ANAYASA MAHKEMESİ KARARI 

Esas Sayısı : 2014/180

Karar Sayısı : 2015/30

Karar Tarihi : 19.3.2015

R.G. Tarih-Sayı : 3.4.2015-29315 

İTİRAZ YOLUNA BAŞVURAN : Danıştay Onbeşinci Dairesi

İTİRAZIN KONUSU : 31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, 1.3.2012 tarihli ve 6283 sayılı Kanun'un 1. maddesiyle eklenen ".biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin Anayasa'nın 2., 13. ve 20. maddelerine aykırılığı ileri sürülerek iptaline karar verilmesi istemidir.

I- OLAY

Genel sağlık sigortalısı davacı tarafından, biyometrik kimlik doğrulama sistemine tanımlanmaksızın hizmet sunmayan özel hastane başhekimliğinin uygulamasının bildirimi niteliğinde olan işlemin ve dayanak gösterdiği mevzuatın iptali istemiyle Sosyal Güvenlik Kurumu Başkanlığı aleyhine açılan davada, itiraz konusu kuralın Anayasa'ya aykırı olduğu kanısına varan Mahkeme, iptali için başvurmuştur.

III- YASA METİNLERİ

A- İtiraz Konusu Yasa Kuralı

Kanun'un itiraz konusu kuralı da içeren 67. maddesinin üçüncü fıkrası şöyledir:

"Ayrıca genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise acil halin sona ermesinden sonra);  biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı belgelerinden birinin gösterilmesi zorunludur."

B- Dayanılan Anayasa Kuralları

Başvuru kararında, Anayasa'nın 2., 13. ve 20. maddelerine dayanılmıştır.

IV- İLK İNCELEME

Anayasa Mahkemesi İçtüzüğü hükümleri uyarınca Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Osman Alifeyyaz PAKSÜT, Recep KÖMÜRCÜ, Burhan ÜSTÜN, Engin YILDIRIM, Nuri NECİPOĞLU, Hicabi DURSUN, Celal Mümtaz AKINCI, Erdal TERCAN, Muammer TOPAL, M. Emin KUZ ve Hasan Tahsin GÖKCAN'ın katılımlarıyla 4.12.2014 tarihinde yapılan ilk inceleme toplantısında, dosyada eksiklik bulunmadığından işin esasının incelenmesine OYBİRLİĞİYLE karar verilmiştir.

V- ESASIN İNCELENMESİ

Başvuru kararı ve ekleri, Raportör Berrak YILMAZ tarafından hazırlanan işin esasına ilişkin rapor, itiraz konusu yasa kuralı, dayanılan Anayasa kuralları ve bunların gerekçeleri ile diğer yasama belgeleri okunup incelendikten sonra gereği görüşülüp düşünüldü:

 Başvuru kararında, biyometrik yöntemlerle yapılacak kimlik doğrulaması sonucu elde edilecek kişisel verilerin toplanması ve işlenmesinin kapsamı ile bu verilerin korunmasına ilişkin usul ve esasların belirli olmadığı, yasama organı tarafından temel ilkeleri koyulmadan, çerçevesi çizilmeden biyometrik veri toplanmasına olanak veren itiraz konusu kuralın, Anayasa'nın 2., 13. ve 20. maddelerine aykırı olduğu ileri sürülmüştür. 

Kanun'un 67. maddesinin itiraz konusu kuralı da içeren üçüncü fıkrasında,  genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet sunucularına başvurduklarında acil hâller hariç olmak üzere (acil hâllerde ise acil hâlin sona ermesinden sonra);  biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı belgelerinden birinin gösterilmesinin zorunlu olduğu öngörülmüştür.

Biyometrik yöntemlerle kimlik doğrulama, hizmet talep eden bir kullanıcının, ölçülebilir fizyolojik ve bireysel özellikler yoluyla gerçekleştirilen ve otomatik olarak doğrulanabilen kimlik denetleme yoluyla gerçek kullanıcı olup olmadığının doğrulanması anlamına gelmektedir.

