ANAYASA MAHKEMESİ KARARI
Esas Sayısı : 2016/125
Karar Sayısı : 2017/143
Karar Tarihi : 28.9.2017
R.G. Tarih – Sayı :
23.1.2018 – 30310
İPTAL DAVASINI AÇAN: Türkiye Büyük Millet Meclisi
üyeleri Engin ALTAY, Levent GÖK, Özgür ÖZEL ile birlikte 124 milletvekili
İPTAL DAVASININ KONUSU: 24.3.2016 tarihli ve
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun;
A. 4. maddesinin (2) numaralı fıkrasının (d) bendinde yer
alan “…veya işlendikleri amaç için gerekli olan…” ibaresinin,
B. 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f)
bentlerinin,
C. 6. maddesinin;
1. (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık
ve kıyafeti…” ibarelerinin,
2. (3) numaralı fıkrasının,
D. 7. maddesinin (2) numaralı fıkrasının,
E. 8. maddesinin (3) numaralı fıkrasının,
F. 9. maddesinin (6) numaralı fıkrasının,
G. 13. maddesinin (2) numaralı fıkrasının ikinci cümlesinin,
H. 15. maddesinin (3) numaralı fıkrasında yer alan “Devlet
sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresinin,
I. 16. maddesinin (2) numaralı fıkrasının ikinci cümlesinin,
İ. 24. maddesinin (3) numaralı fıkrasının (b) bendinde yer
alan “…Kurulca gerekli görülenlerin…” ibaresinin,
J. 28. maddesinin (1) numaralı fıkrasının (a) ve (ç)
bentlerinin,
K. 30. maddesinin (7) numaralı fıkrası ile değiştirilen
11.10.2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının
Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesinin,
Anayasa’nın 2., 5., 10., 13., 17., 20., 24., 25., 41., 56.
ve 90. maddelerine aykırılığı ileri sürülerek iptallerine ve yürürlüklerinin
durdurulmasına karar verilmesi talebidir.
I. İPTALİ İSTENEN KANUN HÜKÜMLERİ
İptali istenen kuralların yer aldığı 6698 sayılı Kanun’un;
1. 4. maddesi şöyledir:
“Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve
diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması
zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza edilme.”
2. 5. maddesi şöyledir:
“Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık
rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin
açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin
gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu
olması.”
3. 6. maddesi şöyledir:
“Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebiveya diğer inançları, kılık
ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası
olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki
kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası
aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve
bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası
aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul
tarafından belirlenen yeterli önlemlerin alınması şarttır.”
4. 7. maddesi şöyledir:
“Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri
sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle
getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”
5. 8. maddesi şöyledir:
“Kişisel verilerin aktarılması
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası
olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü
fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin
açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer
alan hükümler saklıdır.”
6. 9. maddesi şöyledir:
“Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası
olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı
maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel
verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili
yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt
etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası
aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan
edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve
ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri
aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel
verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve
uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu
tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde,
ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak
üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar
göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak
Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer
kanunlarda yer alan hükümler saklıdır.”
7. 13. maddesi şöyledir:
“Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili
taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri
sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin
niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak
sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde,
Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak
reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda
bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca
gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması
hâlinde alınan ücret ilgiliye iade edilir.”
8. 15. maddesi şöyledir:
“Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını
öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi
yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının
Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar
veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri
sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri
on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân
sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap
verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep
reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin
varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri
sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu
karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine
getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin
yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve
bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde,
ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça
hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına
aktarılmasının durdurulmasına karar verebilir.”
9. 16. maddesi şöyledir:
“Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından
kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri
işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak,
işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması
veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif
kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları
Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları
içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres
bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri
kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami
süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen
değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar
yönetmelikle düzenlenir.”
10. 24. maddesi şöyledir:
“Başkan
MADDE 24- (1) Başkan, Kurul ve Kurumun başkanı sıfatıyla
Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve
politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite
standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu
sağlar.
(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu
sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi,
değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini
kapsar.
(3) Başkanın görevleri şunlardır:
a) Kurul toplantılarını idare etmek.
b) Kurul kararlarının tebliğini ve Kurulca gerekli
görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını
izlemek.
c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini
atamak.
ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula
sunmak.
d) Stratejik planın uygulanmasını sağlamak, hizmet kalite
standartları doğrultusunda insan kaynakları ve çalışma politikalarını
oluşturmak.
e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak
Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.
f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve
düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.
g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.
ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki
alanını belirlemek.
h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine
getirmek.
(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet
eder.”
11. 28. maddesi şöyledir:
“İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından
tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili
faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya
kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat,
tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak
kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz
işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından
işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak
kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın
giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11
inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı
maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel
verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak
görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki
meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile
disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin
olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.”
12. 30. maddesi şöyledir:
“Değiştirilen ve eklenen hükümler
MADDE 30- (1) (10/12/2003 tarihli ve 5018 sayılı Kanun ile ilgili
olup yerine işlenmiştir.)
(2) ila (5) - (26/9/2004 tarihli ve 5237 sayılı Kanun ile ilgili
olup yerine işlenmiştir.)
(6) (7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel
Kanunu ile ilgili olup yerine işlenmiştir.)
(7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı
Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47
nci maddesi aşağıdaki şekilde değiştirilmiştir.
‘MADDE 47- (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık
kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık
hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen
hizmete ilişkin kişisel verileri işlenebilir.
(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile
sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla
Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu
veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında
aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel
verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin
erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve
güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun
belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun
uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için
gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli
tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik
sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile
özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve
personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin
uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle
düzenlenir.’”
II. İLK İNCELEME
1. Anayasa Mahkemesi İçtüzüğü hükümleri uyarınca Zühtü ARSLAN,
Burhan ÜSTÜN, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ, Osman Alifeyyaz
PAKSÜT, Recep KÖMÜRCÜ, Alparslan ALTAN, Nuri NECİPOĞLU, Hicabi DURSUN,
Celal Mümtaz AKINCI, Erdal TERCAN, Muammer TOPAL, M. Emin KUZ, Hasan Tahsin
GÖKCAN, Kadir ÖZKAYA ve Rıdvan GÜLEÇ’in katılımlarıyla 22.6.2016 tarihinde
yapılan ilk inceleme toplantısında dosyada eksiklik bulunmadığından işin
esasının incelenmesine, yürürlüğü durdurma talebinin esas inceleme aşamasında
karara bağlanmasına OYBİRLİĞİYLE karar verilmiştir.
III. ESASIN İNCELENMESİ
2. Dava dilekçesi ve ekleri, Raportör Berrak YILMAZ tarafından
hazırlanan işin esasına ilişkin rapor, dava konusu kanun hükümleri, dayanılan
ve ilgili görülen Anayasa kuralları ve bunların gerekçeleri ile diğer yasama
belgeleri okunup incelendikten sonra gereği görüşülüp düşünüldü:
A. Kanun’un 4. Maddesinin (2) Numaralı Fıkrasının (d) Bendinde Yer
Alan “…veya işlendikleri amaç için gerekli olan…” İbaresinin İncelenmesi
1. İptal Talebinin Gerekçesi
3. Dava dilekçesinde özetle, dava konusu kuralın yer aldığı
maddenin esas itibarıyla kişisel verilerin işlenmesindeki güvenceleri
düzenlediği, bu güvencelerden en önemlisinin kişisel verilerin muhafaza süresi
olduğu, işlendiği amaç için gerekli olan süre şeklindeki dava konusu kuralın
ise belirsiz, subjektif, geniş ve yorumlayana göre değişebilecek nitelikte
olduğundan kişisel verileri işleyen gerçek veya tüzel kişilerin ne kadar süre
ile kişisel verileri muhafaza edebileceğinin belirli olmadığı, kişilerin hukuk
güvenliğini tehdit ettiği ve Avrupa Konseyi tarafından hazırlanarak 1981
tarihinde imzaya açılan 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi
Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme’de (108 sayılı
Sözleşme) yer alan esaslarla uyumlu olmadığı belirtilerek kuralın Anayasa’nın
2. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
4. 6216 sayılı Anayasa Mahkemesinin Kuruluşu ve Yargılama Usulleri
Hakkında Kanun’un 43. maddesi uyarınca kural, ilgisi nedeniyle Anayasa’nın 20.
maddesi yönünden de incelenmiştir.
5. Dava konusu kuralın yer aldığı fıkrada, kişisel verilerin
işlenmesinde uyulması zorunlu ilkeler düzenlenmektedir. Fıkranın (d) bendinde
bu ilkelerden biri olarak kişisel verilerin mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi
öngörülmektedir. Fıkrada yer alan “…veya işlendikleri amaç için gerekli
olan …” ibaresi dava konusu kuralı oluşturmaktadır.
6. Anayasa’nın 2. maddesinde belirtilen hukuk devleti; eylem ve
işlemleri hukuka uygun, insan haklarına saygılı, bu hak ve özgürlükleri koruyup
güçlendiren, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek
sürdüren, Anayasa’ya aykırı durum ve tutumlardan kaçınan, Anayasa ve hukukun
üstün kurallarıyla kendini bağlı sayan, yargı denetimine açık olan devlettir.
7. Hukuk devletinin temel ilkelerinden biri de “belirlilik”tir.
Bu ilkeye göre yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi
bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve
uygulanabilir olması, ayrıca kamu otoritelerinin keyfî uygulamalarına karşı
koruyucu önlem içermesi gereklidir. Belirlilik ilkesi, hukuksal güvenlikle
bağlantılı olup bu ilke gereği birey hangi somut eylem ve olguya hangi hukuksal
yaptırımın veya sonucun bağlandığını, bunların hangi müdahale yetkisini
doğurduğunu bilmelidir. Birey ancak bu durumda kendisine düşen yükümlülükleri
öngörebilir ve davranışlarını belirler. Hukuk güvenliği; normların
öngörülebilir olmasını, bireylerin tüm eylem ve işlemlerinde devlete güven
duyabilmesini, devletin de yasal düzenlemelerde bu güven duygusunu zedeleyici
yöntemlerden kaçınmasını gerekli kılar.
8. Anayasa’nın 20. maddesinin birinci fıkrasında, “Herkes, özel
hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel
hayatın ve aile hayatının gizliliğine dokunulamaz.” denilerek özel hayatın
gizliliği hakkı güvence altına alınmıştır. Maddenin üçüncü fıkrasında ise
herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip
olduğu, bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini
talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de
kapsadığı ifade edilmiştir. Maddede ayrıca kişisel verilerin ancak kanunda
öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği ve kişisel
verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir.
9. 6698 sayılı Kanun’un 3. maddesine göre kişisel veri, kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade
etmektedir. Anayasa Mahkemesinin kararlarında da belirtildiği üzere ”...
Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece
kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası,
sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses
kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler,
etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık
bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm
veriler” kişisel veri olarak kabul edilmektedir (E. 2013/122, K.
2014/74, 9.4.2014; E. 2014/149, K. 2014/151, 2.10.2014; E. 2013/84, K.
2014/183, 4.12.2014; E. 2014/74, K. 2014/201, 25.12.2014; E. 2014/180, K.
2015/30, 19.3.2015; E. 2015/32, K. 2015/102, 12.11.2015).
10. Kişisel veri kavramı tarafı olduğumuz Avrupa İnsan
Hakları Sözleşmesi’nde (AİHS) açık bir şekilde düzenlenmemekle birlikte,
AİHS’nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM)
kararlarında 108 sayılı Sözleşme’ye atıfta bulunulmakta ve bu verilerin özel
yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM kararlarında
kişilere ait “görüntü”, “fotoğraf”, “parmak izi”, “DNA profili”, “hücre
örnekleri”, “ev adresi” ve “yaş, doğum tarihi ve fiziksel
özellikler” kişisel veri kapsamında değerlendirilmektedir (Peck/Birleşik
Krallık, B. No: 44647/98, 28.01.2003; Sciacca/İtalya, B.
No: 50774/99, 11.01.2005; S. ve Marper/Birleşik Krallık(Büyük Daire), B.
No: 30562/04, 30566/04, 04.12.2008; Alkaya/Türkiye, B. No:
42811/06, 09.10.2012; K.U./Finlandiya, B. No: 2872/02, 02.12.2008).
11. Kişisel verilerin korunmasında hâkim olan temel ilkeler dava
konusu kuralın da yer aldığı 6698 sayılı Kanun’un 4. maddesinde belirtilmiştir.
Maddede, kişisel verilerin işlenmesinde uyulması zorunlu bu ilkeler; hukuka ve
dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli,
açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli
olan süre kadar muhafaza edilme şeklinde sayılmıştır.
12. 108 sayılı Sözleşme’nin verilerin niteliğini düzenleyen 5.
maddesinin (e) bendinde de otomatik işleme konu olan kişisel verilerin “Kaydedilme
amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili
kişilerin kimliklerini belirlemeye imkân veren bir biçimde” saklanacağı
belirtilmiştir.
13. AİHM kararlarında da kişisel verilerin gerekenden uzun
süre tutulması ihlal nedeni olarak kabul edilmiştir. Mahkeme şüphelilerin
parmak izi, DNA profili ve hücre örneklerinin ulusal bir veri tabanına
aktarılmasına ilişkin başvuruda, kayıt altına alınabilir herhangi bir suç
dolayısıyla bir kişinin parmak izi ve DNA örneklerinin belirsiz bir süre
saklanmasına izin veren uygulamayı AİHS’nin 8. maddesine aykırı bulmuştur (S.
ve Marper/Birleşik Krallık ((Büyük Daire), B. No: 30562/04,
30566/04, 04.12.2008).
14. Dava konusu kuralın yer aldığı madde gerekçesinde, kişisel
verilerin ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli
olan süre kadar muhafaza edilmesinin zorunlu olduğu, buna göre veri
sorumlularının ilgili mevzuatta verilerin saklanması için öngörülen bir süre
varsa bu süreye uyacağı yoksa verileri ancak işlendikleri amaç için gerekli
olan süre kadar muhafaza edebileceği, bir verinin daha fazla saklanması için
geçerli bir sebep olmaması durumunda o verinin silineceği veya anonim hâle
getirileceği, gelecekte kullanma ihtimalinin varlığına dayanarak veri
saklanamayacağı, veri sorumlularının Kanun’un 16. maddesi uyarınca Veri
Sorumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlendikleri
amaç için gerekli olan azami süreyi bildirmek zorunda oldukları ifade
edilmektedir.
15. Kişisel verilerin işlendikleri amaç için gerekli olan süre
kadar muhafaza edilmesi ilkesi kişisel verilerin korunmasının en önemli
ilkelerinden biridir. Zira kişisel verilerin korunması hakkı, herhangi bir
kişinin kendisiyle ilgili olarak toplanan kişisel verilerin toplanma amacına
ulaşıldıktan sonra bilgisi dışında muhafaza edilmeyeceği veya başka bir amaç
için kullanılmayacağı güvencesine sahip olması hâlinde söz konusu olabilir.
Kişinin kişisel verilerinin hayatı boyunca bir yerlerde kayıtlı tutulacağını ve
başka bir amaçla kullanılabileceğini düşünmesi kişisel verilerin korunması
hakkını zedeler. Bu bağlamda dava konusu kuralla kanun koyucunun, ilgili
mevzuatta kişisel verilerin saklanması için bir süre öngörülmemesi durumunda bu
verilerin ancak işlendikleri amaç için gerekli olan süre kadar muhafaza
edilebilmesi suretiyle kişisel verilerin süresiz bir şekilde muhafaza edilmesi
ihtimalini ortadan kaldırmaya yönelik bir düzenleme yapmayı ve kanunda muhafaza
süresi belirtilmeyen kişisel verilerle ilgili olarak kişilere güvence sağlamayı
amaçladığı anlaşılmaktadır.
16. Çok geniş bir kavramı ifade eden kişisel veriler çok farklı
amaçlarla ve farklı şekillerde işlenebileceğinden kanun koyucu tarafından her
bir kişisel veri için önceden muhafaza edilme süresi öngörülmesi mümkün
olamayabilir. Diğer taraftan 6698 sayılı Kanun’un bireylere veri sorumlusuna
başvuru hakkının düzenlendiği 11. maddesine göre veri sahipleri her zaman
kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme hakkına sahip olduğu gibi kişisel verilerin silinmesi,
yok edilmesi veya anonim hâle getirilmesini düzenleyen 7. maddesine göre
öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme hakkına da sahiptir.
17. Ayrıca 6698 sayılı Kanun’un 16. maddesine göre Kişisel
Verileri Koruma Kurulu gözetiminde Başkanlık tarafından kamuya açık olarak
tutulan Veri Sorumluları Sicili’ne kişisel verileri işleyen gerçek ve tüzel
kişiler tarafından veri işlenmeye başlanmadan önce bulunulması gereken kayıt
başvurusunda yapılan bildirimde kişisel verilerin işlendikleri amaç için
gerekli olan azami sürenin de belirtilmesi gerekir. Kanun’un anılan hükümleri
ve 108 sayılı Sözleşme’nin 5. maddesinin (e) bendindeki süreye yönelik düzenleme
dikkate alındığında, muhafaza süresi mevzuatta öngörülmeyen kişisel verilerle
ilgili olarak kişilere güvence sağlamaya yönelik dava konusu kuralın belirsiz
ve subjektif bir niteliğe sahip olduğu söylenemez. Dolayısıyla kuralda kişisel
verilerin korunmasıyla ilgili uluslararası hukukta da temel ilkelerden biri
olarak kabul edilen verilerin amacın gerektirdiğinden daha uzun süre tutulmama
ilkesine aykırı bir yön bulunmamaktadır.
18. Açıklanan nedenlerle kural Anayasa’nın 2. ve 20. maddelerine
aykırı değildir. İptal talebinin reddi gerekir.
19. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
B. Kanun’un 5. Maddesinin (2) Numaralı Fıkrasının (c), (ç), (e) ve
(f) Bentlerinin İncelenmesi
1. İptal Taleplerinin Gerekçesi
20. Dava dilekçesinde özetle, dava konusu kuralların yer aldığı
maddede kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği
kuralının istisnalarının düzenlendiği, istisnaların sınırları belirlenmiş bir
şekilde tadadi olarak sayılması gerektiği ancak dava konusu kurallarla
istisnaların esas düzenleme hâline gelerek Kanun’un uygulanmasında açık rızanın
aranmasına gerek duyulmasının neredeyse imkânsız hâle getirildiği, kişisel
verilerin korunmasına ilişkin anayasal güvencenin yaşama geçirilebilmesi için
bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz
konusu haklarını kullanabilmelerine elverişli olması gerektiği ancak dava
konusu kuralların kapsam ve sınırlarının belirsiz olduğu, özellikle “meşru
menfaat” kavramının kapsamının belli olmadığı, temel hak ve
özgürlüklere ilişkin sınırlamanın Anayasa’ya uygun olabilmesi için temel
hakların sınırlandırılmasına ilişkin ilkelere aykırı olmaması ve bu bağlamda
kamu yararı ile özel hayatın gizliliği hakkı arasında adil bir denge kurması
gerektiği, dava konusu kuralların ise bireylerin özel yaşamına doğrudan bir
müdahale niteliğinde olduğu, kişisel verilerin korunması hakkını ölçüsüzce
sınırlandırdığı ve hakkın özüne zarar verdiği, kanun koyucunun takdir yetkisini
adalet, hakkaniyet ve kamu yararı ölçütlerini göz önünde tutarak kullanması
gerektiği, kuralların kamu yararı amacı taşımadığı belirtilerek
Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
21. Dava konusu kuralların yer aldığı maddede kişisel verilerin
işlenme şartları düzenlenmiştir. Maddenin birinci fıkrasında kişisel verilerin
ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmış, ikinci
fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerinin
işlenmesinin mümkün olduğu hâller belirtilmiştir. Bunlar (2) numaralı fıkranın
(a) bendinde, kanunlarda açıkça öngörülmesi; (b) bendinde, fiilî imkânsızlık
nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması; (c) bendinde, bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması; (ç) bendinde,
veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması; (d) bendinde, ilgili kişinin kendisi tarafından alenileştirilmiş
olması; (e) bendinde, bir hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması ve (f) bendinde, ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için
veri işlemesinin zorunlu olması şeklinde belirlenmiştir. Dava konusu kurallar
Kanun’un 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f)
bentleridir.
22. Anayasa’nın 2. maddesindeki hukuk devleti ilkesinin gereği
olarak kanunlar kamu yararı amacını gerçekleştirmek üzere çıkarılmalıdır.
Anayasa Mahkemesi’nin kimi kararlarında kamu yararı kavramından ne anlaşılması
gerektiği ortaya konulmuştur. Buna göre kamu yararı kavramı genel bir ifadeyle
bireysel, özel çıkarlardan ayrı ve bunlara üstün olan toplumsal yararı ifade
etmektedir. Bu bağlamda kanun koyucu, sosyal yaşamı düzenlemek için kamu yararı
amacıyla kimi kurallar koyabilir. Kamu yararı düşüncesi olmaksızın yalnız özel
çıkarlar için veya yalnız belli kişilerin yararına olarak kanun hükmü
konulamaz. Böyle bir durumun açık bir biçimde ve kesin olarak saptanması
hâlinde söz konusu kanun hükmü Anayasa’nın 2. maddesine aykırı düşer. Açıklanan
ayrık hâl dışında bir kanun hükmünün ülke gereksinimlerine uygun olup olmadığı,
hangi araç ve yöntemlerle kamu yararının sağlanabileceği bir siyasi tercih
sorunu olarak kanun koyucunun takdirinde olduğundan bu kapsamda kamu yararı
değerlendirmesi yapmak anayasa yargısıyla bağdaşmaz.
