”, abone ve kullanıcıları bilgilendirme yükümlülüğü getirilmiş olup, risk halinin 6698 sayılı Kanun'da tanımlanmadığı gibi anılan Kanun'da buna ilişkin bir bildirim yükümlülüğünün de bulunmadığı; bir dönem pek çok kullanıcının mağdur olduğu “gizli numara” aramalarına yeniden imkan sağlandığı, dolandırıcılık, taciz ve benzeri pek çok suçta vasıta olarak kullanılan gizli numara aramalarının bu düzenleme ile gündeme getirilmesinin kişisel verilerin korunması ve haberleşmenin gizliliği ile bağlantısının anlaşılamadığı, düzenlemede kamu yararının bulunmadığı ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, istemin reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ …'UN DÜŞÜNCESİ : Temyiz isteminin reddi ile Daire kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay İdari Dava Daireleri Kurulunca, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

HUKUKİ DEĞERLENDİRME:
Danıştay dava dairelerinin nihai kararlarının temyizen incelenerek bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde yer alan;
"a) Görev ve yetki dışında bir işe bakılmış olması,
b) Hukuka aykırı karar verilmesi,
c)Usul hükümlerinin uygulanmasında kararı etkileyebilecek nitelikte hata veya eksikliklerin bulunması" sebeplerinden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, temyiz dilekçesinde ileri sürülen iddialar kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU:
Açıklanan nedenlerle;
1.Davacının temyiz isteminin reddine,
2.Davanın yukarıda özetlenen gerekçeyle reddine ilişkin Danıştay Onüçüncü Dairesinin temyize konu 23/05/2023 tarih ve E:2021/354, K:2023/2560 sayılı kararının ONANMASINA,
3.Kesin olarak, 05/02/2024 tarihinde oybirliği ile karar verildi.