Anayasa'nın 2. maddesinde belirtilen hukuk devleti, insan haklarına dayanan, bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek sürdüren, Anayasa'ya aykırı durum ve tutumlardan kaçınan, hukuku tüm devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan, yargı denetimine açık olan devlettir. Kanun koyucu, Anayasa'ya ve hukukun genel ilkelerine aykırı olmamak kaydıyla her türlü düzenlemeyi yapma konusunda takdir yetkisine sahiptir. Kanun koyucunun hukuki düzenlemelerde kendisine tanınan takdir yetkisini anayasal sınırlar içinde adalet, hakkaniyet ve kamu yararı ölçütlerini göz önünde tutarak kullanması ve keyfi davranmaması gerekir.  

Anayasa'nın 2. maddesinde yer alan hukuk devletinin temel ilkelerinden biri "belirlilik"tir. Belirlilik ilkesi, yalnızca yasal belirliliği değil, daha geniş anlamda hukuki belirliliği de ifade etmektedir. Yasal düzenlemeye dayanarak erişilebilir, bilinebilir ve öngörülebilir gibi niteliksel gereklilikleri karşılaması koşuluyla, mahkeme içtihatları ve yürütmenin düzenleyici işlemleri ile de hukuki belirlilik sağlanabilir. Aslolan muhtemel muhataplarının mevcut şartlar altında belirli bir işlemin ne tür sonuçlar doğurabileceğini öngörmelerini mümkün kılacak bir normun varlığıdır.

Anayasa'nın 20. maddesinin birinci fıkrasında, herkesin, özel hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı belirtilmiş; üçüncü fıkrasında da "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." denilerek kişisel verilerin korunması, özel hayatın gizliliğinin korunması kapsamında güvenceye kavuşturulmuştur.

Anayasa'nın 13. maddesinde, temel hak ve hürriyetlerin, özlerine dokunulmaksızın yalnızca Anayasa'nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabileceği, bu sınırlamaların Anayasa'nın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamayacağı belirtilmiştir.

Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Ancak söz konusu hak mutlak ve sınırsız olmayıp Anayasa'nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere kanunla sınırlanabilir. Nitekim Türkiye'nin imzaladığı ancak uygulama kanununun yürürlüğe konamaması nedeniyle taraf olmadığı 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Avrupa Konseyi Sözleşmesi'nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği öngörülmüştür. Bu nedenle, kişisel verilerin korunması temel hakkına kamu yararı nedenlerine dayalı olarak müdahale edilebilmesine olanak tanınmaktadır.

İtiraz konusu kuralla, genel sağlık sigortalısı olanlar ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için hastane gibi kurumlara başvurduğunda, nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya verilmiş ise çalıştığı Kurum sağlık kartı belgelerinden biriyle kimlik tespitinin yanında veya sadece biyometrik yöntemlerle kimlik doğrulaması yapılması öngörülmektedir.

Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı Sözleşme'nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok hassas verilerden olduğu da söylenemez.

Biyometrik yöntemlerle kimlik doğrulama, kişinin kendi özelliklerini esas alması nedeniyle izinsiz kullanımlara karşı güvenli, kamu kuruluşlarına yönelik yolsuzluk ve bunların neden olduğu zararlara karşı etkili ve sosyal güvenliği olan kişiler bakımından da güvenli hizmet alınmasını sağlayan bir yöntemdir. İtiraz konusu kuralla öngörülen yöntemin sağlık sektöründeki suiistimallerin engellenmesi ve bu konudaki sahteciliğin önlenmesi maksadıyla önemli bir güvenlik önlemi olduğunda şüphe yoktur. Nitekim itiraz konusu kuralın gerekçesinde sağlık hizmetlerinin elektronik ortamda güvenilir altyapılar üzerinden sağlanması ve hizmetten yararlananların kimliklerinin saptanmasında geleneksel yöntemlerin eksiklikleri nedeniyle ortaya çıkan kötüye kullanımların önlenmesinin amaçlandığı belirtilmiştir. Dolayısıyla kuralla öngörülen yöntemin etkin bir şekilde kullanılmasının, Sosyal Güvenlik Kurumundan haksız menfaat temin edilmesini engellemeye yönelik olduğu ve kuralda kamu yararı bulunduğu açıktır.