23. Anayasa’nın 20. maddesinin birinci fıkrasında özel hayatın
gizliliği hakkı güvence altına alınmıştır. Ancak aynı maddenin ikinci
fıkrasında millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel
sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin
korunması sebeplerinden biriyle özel hayatın gizliliğinin sınırlanmasına olanak
tanınmıştır. Anayasa Mahkemesi kararlarında da vurgulandığı üzere özel
sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün doğasından
kaynaklanan sınırlarının bulunduğu, ayrıca Anayasa'nın başka maddelerinde yer
alan hak ve özgürlükler ile devlete yüklenen ödevlerin özel sınırlama sebebi
gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği kabul edilmektedir.
24. Anayasa’nın 20. maddesinin üçüncü fıkrasında ise “Herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu
hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu
verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve
amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel
veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla
düzenlenir.” hükmü yer almaktadır.
25. 108 sayılı Sözleşme’nin 9. maddesinde de devlet güvenliği,
kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele
edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile
verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel
verilerin korunmasına sınırlamalar getirilebileceği belirtilmektedir.
26. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin
sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması
gerekmektedir. Anayasa’nın 13. maddesinde“Temel hak ve hürriyetler, özlerine
dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere
bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın
sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine
ve ölçülülük ilkesine aykırı olamaz.” denilmektedir. Anayasa’nın 13.
maddesi uyarınca özel hayatın gizliliği ve kişisel verilerin korunması hakları,
yalnızca kanunla ve demokratik bir toplumda gerekli olduğu ölçüde
sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın özüne dokunamayacağı
gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve
ölçülülük ilkesine aykırı olamaz.
27. Temel hak ve özgürlükler özlerine dokunulmaksızın yalnızca
Anayasa’da öngörülen sebeplerle ve ancak kanunla sınırlanabilir.
Dokunulamayacak “öz”, her temel hak ve özgürlük açısından farklılık
göstermekle birlikte kanunla getirilen sınırlamanın hakkın özüne dokunmadığının
kabulü için temel hakların kullanılmasını ciddi surette güçleştirip amacına
ulaşmasına engel olmaması ve etkisini ortadan kaldırıcı bir nitelik taşımaması
gerekir.
28. Temel hak ve özgürlüklerin özlerine dokunulmaksızın
yapılan sınırlamaların ise demokratik toplum düzeninin gerekleri ile ölçülülük
ilkesine aykırı olamayacağı belirtilmiştir. Öze dokunma yasağını ihlal etmeyen
müdahaleler yönünden gözetilmesi öngörülen “demokratik toplum düzeninin
gerekleri” kavramı, öncelikle ilgili hak yönünden getirilen sınırlamaların
zorunlu ve istisnai tedbir niteliğinde olmalarını gerektirmektedir. “Demokratik
toplum düzeninin gerekleri”nden olma, bir sınırlamanın demokratik bir
toplumda zorlayıcı bir toplumsal ihtiyacın karşılanması amacına yönelik
olmasını ifade etmektedir.
29. Anayasa’nın 13. maddesinde ifade edilen “ölçülülük ilkesi”,
temel hak ve özgürlüklerin sınırlandırılmasına ilişkin başvurularda dikkate
alınması gereken bir diğer ilkedir. Demokratik toplum düzeninin gerekleri ve
ölçülülük ilkeleri, iki ayrı kriter olarak düzenlenmiş olmakla birlikte bu iki
kriter arasında sıkı bir ilişki vardır. Temel hak ve özgürlüklere yönelik
herhangi bir sınırlamanın başvurulabilecek en son çare ya da alınabilecek en
son önlem olarak temel haklara en az müdahaleye olanak veren ölçülü bir
sınırlama niteliğinde olup olmadığının incelenmesi gerekir.
30. Demokratik toplum kişilerin temel hak ve özgürlüklerinin en
geniş şekilde güvence altına alındığı bir düzeni gerektirir. Demokrasilerde
devlete düşen görev temel hak ve özgürlükleri korumak ve geliştirmek, bunların
etkili şekilde kullanılmasını sağlayacak tedbirleri almaktır. Bu kapsamda devlet,
özellikle temel hak ve özgürlükleri ortadan kaldıracak veya bunlara ölçüsüz
müdahale teşkil edecek tutumlardan kaçınmalı ve başkalarından gelebilecek
tehditlere karşı bireyleri korumalıdır.
31. Özel hayatın gizliliği ve kişisel verilerin korunması hakkı,
temel hak ve özgürlükler arasında önemli bir yer alır. Özel hayatın
gizliliğinin korunması, bu hayatın başkalarının gözleri önüne serilmemesi
demektir. Kişinin özel hayatının, yalnız kendisi veya kendisinin bilmesini
istediği kimseler tarafından bilinmesini isteme hakkı, kişinin temel
haklarından biridir ve bu niteliği nedeniyle insan haklarına ilişkin beyanname
ve sözleşmelerde yer almış; demokratik ülkelerin mevzuatında açıkça belirlenen
istisnalar dışında devlete, topluma ve diğer kişilere karşı korunmuştur.
Kişisel verilerin korunması hakkı ise özel hayatın gizliliği hakkının özel bir
biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi
sırasında korumayı amaçlamaktadır. Kişisel verilerin korunmasını isteme hakkına
sağlanan anayasal güvencenin yaşama geçirilebilmesi için bu hakkı ilgilendiren
yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz konusu haklarını
kullanabilmelerine elverişli olması gerekir. Ancak böyle bir düzenleme ile
kişilerin özel hayatlarını ilgilendiren veri ve bilgilerin resmî makamların
keyfî müdahalelerine karşı korunması mümkün olabilir.
32. 6698 sayılı Kanun’un 5. maddesinde kişisel verilerin işlenme
şartları düzenlenmiştir. Buna göre kişisel veriler ilgili kişinin açık
rızası olmaksızın işlenemez. Maddenin dava konusu kuralın yer aldığı (2)
numaralı fıkrasında belirtilen şartlardan birinin varlığı hâlinde ilgili
kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
33. 6698 sayılı Kanun’un 3. maddesinde açık rıza “belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde
tanımlanmıştır. Madde gerekçesinde açık rızanın 95/46/EC sayılı Avrupa Birliği
Veri Koruma Direktifi (95/46/EC sayılı Direktif) dikkate alınarak tanımlandığı
ifade edildikten sonra açık rızanın ilgili kişinin kendisiyle ilgili veri
işlenmesine özgürce, konuyla ilgili yeterli bilgi sahibi olarak tereddüde yer
bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı
şeklinde anlaşılması gerektiği ifade edilmiştir.
34. 95/46/EC sayılı Direktif’in 2. maddesinin (h) bendine
göre “veri öznesinin rızası”, “kendisine dair kişisel verilerin
işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme
yapıldıktan sonra alınan rızayı” ifade etmektedir. Avrupa Birliği
tarafından 95/46/EC sayılı Direktif’in yerini almak üzere 2016 yılında kabul
edilen ve 2018 yılında yürürlüğe girecek olan 2016/679 sayılı Genel Veri Koruma
Yönetmeliği’nin 4. maddesinin (11) numaralı bendinde de veri sahibinin rızası “veri
sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel
verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş
spesifik, bilinçli ve açık gösterge” şeklinde tanımlanmaktadır.
35. 95/46/EC sayılı Direktif’in 7. maddesinin devamında açık rıza
kuralının istisnaları düzenlenmiştir. Buna göre kişisel verilerin işlenmesi,
bir sözleşme yapmadan önce veri öznesinin talebi üzerine önlem almak için ya da
veri öznesinin taraf olduğu bir sözleşmenin yerine getirilmesi için gerekliyse
veya işlenme denetleyicinin konusu olan bir yasal yükümlülüğe uyum için
gerekirse veya işlenme, veri öznesinin hayati menfaatlerini korumak için
gerekliyse veya işlenme, verilerin açıklandığı üçüncü bir şahıs veya
denetleyiciye yetki veren kamu makamının uygulamasında veya kamu menfaatine
yapılan bir görevin yerine getirilmesi için gerekliyse veya işlenme, bu tür
menfaatlerin 1. maddenin (1) numaralı fıkrası kapsamında koruma gerektiren veri
öznesinin temel hak ve özgürlükleriyle ilgili menfaatleri çiğnemesi haricinde
verilerin açıklandığı üçüncü şahıs veya şahıslar tarafından ya da denetleyici
tarafından takip edilen meşru menfaatlerin amaçları için gerekliyse veri
öznesinin açık rızası aranmayabilecektir.
36. Dava konusu kurallarla, ilgili kişinin açık rızası olmasa dahi
kişisel verilerin işlenebileceği hâllerden bir kısmı düzenlenmektedir. Buna
göre ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin
mümkün olduğu hâller “bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması”; “veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması”; “Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”
ile “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu
olması” şeklinde öngörülmüştür.
37. Dava konusu kuralların yer aldığı madde gerekçesinde, kişisel
verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği hâller örnekler
verilmek suretiyle detaylı olarak açıklanmıştır.
38. Fıkranın (c) bendiyle ilgili olarak madde gerekçesinde bir
sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebileceği,
örneğin yapılan bir sözleşme gereği paranın ödenmesi için
alacaklı tarafın hesap numarasının alınabileceği, bir bankayla kredi sözleşmesi
yapılması sırasında bankanın o kişiye ait maaş bordrosunu, tapu kayıtlarını,
icra borcu olmadığına dair belgeyi edinmesinin bu kapsamda değerlendirileceği
belirtilmiştir.
39. Fıkranın (ç) bendiyle ilgili olarak madde gerekçesinde veri
sorumlusunun, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan
verileri, ilgili kişinin rızası olmasa dahi işleyebileceği, örneğin bir
şirketin çalışanına maaş ödeyebilmesi için banka hesap numarası, evli olup
olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal
sigorta numarası gibi verileri işlemesinin bu bendin verdiği yetkiye istinaden
olacağı ifade edilmiştir.
40. Fıkranın (e) bendiyle ilgili olarak madde gerekçesinde bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
durumunda kişisel verilerin işlenebileceği, bu bağlamda bir şirketin kendi
çalışanı tarafından açılan bir davada ispat için bazı verileri kullanmasının
veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın,
kısıtlının mali bilgilerini tutmasının hukuka uygun sayılacağı belirtilmiştir.
41. Fıkranın (f) bendiyle ilgili olarak madde gerekçesinde ise
ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda
da açık rıza şartı aranmaksızın kişisel verilerin işlenebileceği, örneğin bir
şirket sahibinin çalışanlarının temel hak ve özgürlüklerine zarar vermemek
kaydıyla onların terfileri, maaş zamları yahut sosyal haklarının
düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve
rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini
işleyebileceği, burada işletmenin yeniden yapılandırılması ya da ehliyetli ve
liyakatli çalışanların terfi almalarının veri sorumlusu statüsündeki şirket
sahibinin “meşru menfaati” cümlesinden olduğu, kişisel
verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile
ilgili kişinin menfaat dengesinin gözetilmesi gerektiği açıklanmıştır.
42. Dava konusu kuralların, kişisel verilerin korunmasına yönelik
bir sınırlandırma getirdiği açıktır. Dava konusu kurallarla ilgili kişinin açık
rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu bir kısım
hâller düzenlenmek suretiyle kişisel verilerin korunması hakkına müdahalede
bulunulmuş ise de açık rıza olmaksızın işlenebilecek kişisel veriler, ilgilinin
her türlü kişisel verisi olmayıp dava konusu kurallarda açıkça düzenlenen
şartlardan birinin gerçekleşmesi durumu ile sınırlıdır. Bu bağlamda açık rıza
kavramına getirilen istisnaların esas düzenleme hâline getirildiği veya açık
rızaya gerek duyulmasını imkânsız hâle getirdiği söylenemez. Ayrıca dava konusu
kuralların, kişisel verilerin işlenmesini, bir işlemin yapılması, bir hakkın tesisi,
kullanılması veya korunması veya veri sorumlusunun meşru menfaatleri için
gerekli veya zorunlu olması durumlarıyla sınırlı tuttuğu dikkate alındığında
getirilen sınırlamaların kişisel verilerin korunması hakkının kullanılmasını
son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara
bağlamadığı da açıktır. Bir başka deyişle dava konusu kurallar, maddede
belirtilen konularda gereklilik veya zorunluluk hâllerinde ortaya çıkacak bir
ihtiyacın karşılanmasını sağlamaya yönelik olup hakkın özüne dokunmamaktadır.
Bu nedenle değerlendirilmesi gereken hususlar söz konusu sınırlamanın
demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine uygun olup
olmadığıdır.
43. Kanun koyucunun kurallarla zorunlu ve gerekli olan hâllerle
sınırlı olarak belirtilen konularda ilgili kişinin açık rızası olmaksızın
kişisel verilerinin işlenebilmesine olanak sağlamak suretiyle toplumsal yaşamda
belirtilen konularda ortaya çıkabilecek gecikme, aksaklık veya düzensizlikler
ile hak ve menfaat kayıplarının engellenmesini sağlamayı amaçladığı
anlaşılmaktadır. Kurallarla söz konusu verileri işleme yetkisinin amacı ve
faaliyet alanı belirlenmiş ve bu şekilde kamu yararı ile özel hayatın gizliliği
ve kişisel verilerin korunması hakları arasında adil bir denge kurulmuştur.
Ayrıca kurallarla belirtilen konularda söz konusu kişisel verilerin işlenmesi
durumunda ise 6698 sayılı Kanun’dan kaynaklanan kişisel verilerin işlenmesine
ilişkin tüm ilke, yükümlülük ve sorumluluklara ilişkin düzenlemeler
geçerliliğini korumaktadır. Bu durumda kişisel verilerin işlenmesinde 6698
sayılı Kanun’da yer alan kişisel verilerin korunmasıyla ilgili olarak kişisel
verilerin işlenmesinde uyulması zorunlu kurallar, kişisel verilerin işlenme
şartları, veri sorumlusunun aydınlatma yükümlülüğü, veri güvenliğine ilişkin
yükümlülükler ile veri sorumlusuna başvuru ve Kurula şikâyete ilişkin hükümler
uygulanacaktır.
44. Öte yandan 6698 sayılı Kanun’un 17. maddesinde kişisel
verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza
Kanunu’nun 135 ila 140. maddeleri hükümlerinin uygulanacağı ve Kanun’un 7.
maddesi hükmüne aykırı olarak kişisel verileri silmeyen veya anonim hâle
getirmeyenlerin 5237 sayılı Kanun’un 138. maddesine göre cezalandırılacağı
hükme bağlanmıştır. 5237 sayılı Kanun’un 136. maddesi uyarınca da kişisel
verileri hukuka aykırı olarak başkasına vermek, yaymak veya ele geçirmek suç olarak
düzenlenmiştir. Dolayısıyla dava konusu kural kapsamında elde edilecek
bilgilerin amacı dışında kullanılmasını önleyecek ve kişilerin özel hayatına
dair bilgilerin ve kişisel verilerin ifşa edilmesini önleyecek yasal güvencenin
sağlandığı görülmektedir.
45. Bu bağlamda Kanun’da sınırlama aracının sınırlama amacına
uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer
verildiği ve yeterli korumanın sağlandığı da dikkate alındığında dava konusu
kurallarla getirilen sınırlamaların özel hayatın gizliliği ve kişisel verilerin
korunması hakkının özünü zedelemediği gibi amaç ile araç arasında makul denge
kurduğu da açıktır. Dolayısıyla anılan kurallar, demokratik toplum düzeninin
gereklerine aykırılık teşkil etmediği gibi özel hayatın gizliliği ve kişisel
verilerin korunması hakkına ölçüsüz bir müdahale de teşkil etmemektedir.
46. Anayasa’nın 20. maddesi, kişisel verilerin korunmasını isteme
hakkına sağlanan anayasal güvenceyi kişisel verilerin ancak kanunda öngörülen
hâllerde veya kişinin açık rızasıyla işlenebileceği şeklinde belirtmiştir.
Dolayısıyla bu hakkı ilgilendiren yasal düzenlemelerin çerçevesi çizilmiş;
açık, anlaşılabilir, kişilerin söz konusu haklarını kullanabilmelerine
elverişli ve özel hayatlarını ilgilendiren veri, bilgi ve belgelerin resmî
makamların keyfî müdahalelerine karşı korunmasını mümkün hâle getirmesi
gerekmektedir. Bu bağlamda dava konusu kurallar madde gerekçeleriyle birlikte
değerlendirildiğinde ilgili kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesinin mümkün olduğu hâllerin kapsam, amaç ve sınırlarının
Kanun’da açıkça yer alması karşısında kuralların belirsiz olduğu söylenemez.
47. Ayrıca dava dilekçesinde “meşru menfaat” kavramının
belirsiz olduğu ifade edilmiştir. Ancak bu kavramın çalışanların temel hak ve
özgürlüklerine zarar vermemek kaydıyla gerekçede ifade edilen temel ilkelere
uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi
çerçevesinde değerlendirilmesi gereken bir kavram olarak anlaşılması gerektiği
dikkate alındığında belirsiz olduğu söylenemez.
48. Açıklanan nedenlerle kurallar Anayasa’nın 2., 13. ve 20.
maddelerine aykırı değildir. İptal taleplerinin reddi gerekir.
49. Kuralların Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
C. Kanun’un 6. Maddesinin (1) Numaralı Fıkrasında Yer Alan “…mezhebi...”, “…kılık
ve kıyafeti,…” İbareleri ile (3) Numaralı Fıkrasının İncelenmesi
1. “…mezhebi...” ve “…kılık ve
kıyafeti,…” İbarelerinin İncelenmesi
a. İptal Taleplerinin Gerekçesi
50. Dava dilekçesinde özetle, dava konusu “mezhebi” ile “kılık
ve kıyafeti” ibarelerinin, Anayasa Mahkemesi kararları, 108 sayılı
Sözleşme, Ekonomik Kalkınma ve İşbirliği Örgütü (OECD) tarafından yayımlanan
Kişisel Verilerin Korunması Rehber İlkeler ile 95/46/EC sayılı Direktif’te
tanımlanan kişisel veri kavramlarıyla uyumlu olmadığı, uluslararası insan
hakları hukuku ile bağdaşmayacak nitelikte olduğu, mezhep, kılık ve kıyafete
ilişkin verilerin toplanmasının Her Türlü Irk Ayrımcılığının Tasfiye Edilmesine
Dair Uluslararası Sözleşme’de sağlanan güvencelere aykırı olduğu, kanun
koyucunun takdir yetkisinin aşıldığı ve yerleşik fişleme tarihi tartışmalarının
olduğu ülkemizde bireyler bakımından güvence değil risk oluşturduğu, toplumsal
cinsiyet ayrımcılığına neden olacak nitelikte olduğundan eşitlik ilkesine
aykırılık teşkil ettiği, kişinin sahip olduğu din ve vicdan özgürlüğü ile
düşünce ve ifade özgürlüğünü ihlal ettiği belirtilerek dava konusu ibarelerin
Anayasa’nın 2., 10., 20., 24., 25. ve 90. maddelerine aykırı olduğu ileri
sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
51. Dava konusu ibarelerin yer aldığı fıkrada özel nitelikli
kişisel veriler düzenlenmiştir. Fıkrada kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verilerin özel nitelikli kişisel veri olduğu belirtilmektedir. Fıkrada yer alan
“...mezhebi...” ve “...kılık ve kıyafeti...” ibareleri
dava konusu kuralları oluşturmaktadır.
52. Anayasa’nın 2. maddesinde hukuk devleti ilkesi, 20. maddesinde
ise kişisel verilerin korunması hakkı düzenlenmiştir.
53. Dava konusu kuralla, kişilerin mezhebine, kılık ve
kıyafetine ilişkin verileri özel nitelikli kişisel veriler olarak kabul
edilmektedir. Mezhep bir dinin görüş, yorum ve anlayış farklılıkları sebebiyle
ortaya çıkan kollarından her biri; kılık ve kıyafet ise bir kimsenin giyinişi,
dış görünüşü, üst başı, giysisi şeklinde ifade edilmektedir.
54. 6698 sayılı Kanun’un 6. maddesinin (2) numaralı fıkrası
gereğince özel nitelikli kişisel verilerin kural olarak ilgilinin açık rızası
olmaksızın işlenmesi yasaktır. Bu kuralın istisnaları ise maddenin (3) numaralı
fıkrasında düzenlenmiştir. Maddenin (4) numaralı fıkrasına göre ise özel
nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verileri Koruma Kurulu
tarafından belirlenen yeterli önlemlerin alınması şarttır.
55. Dava konusu kuralların yer aldığı maddenin gerekçesinde bazı
kişisel verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin
mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabileceğinden bu tür
verilerin özel nitelikli (hassas) veri olarak kabul edildiği ifade edilmiştir.
Bu bağlamda kişilerin dinî görüş, yorum ve anlayış farklılıklarını ortaya koyan
verileri ile dinî inancıyla bağlantılı kılık ve kıyafetine ilişkin verilerin
özel nitelikli kişisel veriler olduğu kuşkusuzdur.
56. Nitekim 108 sayılı Sözleşme’nin 6. maddesi ile 2016/679 sayılı
Avrupa Birliği Genel Veri Koruma Yönetmeliği’nin 9. maddesinde “dini
veya diğer inançları ortaya koyan kişisel nitelikteki veriler” özel
veri kategorileri arasında belirtilmiştir.