Bu bağlamda itiraz konusu kuralla özel hayatın ve kişisel verilerin korunması haklarına yönelik olarak yapılan müdahalenin, öngörülen amaçla orantılı olduğu, müdahale edilen hakların özüne dokunmadığı ve demokratik toplum düzeninin gereklerine aykırılık teşkil etmediği anlaşıldığından Anayasa'ya aykırı bir yönü yoktur.

Öte yandan itiraz konusu kuralla öngörülen yöntemin sadece sağlık sektöründe bu hizmetten yararlanma amacıyla kullanılabileceği, bu nedenle elde edilen verilerin sadece bu amaçla sınırlı olarak ve hizmetin devamı için zorunlu olduğu müddetle sınırlı olmak üzere tutulabileceği dikkate alındığında, bu verilerin neden ve hangi gerekçeyle temin edileceğine ilişkin olarak konu, amaç ve kapsamı ile ne şekilde ve hangi süreyle kullanılacaklarına dair bir belirsizlik olduğu söylenemez.

Ayrıca itiraz konusu kuralda öngörülen yöntemle elde edilen verilerin amaç ve kapsam dışında depolanması ve kullanılması hâlinde 5237 sayılı Türk Ceza Kanunu'ndaki kişisel verilerin korunmasına ilişkin ceza hükümlerinin uygulanacak olması nedeniyle bu konuda kanuni güvence de bulunmaktadır.

Açıklanan nedenlerle, itiraz konusu kural Anayasa'nın 2., 13. ve 20. maddelerine aykırı değildir. İptal isteminin reddi gerekir.

Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Engin YILDIRIM ve Erdal TERCAN bu görüşe katılmamışlardır.

VI- SONUÇ

31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, 1.3.2012 tarihli ve 6283 sayılı Kanun'un 1. maddesiyle eklenen ".biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin, Anayasa'ya aykırı olmadığına ve itirazın REDDİNE, Serruh KALELİ, Alparslan ALTAN, Serdar ÖZGÜLDÜR, Engin YILDIRIM ile Erdal TERCAN'ın karşıoyları ve OYÇOKLUĞUYLA, 19.3.2015 tarihinde karar verildi. 

KARŞIOY GEREKÇESİ 

5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu'nun 67. maddesinin üçüncü fıkrasına, 6283 sayılı Kanun'un 1. maddesiyle eklenen ". biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya." ibaresinin Anayasa'ya aykırılığı ileri sürülmüştür.

Kural, sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden yararlanmak amacıyla sağlık hizmet sunucularına başvurduklarında  biyometrik yöntemlerle meşru bir kullanıcı olup, olmadıklarını tespit etmeyi amaçlamaktadır. Kuralda "ve/veya"  bağlacının kullanılması, kimliği tespit etmek ve denetlemek amacıyla biyometrik yöntemlerin kullanılmasının zorunlu olmadığını, belirtilen diğer  belge ve usullerle de kimlik doğrulamasının yapılabileceğini ortaya koymaktaysa da; Sosyal Güvenlik Kurumu Sağlık Uygulama Tebliği'nde "ve/veya" bağlacı yerine "ve" bağlacı kullanıldığından biyometrik yöntemlerle kimlik doğrulaması uygulamada zorunlu hale getirilmiştir. Sağlık hizmetinden yararlanmak isteyenler biyometrik kimlik doğrulamasını kabul etmediklerinde sağlık hizmeti alamamaktadır. Bu da sağlık hizmeti almak isteyenlerden zorla kişisel veri alınması ile eşanlamlıdır. Hasta sağlık hizmeti almak için biyometrik yönteme boyun eğmek zorunda bırakılmakta, bu yöntemle elde edilen kişisel verilerinin ne amaçla kimler tarafından kullanılacağını bilmemekte, verilerine ulaşma, düzeltilmesini ya da silinmesini isteme haklarından mahrum bulunmaktadır.