57. Kanun koyucunun dava konusu kurallarla, kişilerin mezhebi ile
kılık ve kıyafetiyle ilgili verileri daha özel bir korumaya tabi olması gereken
verilerden kabul etmek suretiyle bu tür verileri diğer verilerden ayırdığı ve
işlenmesini daha özel koşullara bağladığı anlaşılmaktadır. Dolayısıyla dava
konusu kuralların amacının bu verilerin toplanmasına yasal dayanak sağlamak
değil kişisel veri olduğunda şüphe olmayan bu verileri özel koruma altına
almaya yönelik olduğu açıktır. Bu bağlamda kişilerin mezhebi ve kılık ve kıyafetiyle
ilgili verileri daha özel bir koruma altına almak kanun koyucunun takdir
yetkisi kapsamında olup kuralların Anayasa’ya aykırı bir yönü bulunmamaktadır.
58. Öte yandan kişilerin ayrımcılığa uğramasına neden olabilecek
alanlarda bilgilerin toplanmasının, farklı grupların özel ihtiyaçlarının tespit
edilmesi ve ayrımcılıkla mücadelede oluşan boşluk ve eksikliklerin tespit
edilmesi ve giderilmesi bakımından önemli olduğu da bir gerçektir. Bu kapsamda
hak sahiplerine yönelik politika ve hizmet geliştirmek için bazı verilerin
toplanması gerekli olabilir. Bu durumlarda mezhep ve kılık kıyafet ile ilgili
verilerin işlenmesine olanak sağlayacak kanunların amaç, kapsam ve sınırlarının
Anayasa’da güvence altına alınan din ve vicdan özgürlüğü, düşünce ve ifade
özgürlüğü ve kişisel verilerin korunmasına ilişkin hükümlerde düzenlenen
hakların özüne dokunmaması gerekir. Bu husus ise özellikle kanun koyucunun
kişilerin mezhebi ve kılık ve kıyafet ile ilgili verilerin işlenmesine
kişilerin açık rızası olmaksızın imkân verdiği yasal düzenlemeler yapılırken
göz önüne alınmalıdır. Bu bağlamda her ne kadar dava dilekçesinde dava konusu
kuralların söz konusu özgürlükleri ihlal ettiği ifade edilmişse de kanun
koyucunun salt kişilerin mezhebi ve kılık ve kıyafeti ile ilgili kişisel
verileri özel nitelikli kişisel veri kabul etmek suretiyle daha özel bir koruma
altına almayı amaçladığı dikkate alındığında dava konusu kuralın bu hak veya
özgürlükleri ve dolayısıyla Anayasa’yı ihlal ettiği söylenemez.
59. Açıklanan nedenlerle kural Anayasa’nın 2. ve 20. maddelerine
aykırı değildir. İptal talebinin reddi gerekir.
60. Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz
PAKSÜT bu görüşe katılmamışlardır.
61. Kuralın Anayasa’nın 10., 24., 25. ve 90. maddeleriyle ilgisi
görülmemiştir.
2. (3) Numaralı Fıkranın İncelenmesi
a. İptal Talebinin Gerekçesi
62. Dava dilekçesinde özetle, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla kişilerin cinsel hayatlarına ve sağlığına
ilişkin verilerin açık rıza olmaksızın işlenebilmesinin kabul edilemez olduğu,
özellikle cinsel hayatın bireyin özel yaşamının en mahrem yönünü oluşturduğu,
kişilerin cinsel hayatlarına ve sağlığına ilişkin verilerin toplanmasında
hiçbir ayırt edici ölçütün bulunmadığı, kuralın kişilerin sağlık hakkına
erişimden çeşitli endişelerle kaçınmalarına neden olabileceği ve bu durumun
aynı zamanda kişilerin yaşam hakkına, maddi ve manevi varlıklarını
geliştirmesine de müdahale anlamına geldiği, sağlıkla ilgili kişisel verilerin
neredeyse hiçbir sınırlamaya tabi tutulmadan toplanması, işlenmesi ve
aktarılmasının insan haklarına saygılı bir devlet olma yükümlülüğü ile
bağdaşmadığı, yeterli tedbirlerin niteliğine ve kapsamına yer vermeyerek etkin
korumanın sağlanmadığı ve belirsizliğe neden olunduğu, demokratik bir toplumda
kişilerin özel hayatının gizliliği hakkını bütünüyle ortadan kaldıracak bir
müdahale niteliğinde olan kuralın kişilerin sağlıkları ile ilgili bilgilerin
korunmasına yönelik uluslararası normlara aykırı olduğu, verileri işleyecek
yetkili kurum ve kuruluşlar ibaresinin geniş bir kapsama sahip olduğu
belirtilerek kuralın Anayasa’nın 2., 10., 17., 20., 24., 25., 56. ve 90.
maddelerine aykırı olduğu ileri sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
63. 6216 sayılı Kanun’un 43. maddesi uyarınca kural ilgisi
nedeniyle Anayasa’nın 5. ve 13. maddeleri yönünden de incelenmiştir.
64. Dava konusu kuralın yer aldığı maddede özel nitelikli kişisel
veriler sayılarak bu verilerin ilgilinin açık rızası olmaksızın işlenmesinin
yasak olduğu belirtilmiştir. Dava konusu kural ise birinci fıkrada
sayılan cinsel hayat ve sağlık dışındaki kişisel verilerin kanunlarda
öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği,
cinsel hayata ve sağlığa ilişkin kişisel verilerin ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği
öngörülmektedir.
65. Anayasa’nın 2. maddesinde belirtilen sosyal hukuk devleti;
insan hak ve hürriyetlerine saygı gösteren, kişilerin huzur, refah ve mutluluk
içinde yaşamalarını güvence altına alan, kişi ile toplum arasında denge kuran,
güçsüzleri güçlüler karşısında koruyarak sosyal adaleti gerçekleştiren, bu
bağlamda sağlık hizmetlerinden bireylerin yeteri kadar yararlanmasını sağlayan
devlettir. Devlet, herkesin sağlık hizmetlerinden yararlanması için gerekli
tedbirleri almalı; kişilerin sağlık hizmetlerinden yararlanmasını sağlamalıdır.
Devletin bu alandaki görevlerini yerine getirirken uygulayacağı
sınırlamalar, Anayasa’nın 13. maddesinin öngördüğü üzere Anayasa’nın
sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine
ve ölçülülük ilkesine aykırıolmamalıdır.
66. Anayasa’nın 17. maddesinde “Herkes, yaşama, maddî ve manevî
varlığını koruma ve geliştirme hakkına sahiptir.” denilmektedir. Kişinin
yaşama hakkı ile maddi ve manevi varlığını koruma hakkı; birbirleriyle sıkı
bağlantıları olan, devredilmez ve vazgeçilmez haklarındandır.
67. Anayasa’nın 56. maddesinin birinci fıkrasında herkesin
sağlıklı ve dengeli bir çevrede yaşam hakkına sahip olduğu hüküm altına
alınmış, üçüncü fıkrasında ise devlete herkesin hayatını, beden ve ruh
sağlığı içinde sürdürmesini sağlamak amacıyla sağlık kuruluşlarını tek elden
planlayıp hizmet vermesini düzenlemek ödevi verilmiştir. Sağlık hakkı,
insanların sağlıklarının korunması, hastalandıklarında iyileşmeleri, tıbbi
bakım görebilmeleri ve tedavi edilebilmeleri için devletin sağladığı her türlü
imkândan yararlanma hakkıdır. Sağlık hakkı, insanların doğuştan kazandıkları
vazgeçilemez ve devredilemez haklardan biridir. Yine devlet, kişilerin yaşam
hakkını güvence altına almakla yükümlüdür. Aynı maddede “Herkes, yaşama, maddî
ve manevî varlığını koruma ve geliştirme hakkına sahiptir.” denilmektedir.
68. Anayasa'nın 5. maddesi de insanın maddi ve manevi
varlığının gelişmesi için gerekli şartları hazırlamayı devletin temel amaç ve
görevleri arasında saymıştır. Devlet, kişilerin sağlık hakkından tam anlamıyla
yararlanabilmeleri ve sağlıklı bir yaşam sürdürebilmeleri amacıyla yasal,
idari, mali, yargısal ve diğer önlemleri almak zorundadır. Bu nedenle Anayasa, kişiler için bir hak olan sağlık
hizmetinin yerine getirilmesinde sosyal
hukuk devleti olmanın gereği olarak devlete
pozitif yükümlülük getirmektedir.
69. Anayasa, sosyal hukuk devleti olmanın gereği olarak sağlık
hizmetlerinin sunumunda yüklediği pozitif yükümlülük kapsamında devleti, bu
haklardan yararlanmayı artıracak önlemleri almakla mükellef kılmıştır. Bu
nedenle Anayasa’nın 17. ve 56. maddelerinde öngörülen kişilerin yaşama, maddi
ve manevi varlığını koruma ve geliştirme hakkı ile sağlık hakkından yararlanma
konusunda en geniş ölçekli uygulamaların gerçekleştirilmesi gerekir. Zira
sağlık hizmeti doğrudan yaşama hakkı ile ilgili olması nedeniyle diğer kamu
hizmetlerinden farklı olup bu hizmetin temel hedefi olan insan sağlığı ve
yaşamı, mahiyeti itibarıyla ertelenemez ve ikame edilemez bir özelliğe
sahiptir. Kişiler için bir hak olan bu hizmetten yararlanmayı kolaylaştırıcı düzenlemeler yapılması ve bu
hizmetin daha iyi bir şekilde gerçekleştirilmesi
için gerekli tedbirlerin alınması devletinAnayasa’dan
kaynaklanan bir ödevidir. Dolayısıyla Anayasa’da devlete verilen görevlerin
gereği olarak kişilerin sağlıklı bir şekilde yaşam sürdürmeleri için genel
sağlığın korunması amacıyla düzenlenen dava konusu kurallar demokratik toplum
düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
70. Anayasa’nın 20. maddesinin birinci fıkrasında “Herkes, özel
hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel
hayatın ve aile hayatının gizliliğine dokunulamaz.” denilerek özel hayatın
gizliliği güvence altına alınmıştır. Maddenin üçüncü fıkrasında ise herkesin
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu
hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu
verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve
amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı ifade
edilmiştir. Maddede ayrıca kişisel verilerin ancak kanunda öngörülen hallerde
veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına
ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir. Kişisel
verilerin korunması hakkı, bireyin hak ve özgürlüklerini kişisel verilerin
işlenmesi sırasında korumayı amaçlamaktadır. Ancak bu hak sınırsız olmayıp
düzenlendiği maddede özel sınırlama nedeni öngörülmemiş özgürlüklerin de o
özgürlüğün doğasından kaynaklanan bazı sınırlarının bulunduğu, ayrıca Anayasa'nın
başka maddelerinde yer alan hak ve özgürlükler ile Devlete yüklenen ödevlerin
özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil
edebileceği kabul edilmektedir.
71. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin
sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması
gerekmektedir. Anayasa’nın 13. maddesi uyarınca, temel hak ve özgürlüklere
yapılacak müdahaleler, demokratik toplum düzeninin gereklerine ve ölçülülük
ilkesine aykırı olamaz. Ölçülülük ilkesi, yasal sınırlamanın öngörülen amaç
için zorunlu ve amaca ulaşmaya elverişli olmasını, ayrıca amaç ve araç arasında
hakkaniyete uygun bir dengenin bulunması gereğini ifade eder.
72. 108 sayılı Sözleşme’nin 9. maddesinde de bazı durumlarda
kişisel verilerin korunmasına sınırlamalar getirilebilmesi öngörülmüştür.
Ayrıca 95/46/EC sayılı Direktif’in 8. maddesinin (1) numaralı fıkrasında beş
kategoride yer alan özel nitelikli kişisel verilerin işlenmesi kural olarak
yasaklanmış ancak maddenin (2) numaralı fıkrasında bunun istisnaları
düzenlenerek veri işlemenin önleyici hekimlik, tıbbi teşhis, tıbbi yardım veya
bakım veya sağlık hizmetlerinin idarî olarak yürütülmesi için gerekli olması ve
bu verilerin ya sağlık personeli veya sağlık personeli gibi sır saklamaya tabi
kişiler tarafından işlenmesinin mümkün olduğu ifade edilmiştir. Maddede ayrıca
bu istisnaların yanında üye devletlerin uygun önlemleri almak koşuluyla kamu
yararı için başka bazı istisnalar da belirleyebileceği belirtilmiştir.
73. Dava konusu kuralın ilk cümlesinde, cinsel hayat ve sağlık
dışındaki özel nitelikli kişisel verilerin kanunlarda öngörülen hâllerde
kişilerin açık rızası olmaksızın da işlenebileceği belirtilmiştir. Bunlar ise
kanun koyucunun takdir yetkisi kapsamında Kanun’un 6. maddesinin (1) numaralı
fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri olarak ifade edilmiştir. Anayasa’nın 20.
maddesinde de belirtildiği üzere kişisel veriler ancak kanunda öngörülen
hâllerde veya kişinin açık rızasıyla işlenebilir. Dolayısıyla kişisel verilerin
işlenmesine kanunda açıkça imkân tanınan durumlarda kişinin açık rızasına
ayrıca ihtiyaç bulunmamaktadır. Bu yönüyle kural Anayasa hükmünün tekrarı
niteliğinde olup söz konusu kişisel verilerin, ilgilinin açık rızası olmaksızın
işlenebileceği halleri doğrudan düzenlememekte, “kanunlarda öngörülen
hallere” atıfta bulunmaktadır. Kişisel verilerin ilgili kişilerin açık
rızası olmaksızın işlenebileceği halleri düzenleyen kanunların iptalleri
talebiyle Anayasa Mahkemesine başvurulması durumunda ise söz konusu
düzenlemelerin Anayasa’ya aykırı olup olmadıklarının inceleneceği ve bu
kapsamda Anayasa’nın 13. maddesi hükmünün de gözetileceği tabiîdir. Bu nedenle,
Anayasanın 20. maddesinde yer alan düzenlemeye uygun olarak kişisel
verilerin “kanunlarda öngörülen hallerde” ilgili kişinin açık
rızasının aranmaksızın işlenebileceğinin belirtildiği kuralda Anayasa’ya
aykırılık bulunmamaktadır.
74. Dava konusu kuralın ikinci cümlesinde ise sağlık ve cinsel
hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık
rızası aranmaksızın işlenebileceği belirtilmektedir. Dava konusu kuralla
kişisel verilerin korunması hakkı, Anayasa’nın 17. ve 56. maddelerinden
kaynaklanan sebeplerle ve maddede sayma yöntemiyle belirtilen amaçlarla
sınırlandığı anlaşılmaktadır.
75. Cinsel hayata ve sağlığa ilişkin kişisel verilerin işlenmesi
bakımından kural ilgilinin açık rızasının bulunmasıdır. Dava konusu kuralla bu kişisel
verilerin ilgilinin açık rızası olmaksızın işlenebileceği hâller belirtilmek
suretiyle bu kurala istisna getirilmiştir. Özel nitelikli kişisel veri
olduğunda kuşku olmayan sağlık ve cinsel hayata ilişkin verilerin söz konusu
durumlarda ilgilinin açık rızası aranmaksızın işlenebileceğini düzenleyen
kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına bir
müdahale söz konusu ise de kuralla kişisel verilerin işlenmesinin amaç
bakımından sınırlandığı dikkate alındığında, getirilen sınırlamanın mezkûr
hakların kullanılmasını son derece zorlaştıran veya onu kullanılamaz duruma
düşüren kayıtlara bağlandığı söylenemeyeceğinden hakkın özüne dokunmadığı
açıktır. Bu nedenle değerlendirilmesi gereken husus, bu müdahalenin demokratik
toplum düzeninin gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
76. Kanun koyucunun dava konusu kuralla, halk sağlığının korunması
ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi suretiyle kamu
sağlığının korunmasını; sağlık hizmetleri ile bu hizmetlerin finansmanının
planlanması ve yönetimi suretiyle teşhis, tedavi ve rehabilite edici sağlık
hizmetlerinin yürütülmesi, eğitim ve araştırma faaliyetlerinin geliştirilmesi,
insan gücü ve maddi kaynaklarda tasarruf sağlanması ve verimin artırılmasını
amaçladığı anlaşılmaktadır. Dolayısıyla Anayasa’da devlete verilen görevlerin
gereği olarak kişilerin sağlıklı bir şekilde yaşam sürdürmeleri için genel
sağlığın korunması amacıyla düzenlenen dava konusu kural demokratik toplum
düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
77. Öte yandan ilgilinin kişisel verilerinin açık rızası
olmaksızın kamu yararı amacıyla işlenebileceği hâllerin kapsam, amaç ve
sınırların kanunda açıkça yer alması ve maddenin (4) numaralı fıkrasında belirtildiği
gibi özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından
belirlenen yeterli önlemlerin alınacağı dikkate alındığında dava konusu
kuralın belirsiz olduğu da söylenemez.
78. Ayrıca dava konusu kuralda belirtilen sebeplerle kişisel
verilerin işlenmesi ancak sır saklama yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından yapılabilecektir. Sır saklama
yükümlülüğü altında olan kişiler ise avukat, hekim veya mali müşavir gibi kendi
kanunlarında görevleri dolayısıyla edindikleri bilgileri zamanla sınırlı
olmaksızın açığa vurmaları yasak olan ve bu yasağın ihlali hâlinde hukuki ve
cezai sorumluluğu olan kişilerdir.
79. 6698 sayılı Kanun’da kişisel verilerin işlenmesinde uyulması
zorunlu ilke ve kurallar, kişisel verilerin işlenme şartları, veri sorumlusunun
aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler ile veri
sorumlusuna başvuru ve Kurula şikâyete ilişkin ayrıntılı düzenlemeler
yapılmıştır. Kanun’un 17. maddesinde ise kişisel verilere ilişkin suçlar
bakımından 5237 sayılı Kanun’un 135 ila 140. maddeleri hükümlerinin
uygulanacağı ve Kanun’un 7. maddesi hükmüne aykırı olarak kişisel verileri
silmeyen veya anonim hâle getirmeyenlerin 5237 sayılı Kanun’un 138. maddesine
göre cezalandırılacağı hükme bağlanmıştır. 5237 sayılı Kanun’un 136. maddesi
uyarınca da kişisel verileri hukuka aykırı olarak başkasına vermek, yaymak veya
ele geçirmek suç olarak düzenlenmiştir.
80. 6698 sayılı Kanun, 5237 sayılı Kanun ve ilgili diğer
kanunlarda yer alan düzenlemeler birlikte değerlendirildiğinde dava konusu
kural kapsamında işlenecek verilerin amacı dışında kullanılmasını ve kişilerin
özel hayatına dair bilgilerin ve kişisel verilerin ifşa edilmesini önleyecek
yasal güvencenin sağlandığı görülmektedir. Bu bağlamda dava konusu kuralda
kişisel verilerin korunması hakkına sınırlama yapılırken Kanun’da sınırlama
aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak
yasal güvencelere de yer verildiği, böylece hem özel hayatın gizliliği ve
kişisel verilerin korunması haklarının özünün zedelenmesinin önlendiği hem de
bu haklar ile toplum sağlığının korunmasına yönelik önlemler arasındaki makul
dengenin kurulduğu görülmektedir. Dolayısıyla dava konusu kuralla kişisel
verilerin korunmasını isteme hakkının özüne dokunan ya da bu hakkı ölçüsüz
şekilde sınırlandıran bir husus bulunmadığı gibi kuralın demokratik toplum
düzeninin gereklerine aykırılık teşkil ettiği de söylenemez.
81. Açıklanan nedenlerle kurallar 2., 5., 13., 17., 20. ve
56. maddelerine aykırı değildir. İptal taleplerinin reddi gerekir.
82. Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman
Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
83. Kuralların Anayasa’nın 10., 24., 25. ve
90. maddeleriyle ilgisi görülmemiştir.
D. Kanun’un 7. Maddesinin (2) Numaralı Fıkrasının
İncelenmesi
1. İptal Talebinin Gerekçesi
84. Dava dilekçesinde özetle, 6698 sayılı Kanun’un kişisel veriler
alanına ilişkin genel kanun niteliğinde olduğu, kişisel verilerinin silinmesi,
yok edilmesi veya anonim hâle gelmesi hakkında bu Kanun hükümlerinin esas
alınması gerektiği, bu hususlara ilişkin diğer kanunlarda yer alan hükümleri
saklı tutan dava konusu kuralın çok geniş kapsamlı olduğu, bireylerin
hangi kişisel verilerinin hangi kanunda hangi düzenleme ile silineceği veya ne
kadar sürede silineceğini bilemeyeceği, kişisel verilerin yok edilme ve anonim
hâle getirilmesi şartlarının belirsiz olduğu, kamu yararı ve ölçülülük
ilkesinin gözetilmediği belirtilerek kuralın Anayasa’nın 2. maddesine aykırı
olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
85. Dava konusu kuralın yer aldığı maddede kişisel verilerin
silinmesi, yok edilmesi veya anonim hâle getirilmesi düzenlenmiştir. Maddede,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği,
yok edileceği veya anonim hâle getirileceği hükme bağlanmaktadır. Dava konusu
kuralda ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu
belirtilmektedir.
86. Hukuk devleti ilkesinin gereği olarak kanunlar kamu yararı
amacını gerçekleştirmek üzere çıkarılmalıdır. Anayasa Mahkemesi kararlarında
ifade edildiği gibi kamu yararı düşüncesi olmaksızın yalnız özel çıkarlar için
veya yalnız belli kişilerin yararına olarak kanun hükmü konulamaz. Böyle bir
durumun açık bir biçimde ve kesin olarak saptanması hâlinde söz konusu kanun
hükmü Anayasa’nın 2. maddesine aykırı düşer. Açıklanan ayrık hâl dışında bir
kanun hükmünün ülke gereksinimlerine uygun olup olmadığı ve hangi araç ve
yöntemlerle kamu yararının sağlanabileceği bir siyasi tercih sorunu olarak
kanun koyucunun takdirinde olduğundan bu kapsamda kamu yararı değerlendirmesi
yapmak anayasa yargısıyla bağdaşmaz.