"Özel hayatın gizliliği" başlıklı Anayasa'nın 20. maddesinin 7.5.2010 tarih ve 5982 sayılı Kanun'la eklenen son fıkrasında "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." denilmektedir. Anılan hükmün gerekçesinde de "Anayasada kişisel verilerin korunmasına yönelik dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilen korunması önemle vurgulanmaktadır. Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilen hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir." şeklinde değerlendirmenin yer aldığı görülmektedir. Anayasa'nın 20. maddesinin çıkarılmasını öngördüğü kanun ise henüz çıkarılmamıştır. Ancak, örneğin Türk Ceza Kanunu'nun 135 - 140. maddelerinde kişisel verilerin hukuka aykırı olarak kaydedilmesi ve işlenmesi halleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır.

Öte yandan, birçok uluslar arası sözleşmede de kişisel verilerle ilgili düzenlemeler yapılmış ve konunun önemi bu uluslararası metinlere yansımıştır. Örneğin, Türkiye'nin de 1981'de imzalamasına karşın henüz onaylamadığı, Avrupa Konseyi'nin 28.1.1981 tarih ve 108 Numaralı "Kişisel Nitelikli Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme"nin 6. maddesine göre, iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dini veya diğer inançları ortaya koyan kişisel nitelikli verilerle, sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkumiyetleri, otomatik bilgi işlemine tâbi tutulamazlar. Yine Avrupa Birliğinin 24 Ekim 1995 tarihli "Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması Yönergesi (95/46/EC)"nde de, siyasi, dini, felsefi görüşler veya uyuşturucu, alkol bağımlılığı veya sağlık gibi hassas verilerin korunmasına ilişkin düzenlemelere yer verilmiştir.

Avrupa İnsan Hakları Mahkemesi de, kişilerin  fiziki ve  sosyal kimlikleri, kişisel bilgileri, cinsiyetleri, şahıslarına ait özerk sahaları, adları, fiziki ve ruhsal bütünlükleri (sağlık/tıbbi bilgileri) iş ilişkileri, sosyal etkinlikleri, kişisel gelişimi, fiziki ve moral güvenliği, dış çevrede insanlarla ilişkileri gibi hususları, sözleşmenin "Özel hayatın ve aile hayatının korunması" başlıklı 8. maddesi kapsamında "özel hayat" kavramı içinde  değerlendirmektedir.  Avrupa İnsan Hakları Mahkemesinin birçok kararında da, tıbbi verilerin ve bilgilerin Sözleşmenin 8. maddesinin koruması altında olduğu, bunların korunması ve güvenliğinin üye ülkelerin sorumluluğunda bulunduğu, bu bilgi ve verilerin başkalarının eline geçmemesi için gerekli tüm yasal düzenlemelerin ve güvencelerin mevcudiyetinin gerektiği, keza parmak izi, DNA analizi vb. gibi biyometrik  verilerin salt kimlik tespitine ve güvenlik nedenine yönelik durumlar müstesna, hassas kişisel veri olarak korunmaları gerektiği içtihat olarak ortaya konulmuştur. Bir örnek olmak üzere,  Avrupa İnsan Hakları Mahkemesinin S. ve Marper'in Birleşik Krallığa karşı yaptığı başvuru sonucunda verdiği kararında; gözaltına alınan kişilerin kan, hücre örnekleri ve parmak izinin alınması fakat daha sonradan bu  kişilerin kendilerine isnat edilen suçla ilişkilerinin kalmaması durumunda, halen bu  bilgilerin  tutulmaya devam edilmesini bu ölçüt  açısından değerlendirmiş ve durumu Avrupa İnsan Hakları Mahkemesi Sözleşmesinin 8. maddesinin ihlâli olarak görmüştür. Mahkeme, kişisel verilerin muhafazası, tutulma süresi, kullanımı, üçüncü kişilerin erişimine açık olup, olmaması verilerin gizliliği ve silinmesi konularında açık ve ayrıntılı asgari güvencelerin sağlanması gerektiğini vurgulamıştır. (Case of S.and Marper v. The United Kingdom, Başvuru No: 30562/04 ve 30566/04, Karar Tarihi: 4 Aralık 2008  paragraf 99.)

Anayasa Mahkemesi de aşağıda işaret edilen kararlarında, sözkonusu yasal düzenlemelerde yer alan düzenlemeleri, kişisel verilerin  korunmasına ilişkin Anayasa'nın 20. maddesi ile  13. maddesine aykırı bularak iptali yoluna gitmiştir:

- ". İtiraz konusu kuralla, Bilgi Teknolojileri ve İletişim Kurumunun elektronik  haberleşme sektörüyle ilgili kişisel verilerin işlenmesine ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkili olduğu hükme bağlanmıştır. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve  kişiliğini serbestçe  geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda, geleneksel  yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkânlarla analize tâbi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin atması; verilere erişim ve veri transferinin  kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması  neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması, terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki  faaliyetlerinin  artması gibi etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır. Bu bağlamda Anayasa'nın 20. maddesinin üçüncü fıkrasının son cümlesinde 'Kişisel verilerin korunmasına ilişkin usul ve esaslar kanunla düzenlenir.' hükmüne yer verilerek, kişisel verilerin korunması hakkı anayasal güvenceye bağlanmış ve bu şekilde kamu makamlarının keyfi müdahalelerine karşı koruma altına alınmıştır. Yasama yetkisinin devredilemezliği  ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumuna veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır. Açıklanan nedenlerle, itiraz konusu kural Anayasa'nın 20. maddesine aykırıdır. İptali gerekir..." (Any. Mah.nin 9.4.2013 tarih ve E.2013/122, K.2014/74 sayılı kararı; RG. 26.7.2014, Sayı: 29072)

-"... Dava konusu kural, internet trafik bilgisinin TİB tarafından ilgili işletmecilerden herhangi bir hukuki inceleme ya da sürece dahil olmadan alınmasını ve hâkim tarafından karar verilmesi durumunda bu bilginin ilgili mercilere verilmesini düzenlemektedir... Kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvencenin yaşama geçirilebilmesi için, bu hakkı ilgilendiren yasal düzenlemelerin, açık, anlaşılabilir ve kişilerin söz konusu haklarını kullanabilmelerine elverişli olması gerekir. Ancak böyle bir düzenleme ile kişilerin özel hayatlarını ilgilendiren veri, bilgi ve belgelerin resmi makamların keyfi müdahalelerine karşı korunması olanaklı hale getirilebilir... Çağdaş demokrasiler temel hak ve özgürlüklerin en geniş ölçüde sağlanıp güvence altına alındığı rejimlerdir. Temel hak ve özgürlükleri büyük ölçüde kısıtlayan ve kullanılamaz hale getiren sınırlamalar hakkın özüne dokunur. Temel hak ve özgürlüklere getirilen sınırlamaların yalnız ölçüsü değil, koşulları, nedeni, yöntemi, kısıtlamaya karşı öngörülen kanun yolları gibi güvenceler hep demokratik toplum düzeni kavramı içinde değerlendirilmelidir... Özel hayatın korunması her şeyden önce bu hayatın gizliliğinin korunması, başkalarının gözleri önüne serilmemesi demektir. Kişinin özel hayatında yaşananların, yalnız kendisi veya kendisinin bilmesini istediği kimseler tarafından bilinmesini isteme hakkı, kişinin temel haklarında biridir ve bu niteliği nedeniyle insan haklarına ilişkin beyanname ve sözleşmelerde yer almış, tüm demokratik ülkelerin mevzuatlarında açıkça belirlenen istisnalar dışında devlete, topluma ve diğer kişilere karşı korunmuştur... Trafik bilgisi adı altında istenen bilgiler genel anlamda belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ihtiva eden kişisel veri kavramı içerisindedir. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır... Dava konusu kural, yukarıda belirtilen kişisel veri niteliğinde olan ve çok ciddi suçların tespiti, soruşturulması ve kovuşturmasında kullanılmak üzere gerçek ve tüzel kişilere ilişkin trafik bilgisinin, işlenmemiş veri halinde süreli olarak muhafaza edildiği erişim veya yer sağlayıcılardan, TİB tarafından herhangi bir gerekçe veya neden göstermeksizin temin edilmesine olanak sağlamaktadır. Söz konusu veriler ulaşabilirlik, kişilerin tercihleri, düşünceleri ve davranışları hakkında fikir verebileceğinden kişilerin özel hayatlarına müdahale edilme riskini içermektedir. Kuralda, temin edilecek bilgiyle ilgili olarak herhangi bir konu ve amaç sınırlaması bulunmadığı gibi bilginin kapsamı, ne şekilde kullanılacağı, tutulacağı süre, temin edilme gerekçesi gibi hususlarla ilgili olarak da herhangi bir belirlilik bulunmamaktadır... Bu durumda verilerin işlenebileceği hallerin kanunda açıkça yer alması zorunluluğu bulunmasına karşın, kuralda herhangi bir belirleme ve sınırlama yapılmaksızın doğrudan kişisel veri niteliğindeki trafik bilgisinin temin edilmesine ve işlenmesine olanak sağlanmasının bu yönüyle Anayasa'nın 20. maddesine aykırı olduğu açıktır... Anayasa'nın 13. ve 20. maddelerinde yer alan güvencelere rağmen dava konusu kural ile kişiler, bilgi toplama, saklama, işleme ve değiştirme yetkisi olan idareye ve diğer kişilere karşı korumasız bırakılmış, veri toplamanın amaç, gerekçe, kapsam ve sınırlama yasal düzenlemede yer verilmemiştir. Açıklanan nedenlerle, dava konusu kural Anayasa'nın 2., 13.  ve 20. maddelerine aykırıdır. İptali gerekir..." (Any. Mah.nin 2.10.2014 tarih ve E.2014/149, K.2014/151 sayılı kararı, RG. 1.1.2015, Sayı: 29223)