87. Kanun koyucu, takdir yetkisi içerisindeki düzenlemeleri
yaparken hukuk devleti ilkesinin bir gereği olan ölçülülük ilkesiyle de
bağlıdır. Bu ilke ise “elverişlilik”, “gereklilik” ve “orantılılık”
olmak üzere üç alt ilkeden oluşmaktadır. “Elverişlilik” getirilen
kuralın ulaşılmak istenen amaç için elverişli olmasını, “gereklilik” getirilen
kuralın ulaşılmak istenen amaç bakımından gerekli olmasını, “orantılılık” ise
getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçüyü ifade
etmektedir. Bir kuralda öngörülen düzenleme ile ulaşılmak istenen amaç arasında
da “ölçülülükilkesi” gereğince makul bir dengenin bulunması zorunludur.
88. Dava konusu kuralla maddenin gerekçesinde de ifade edildiği
gibi kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine
ilişkin diğer kanunlarda hüküm bulunması hâlinde bunların öncelikle uygulanması
amaçlanmaktadır.
89. Genel kanun niteliğindeki 6698 sayılı Kanun’da kişisel
verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin her
durumun öngörülmesi ve düzenlenmesi mümkün olamayacağı gibi daha sonra ortaya
çıkabilecek özel durumlara ilişkin hususların özel kanunlarda daha detaylı
düzenlenmesi de gerekebilir. Bu durumda aynı konuyla ilgili olarak genel
kanunda ve özel kanunda hüküm bulunması hâlinde özel kanun hükmü
uygulanacağından kuralın belirsiz olduğu söylenemez. Ayrıca dava konusu kuralın
bazı özel durumlara ilişkin hususların daha ayrıntılı şekilde düzenlenmesini sağlamaya
yönelik kamu yararı amacıyla düzenlendiği açıktır. Dava konusu kuralın
ulaşılmak istenen amaç için elverişli ve gerekli olduğu, amaç ve araç arasında
makul ve uygun bir ilişki kurduğu ve orantılı olduğu anlaşıldığından kuralda ölçülülük ilkesine aykırı bir yön de
bulunmamaktadır.
90. Öte yandan özel hayatın gizliliği ve kişisel verilerin
korunmasını isteme hakkı Anayasa’nın 20. maddesinde güvence altına alınmıştır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine
ilişkin kanun koyucu tarafından özel kanunlarda yapılacak diğer düzenlemelerin
de kişisel verilerin korunmasını düzenleyen Anayasa’nın 20. maddesine aykırı
olmaması gerektiği hususunda şüphe yoktur. Bu bağlamda diğer kanunlarda yer
alacak hükümlerin bireylerin kişisel verilerinin ne kadar sürede ve ne şekilde
silineceği, bu verilerin yok edilme ve anonim hâle getirilmesi şartlarını
ölçülülük ve belirlilik ilkesi çerçevesinde kamu yararını gözeterek
düzenlenmesi gerektiği açıktır. Dolayısıyla Anayasa’nın 20. maddesinde düzenlenen
ilke ve esaslara aykırı olmayacak şekilde kişisel verilerin silinmesi, yok
edilmesi veya anonim hâle getirilmesine ilişkin diğer kanun hükümlerini saklı
tutan dava konusu kuralın Anayasa’ya aykırı bir yönü bulunmamaktadır.
91. Açıklanan nedenlerle kural Anayasa’nın 2. maddesine aykırı
değildir. İptal talebinin reddi gerekir.
E. Kanun’un 8. Maddesinin (3)
Numaralı Fıkrasının İncelenmesi
1. İptal Talebinin Gerekçesi
92. Dava dilekçesinde özetle 6698 sayılı Kanun’un kişisel veriler
alanına ilişkin genel kanun niteliğinde olduğu, kişisel verilerin aktarılması
hakkında bu Kanun hükümlerinin esas olması gerektiği, dolayısıyla bu
hususa ilişkin diğer kanunlarda yer alan hükümleri saklı tutan dava konusu
kuralın, bireylerin hangi kişisel verilerinin hangi kanundaki hangi düzenleme
ile aktarıldığını bilmesini imkânsız kıldığı ve bireyler bakımından belirsizlik
yarattığı, kamu yararı ve ölçülülük ilkesini gözetmediği belirtilerek kuralın
Anayasa’nın 2. maddesine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
93. Dava konusu kuralın yer aldığı maddede kişisel verilerin
aktarılması düzenlenmiştir. Buna göre kişisel veriler, kural olarak ilgili
kişinin açık rızası olmaksızın aktarılamaz. Ancak kişisel verilerin 5. maddenin
ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla 6. maddenin üçüncü
fıkrasında belirtilen şartlardan birinin bulunması hâlinde ilgili kişinin açık
rızası aranmaksızın aktarılması mümkündür. Dava konusu kuralla ise kişisel
verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı
olduğu belirtilmektedir.
94. Kanun'un 7. maddesinin (2) numaralı fıkrasının incelendiği
bölümde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olması
hakkında kuralın Anayasa'ya uygunluk denetimi kapsamında belirtilen gerekçeler
dava konusu kural bakımından da geçerli bulunduğundan aynı gerekçelerle dava
konusu kural da Anayasa'nın 2. maddesine aykırı değildir.
95. Açıklanan nedenle kural Anayasa’nın 2. maddesine aykırı
değildir. İptal talebinin reddi gerekir.
F. Kanun’un 9. Maddesinin (6) Numaralı Fıkrasının
İncelenmesi
1. İptal Talebinin Gerekçesi
96. Dava dilekçesinde özetle 6698 sayılı Kanun’un kişisel veriler
alanına ilişkin genel kanun niteliğinde olduğu, kişisel verilerin yurt dışına
aktarılması hakkında bu Kanun hükümlerinin esas olması
gerektiği, dolayısıyla bu hususa ilişkin diğer kanunlarda yer alan
hükümleri saklı tutan dava konusu kuralın bireylerin hangi kişisel
verilerinin hangi kanundaki hangi düzenleme ile yurt dışına aktarıldığını bilmesini
imkânsız kıldığı ve bireyler bakımından belirsizlik yarattığı, kamu yararı ve
ölçülülük ilkesini gözetmediği belirtilerek kuralın Anayasa’nın 2. maddesine
aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
97. Dava konusu kuralın yer aldığı maddede kişisel verilerin yurt
dışına aktarılması düzenlenmiştir. Buna göre kişisel veriler, kural olarak
ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak kişisel verilerin 5.
maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan
birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli
korumanın bulunması hâlinde, yeterli korumanın bulunmaması durumunda ise
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir
korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla
ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılmasının mümkün
olduğu hükme bağlanmakta, dava konusu kuralla ise kişisel verilerin yurt
dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu
belirtilmektedir.
98. Kanun'un 7. maddesinin (2) numaralı fıkrasının incelendiği
bölümde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olması hakkında
kuralın Anayasa'ya uygunluk denetimi kapsamında belirtilen gerekçeler dava
konusu kural bakımından da geçerli bulunduğundan aynı gerekçelerle dava konusu
kural da Anayasa'nın 2. maddesine aykırı değildir.
99. Açıklanan nedenle kural Anayasa’nın 2. maddesine aykırı
değildir. İptal talebinin reddi gerekir.
G. Kanun’un 13. Maddesinin (2) Numaralı Fıkrasının
İkinci Cümlesinin İncelenmesi
1. İptal Talebinin Gerekçesi
100. Dava dilekçesinde özetle, hakkında işlenen verilerinin ne
olduğunu öğrenebilmesi için kişiden ücret talep edilmesinin,
bireyin temel haklarından olan özel hayatın gizliliği hakkından etkin olarak
yararlanmasını engellediği, bu hakkı sosyal hukuk devleti ve adalet ilkeleriyle
bağdaşmayacak surette sınırlandırdığı, sınırlandırmanın hakkın özüne dokunduğu
ve demokratik toplum düzeninin gereklerine aykırı olduğu, yürütmenin
şekillendirdiği Kurul tarafından ücretin belirlenmesinin hukuki güvenlik ve
belirlilik ilkelerine ve 108 sayılı Sözleşme’deki güvencelere aykırı olduğu belirtilerek
kuralın Anayasa’nın 2., 5., 13., 20. ve 90. maddelerine aykırı olduğu ileri
sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
101. Dava konusu kuralın yer
aldığı maddede veri sorumlusuna başvuru usulü belirlenmiştir. Buna göre ilgili
kişi, 6698 sayılı Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya
Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu
başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç
otuz gün içinde ücretsiz olarak sonuçlandırır. Dava konusu kuralla ise işlemin
ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücretinalınabileceği öngörülmektedir.
102. Kişisel verilerin korunması hakkı, kişinin insan onurunun
korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi
olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında
korumayı amaçlamaktadır. Ancak bu hak sınırsız olmayıp Anayasa Mahkemesi
kararlarında, özel sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün
doğasından kaynaklanan bazı sınırları bulunduğu, ayrıca Anayasa'nın başka
maddelerinde yer alan hak ve özgürlükler ile devlete yüklenen ödevlerin özel
sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği de
kabul edilmektedir.
103. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin
sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması
gerekmektedir. Anayasa’nın 13. maddesi uyarınca, temel hak ve özgürlüklerin
özlerine dokunulmaksızın yapılacak sınırlamalar, demokratik toplum düzeninin
gereklerine ve ölçülülük ilkesine aykırı olamaz. Ölçülülük ilkesi, yasal
sınırlamanın öngörülen amaç için zorunlu ve amaca ulaşmaya elverişli olmasını,
ayrıca amaç ve araç arasında hakkaniyete uygun bir dengenin bulunması gereğini
ifade eder.
104. Dava konusu kuralla 6698
sayılı Kanun’un uygulanmasıyla ilgili taleplerini veri
sorumlusuna ileten ilgili kişiden, yapılacak işlemin
ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücretin alınabileceği öngörülmek suretiyle kişisel
veriler erişim hakkına bir sınırlandırma getirildiği açıktır. Kuralla kişilerin
kendileri ile ilgili kişisel verilere erişme hakkına müdahalede bulunulmuş ise
de kişisel verilere erişimin bir maliyet gerektirmesi hâlinde söz konusu ücretin
alınabileceği dikkate alındığında getirilen sınırlamanın Anayasa’nın 20.
maddesinde düzenlenen kişisel verilerin korunması hakkının kullanılmasını son
derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığı
söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle
değerlendirilmesi gereken bu müdahalenin demokratik toplum düzeninin gerekleri
ile ölçülülük ilkesine uygun olup olmadığıdır.