-"... Dava konusu ibarenin de yer aldığı (a) bendinde, aynı Kanun'un 22. maddesinin (1) numaralı fıkrasında PTT'nin faaliyetleri arasında belirtilen "Adres bilgi kayıt sistemi"nin neyi ifade ettiği husus belirtilmiştir. Buna göre, adres bilgi kayıt sistemi 25.4.2006 günlü, 5490 sayılı Nüfus Hizmetleri Kanunu ve ilgili mevzuatı saklı kalmak kaydıyla, gerçek kişilerin rızası alınarak gerçek ve tüzel kişiler ile kamu kurum ve kuruluşlarına ait fiziki ve elektronik adreslerin, reklâm ve tanıtım amacıyla PTT hizmetlerinden yararlananlara ücret karşılığı  kullandırılmasına yönelik olarak oluşturulan PTT'ye ait veri tabanını ifade etmektedir. Dava konusu ibare, adres bilgi kayıt sisteminde, gerçek kişilerin rızasını aramaktadır. Dolayısıyla, ibarenin  mefhumu muhalifinden, tüzel kişiler yönünden onların  rızalarının alınmasına gerek bulunmadığı  anlamı çıkmaktadır. Kişisel verilerin korunması temel  hakkı,  Anayasa hukukunda esas olarak yüksek kişilik değerlerini korumaya yönelik bireysel haklara ilişkindir. Bu  hak, kişinin insan onurunun korunmasının ve  kişiliğini serbestçe geliştirebilmesi hakkının  özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün  bilgileri ifade etmektedir. Bu bağlamda, bir kişinin kendisinin veya ailesinin sürekli veya geçici olarak  konakladığı, ikamet ettiği yerlere ait bilgiler (fiziki adresleri) de kişisel veri niteliğindedir. Aynı şekilde, elektronik posta olarak adlandırılan  ve elektronik iletişim ağı üzerinden gönderilen  ve internette ya da kullanıcının bilgisayarında kaydedilebilen her türlü yazı, ses, resim ya da  dil iletilerinin de kişisel veri niteliğinde olduğu kabul edilmektedir. .. (Anayasa'nın 20.  maddesi) metninde kişisel verilerle ilgili olarak 'herkes'tabirinin kullanılması dikkate alındığında, tüzel kişilere ilişkin verilerinde 20. madde kapsamında değerlendirilmesi gerekeceği açıktır. Bu durumda. tüzel kişilerin kişisel veri niteliğinde bulunan fiziki veya elektronik  adreslerinin, yetkili kişi  ya da organlarının rızaları alınmaksızın, dava konusu kural uyarınca PTT A.Ş. tarafından reklâm veya tanıtım amacıyla toplanıp kaydedilmesinin ve bunların üçüncü kişilere verilmesinin, Anayasa'nın 20. maddesine aykırılık oluşturduğu açıktır. Açıklanan nedenlerle, dava konusu kural Anayasa'nın 20. maddesine aykırıdır. İptali gerekir." (Any. Mah.nin 4.12.2014 tarih ve E.2013/84, K.2014/183 sayılı kararı; RG.13.3.2015, Sayı: 29294.)

- Nihayet Anayasa Mahkemesi, henüz gerekçesi yayımlanmayan 4.12.2014 tarih ve E.2013/114, K.2014/184  sayılı kararı ile 12.7.2013 tarih ve  6495 sayılı Kanun'la değiştirilen  Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkındaki 663 sayılı Kanun Hükmünde Kararname'nin 47. maddesinin aşağıda metnine yer verilen (1), (2) ve (3) numaralı fıkralarının iptaline karar vermiştir:

" (1) Bakanlık ve bağlı kuruluşları,  mevzuatla   kendilerine verilen  görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve daha hızlı biçimde yerine getirebilmek için, bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna  vermek  zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her  türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkilidir.

(2) Bakanlık ve bağlı kuruluşları kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum  ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanun  en yetkili olması halinde görevlerinin yapmalarına yetecek derecede paylaşabilir.

(3) Bakanlık ve bağlı kuruluşları, mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkilidir. İlgili kişi ve kuruluşlar istenilen bilgileri vermekle yükümlüdür."

Yukarıdan beri yapılan açıklamalar ışığında ilk tespiti gereken husus, dava konusu kuralın (biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya) salt bir kimlik tespitine yönelik düzenleme mahiyetinde olup olmadığı, kişisel sağlık verilerinin bu yolla depolanıp işlenmesi ve paylaşılması sonucunu doğurup doğurmayacağının ortaya konulmasıdır. Sosyal Güvenlik Kurumunun (SGK), kendisine sağlık hizmeti sunulanlar yönünden bir kimlik tespiti ihtiyacı olduğunda kuşku yoksa da; kuralda bu amaca yönelik bir düzenleme öngörülürken, sigortalıların ve bakmakla yükümlü oldukları yakınlarının hassas kişisel veri mahiyetindeki "sağlık bilgilerinin" korunmasına yönelik düzenlemelerin yapılması gerektiği açıktır. Çünkü, biyometrik yöntemlerle kimlik bilgilerinin sağlık hizmeti sunucularınca tespiti, beraberinde o kişinin tüm sağlık verilerinin yetkisiz ellere geçmesi ihtimalini de getirmekte; aynı şekilde SGK'da toplanan bu kimlik verilerinin başkalarıyla paylaşılmaması, başka kişi ya da yerlere iletilmemesi gerekmektedir. Oysa dava konusu kuralda bu yönde hiçbir belirlilik bulunmamakta, bilakis kural bu mahiyeti itibariyle her türlü kötüye kullanmaya müsait görünmektedir.

Sigortalı kişilerden alınacak biyometrik örnekler, kişinin sağlık hizmetine ihtiyaç duyduğu süre boyunca, yani yaşamın sonuna değin elektronik sistemde saklanacaktır. Kuvvetli suç şüphesi halinde dahi amaçla orantılı bir sürede saklanabilen bu verilerin, prim ödeyerek sağlık hizmetinden yararlanan yurttaşlar yönünden süresiz olarak saklanmasının süre yönünden de ölçüsüz bir tedbir olduğu açıktır. Dolayısıyla kuralın belirlilik ilkesiyle ve dolayısıyla hukuk devleti ilkesiyle bağdaşmadığı söylenemez.

Anayasa'nın 13. maddesinde, temel hak ve özgürlüklerin özlerine dokunulmaksızın ölçülülük ilkesine uygun şekilde, yasayla sınırlandırılabileceği belirtilmektedir. Ölçülülük ilkesi sınırlamada başvurulan aracın sınırlama amacını gerçekleştirmeye elverişli olmasını; bu aracın sınırlama amacı açısından gerekli olmasını ve araçla amacın ölçüsüz bir oran içinde bulunmamasını ifade eder. Burada kısıtlama için kullanılan araçla amaç arasında hak ve özgürlüğü en az sınırlayacak dengeli bir orantı aranmaktadır.

Özel hayatın gizliliği ve bu kapsamda kişisel verilerin korunması konusu her şeyden önce insan onuruna saygı ve kişilik haklarına dayanmaktadır. Bu hak, kişinin saygınlığını ve kişiliğini serbestçe geliştirmesini mümkün kılan şeref ve haysiyet, özel yaşam ve sağlık gibi kişisel değerler üzerindeki çıkarlarını belirterek, bireye kişiliğini dilediği şekilde, serbestçe geliştirebileceği, kendisi ve sevdikleriyle bir arada olabileceği özerk bir yaşam alanına sahip olma şansı vermektedir. Bu alanda birey, maddi ve manevi kişiliğini geliştirmek ve başkaları tarafından bilinmesini istemediği hususların güvence altına alınmasını istemek hakkına sahiptir.

Sosyal Güvenlik Kurumu tarafından özel sağlık kuruluşlarına başvuran hastalardan talep edilen biyometrik veriler, Anayasa'nın 20. maddesinde düzenlenen, 'özel hayatın gizliliği' ilkesinin mutlak koruması altındadır. Bireylerin sağlığına veya fiziksel/biyolojik özelliklerine ilişkin bilgilerin kişisel veri kapsamında olduğunda ise şüphe yoktur.

Kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin kanunla düzenlenmesi ön koşuldur. Başka bir deyişle kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir kamu otoritesinin, yasallık ve kişinin rızası koşullarını sağlaması halinde dahi veri işlemenin hukuka uygunluğundan söz etmek olanaklı olmayacaktır. Kişisel verilerin alınması ve işlenmesinin demokratik bir toplumda gerekli olması, amaçla orantılı ve ölçülü bir tedbir olması gerekmektedir. İtiraz konusu düzenlemede biyometrik yöntemlerle yapılacak kimlik doğrulaması sonucu elde edilen kişisel verilerin toplanması ve işlenmesinin kapsamı ile bu verilerin korunmasına ilişkin usul ve esaslara yer verilmemiştir.

Devlet Denetleme Kurulu da, Sağlık Bakanlığı ve Sosyal Güvenlik Kurumunu da kapsayan kişisel verilerle ilgili raporunda; kişisel verilerin hangi ilkeler kapsamında toplanacağı, ne şekilde korunacağı, kimlerle ve ne şekilde paylaşılabileceği, nasıl silineceği, kişilerin Anayasa ile getirilen haklarını kullanabilmeleri için kurumların ne tür önlemler alması gerektiği gibi pek çok konuda önemli sorunlar olduğuna dikkat çekmiştir.

(Devlet Denetleme Kurulunun; "Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları" hakkında hazırlanan 27/11/2013 tarih ve 2013/3 sayılı Denetleme Raporu Özeti, http://www.tccb.gov.tr/ddk26.pdf, erişim tarihi 25.3.2015)

Kuralın Anayasa'nın 13. maddesi bakımından yapılan değerlendirilmesinde, ölçülü ve gerekli olmadığı da açıktır. SGK yönünden sağlık suistimalleri gerekçe gösterilerek bu düzenlemenin yapıldığı kuralın gerekçesinden öne sürülmekteyse de; resmi kimlik belgelerini bir anlamda geçersiz kılan kuralın ölçülü ve gerekli olduğu kabul edilemez. Ayrıca Anayasa'nın 20. maddesinde belirtilen esaslı unsurlar da kuralda (yasada) yer almadığından, kuralın Anayasa'nın 20. maddesinin de ihlâli sonucuna yol açtığı ve Anayasa Mahkemesinin yukarıda işaret edilen iptal kararlarındaki ölçütleri taşımadığı görülmektedir.

Açıklanan nedenlerle, ilk nazarda sadece bir kimlik tespiti yöntemi gibi görünse de, gerçekte sigortalıların tüm sağlık bilgilerinin (hassas kişisel verilerinin) deşifre edilmesi, işlenmesi, kötüye kullanılması ihtimalini barındıran ve esaslı hiçbir ölçüt ve güvence ihtiva etmeyen kuralın Anayasa'nın 2., 13. ve 20. maddelerine aykırı olduğu ve iptali gerektiği kanaatine vardığımızdan; çoğunluğun aksi yöndeki kararına katılmıyoruz.