105. 6698 sayılı Kanun kapsamında veri sorumlusu; kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade
etmektedir. Kanun’un 11. maddesinde ilgili kişinin hakları düzenlenmiştir. Buna
göre herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip
işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep
etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı
üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması
hâlinde bunların düzeltilmesini isteme, 7. maddede öngörülen şartlar
çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 11.
maddenin (d) ve (e) bentleri uyarınca yapılan kişisel verilerin eksik veya
yanlış işlenmiş olması hâlinde bunların düzeltilmesini, silinmesini veya yok
edilmesi işlemlerini kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun
ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
106. Dava konusu kuralda, ilgili kişinin 6698 sayılı Kanun’dan
kaynaklanan hakları çerçevesinde başvurduğu veri sorumlusu tarafından talebinin
yerine getirilmesinin ayrıca bir maliyet gerektirmesi hâlinde bu maliyetin
Kurulca belirlenen tarifeye göre talepte bulunan ilgili tarafından
karşılanabileceği öngörülmektedir.
107. Kanun koyucunun kuralla, takdir yetkisi kapsamında
ilgililerin isteğine bağlı olarak veri sorumluları tarafından ifa edilecek
hizmetlerin ayrıca maliyet gerektirmesi hâlinde bu maliyetin ilgililer
tarafından alınabilmesini sağlamayı amaçladığı anlaşılmaktadır. Zira veri
sorumlusunun Kanun’da öngörülen ilgili kişinin hakları çerçevesinde yerine
getireceği bazı işlemlerin maliyetinin olabileceği, bu hâlde ise söz konusu
maliyet karşılanmadan ilgilinin taleplerini yerine getirebilmesinin mümkün olamayacağı açıktır. Veri sorumlusunun verdiği hizmetin ayrıca bir
maliyet gerektirmesi hâlinde bu maliyetten sorumlu tutulması beklenemeyeceği
gibi Kanun’un 13. maddesinde belirtildiği üzere ancak başvurunun veri sorumlusunun hatasından kaynaklanması
hâlinde alınan ücret ilgiliye iade edilecektir. Diğer yandan 108
sayılı Sözleşme de bu tür masrafların alınmasına imkân tanımaktadır.
108. Öte yandan işlemin ayrıca bir maliyeti gerektirmesi hâlinde
söz konusu ücretin belirsiz olduğu da söylenemez. Zira Kurul tarafından
belirlenecek ücretin miktarı yapılan işlemin maliyeti kadardır. Bir işlemin
maliyetinin belirlenebilir, ölçülebilir bir değer olması nedeniyle objektif bir
kriter olması karşısında söz konusu ücretin Kurul tarafından belirlenecek
tarifeye göre alınmasında hukuki güvenlik ve belirlilik ilkelerine aykırı bir
yön bulunmamaktadır.
109. Dolayısıyla dava konusu kuralla sınırlama yapılırken Kanun’da
sınırlama aracının sınırlama amacına uygun ve orantılı olduğu ve sınırlamayla
kişisel verilerin korunması hakkı arasında hakkaniyete uygun bir denge
kurulduğundan kuralların makul, ölçülü olduğu ve demokratik toplum düzeninin
gereklerine aykırılık teşkil etmediği de açıktır.
110. Açıklanan nedenlerle kural Anayasa’nın 2., 5., 13. ve 20.
maddelerine aykırı değildir. İptal talebinin reddi gerekir.
111. Kuralın Anayasa’nın 90.
maddesiyle ilgisi görülmemiştir.
H. Kanun’un 15. Maddesinin (3) Numaralı Fıkrasında
Yer Alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç...”
İbaresinin İncelenmesi
1. İptal Talebinin Gerekçesi
112. Dava dilekçesinde özetle, kişisel verilerin korunmasına dair
normların kişiyi ve kişisel verileri korumak için oluşturulması gerektiği,
devlet sırrı niteliğindeki bilgi ve belgelerin veri sorumlusu tarafından
Kişisel Verileri Koruma Kuruluna (Kurul) gönderilmesine veya gerektiğinde
yerinde inceleme yapılmasına istisna getiren dava konusu kuralın belirli ve
ölçülü olmadığı, idarenin keyfî uygulamalarına sebep verecek nitelikte olduğu, kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilmesine engel olduğundan kişinin özel hayatının gizliliğine
doğrudan müdahalede bulunduğu belirtilerek kuralın Anayasa’nın 2., 13. ve
20. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
113. Dava konusu kuralın yer aldığı maddede Kurul tarafından
şikâyet üzerine veya resen incelemenin usul ve esasları düzenlenmektedir.
Maddenin (3) numaralı fıkrasında; devlet sırrı niteliğindeki bilgi ve belgeler
hariç veri sorumlusunun, Kurulun inceleme konusuyla ilgili istemiş olduğu bilgi
ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme
yapılmasına imkân sağlamak zorunda olduğu hüküm altına alınmıştır. Fıkrada yer
alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresi
dava konusu kuralı oluşturmaktadır.
114. Kişisel verilerin korunması hakkı sınırsız
olmayıp Anayasa Mahkemesi kararlarında, özel sınırlama nedeni öngörülmemiş
özgürlüklerin de o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğu,
ayrıca Anayasa'nın başka maddelerinde yer alan hak ve özgürlükler ile devlete
yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere
sınır teşkil edebileceği de kabul edilmektedir. Dolayısıyla kişisel
verilerin korunması hakkının Anayasa'da Devlete bir görev olarak yüklenen millî
güvenliğin ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi
amaçlarıyla sınırlandırılması mümkündür.
115. Nitekim 108 sayılı Sözleşme’nin 9. maddesinde de devlet
güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve
suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve
özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla
kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar
getirilebileceği öngörülmüştür.
116. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin
sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması
gerekmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve
kişisel verilerin korunması hakkı, yalnızca kanunla ve Anayasa’da öngörülen
sebeplere bağlı olarak sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın
özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum
düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.
117. 6698 sayılı Kanun’un 13. maddesinde ilgili kişinin veri
sorumlusuna başvuru hakkı düzenlenmiş; 14. maddesinde ise söz konusu başvurunun
reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap
verilmemesi hâllerinde ilgili kişinin Kurula şikâyette bulunabileceği hüküm
altına alınmıştır. Kanun’un 15. maddesine göre ise Kurul, şikâyet üzerine veya
ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda
gerekli incelemeyi yapar.
118. 5271 sayılı Ceza Muhakemesi Kanunu’nun 47. maddesinin (1)
numaralı fıkrasında yer alan “Açıklanması, Devletin dış ilişkilerine,
milli savunmasına ve milli güvenliğine zarar verebilecek; anayasal düzeni ve
dış ilişkilerinde tehlike yaratabilecek nitelikteki bilgiler, Devlet sırrı sayılır.” hükmü
dikkate alındığında dava konusu kuralda yer alan “Devlet sırrı
niteliğindeki bilgi ve belgeler”ibaresinin devletin iç ve dış güvenliği ile
millî savunmasını sağlamaya ve anayasal düzenini korumaya yönelik bilgi ve
belgeleri ifade ettiği anlaşılmaktadır. Bu bağlamda söz konusu ibarenin
belirsiz bir kavram olduğu söylenemez.
119. Kurulun inceleme konusuyla ilgili veri sorumlusundan
isteyebileceği bilgi ve belgeler arasında özel hayatın gizliliği kapsamında
kalacak kişisel verilerin bulunduğu devlet sırrı niteliğindeki bilgi ve
belgeler de bulunabilir. Dava konusu kural söz konusu bilgi ve belgelerin
Kurula gönderilmesi veya incelenmesi imkânını ortadan kaldırdığından Kurul
tarafından bu bilgi ve belgeler üzerinde ihlal iddiasıyla ilgili inceleme
yapılamayacaktır. Bu durum ise Kurulda incelenmekte olan ihlal iddiasıyla
ilgili olan kişilerin kendileriyle ilgili kişisel verilere ulaşmasını bir
anlamda kısıtlayacağından kuralla özel hayatın gizliliği ve kişisel verilerin
korunması haklarına sınırlama getirildiği açıktır. Ancak bu sınırlamanın;
devletin dış ilişkilerine, millî savunmasına, millî güvenliğine, anayasal
düzeni ve dış ilişkilerinde tehlike yaratabilecek veya zarar verebilecek
nitelikteki bilgi ve belgelerin açıklanmasının önlenmesini sağlamak amacıyla
yapıldığı dikkate alındığında demokratik toplum düzeni bakımından alınması
gereken tedbirler kapsamında kaldığı kuşkusuzdur.
120. Öte yandan devlet sırrı kavramı altında her türlü kişisel
verinin gizli tutulması söz konusu değildir. Zira ceza yargılamasında 5271
sayılı Kanun’un 47. maddesinin (1) numaralı fıkrasındaki “Bir suç
olgusuna ilişkin bilgiler, Devlet sırrı olarak mahkemeye karşı gizli
tutulamaz.” hükmü ile (2) numaralı fıkrasındaki “Tanıklık
konusu bilgilerin Devlet sırrı niteliğini taşıması halinde; tanık, sadece
mahkeme hâkimi veya heyeti tarafından zâbıt kâtibi dahi olmaksızın dinlenir.
Hâkim veya mahkeme başkanı, daha sonra, bu tanık açıklamalarından, sadece
yüklenen suçu açıklığa kavuşturabilecek nitelikte olan bilgileri tutanağa
kaydettirir.” hükmü gereğince bir suç olgusuna ilişkin bilgiler devlet
sırrı olarak mahkemeye karşı gizli tutulamayacağı gibi tanıklık konusu
bilgilerin devlet sırrı niteliği taşıması hâlinde bunların mahkeme hâkimi veya
heyeti tarafından dinlenme imkânı da bulunmaktadır.
121. Öte yandan dava konusu kuralla sadece Kurulun inceleme
konusuyla ilgili gönderilmesini isteyebileceği veya inceleyebileceği bilgi ve
belgelere istisna getirilmiş olup bu istisna dışında kişisel verilerle ilgili
olarak 6698 sayılı Kanun’da yer alan kişisel verilerin işlenmesinde uyulması
zorunlu ilke ve kurallar, kişisel verilerin işlenme şartları ve veri
güvenliğine ilişkin yükümlülükler ile kişisel verilere ilişkin suçlar
bakımından 5237 sayılı Kanun’un 135 ila 140. maddeleri hükümlerinin
uygulanacağına ilişkin hükümler geçerliliğini korumaktadır.
122. 6698 sayılı Kanun, 5237 sayılı Kanun ve diğer kanunlarda yer
alan bu düzenlemeler birlikte değerlendirildiğinde kişilerin özel hayatına dair
bilgilerin ve kişisel verilerin korunması hakkında yeterli yasal güvencenin
sağlandığı anlaşılmaktadır. Bu bağlamda bir devlet sırrı niteliğindeki bilgi ve
belgelerin ifşa edilmesini önlemeye yönelik dava konusu kuralın ulaşılmak
istenen amaç için elverişli ve gerekli olduğu, amaç ve araç arasında makul ve
uygun bir ilişki kurduğu ve öngörülen amaçla kişisel verilerin korunması
hakkına yapılan sınırlamanın orantılı olduğu açıktır. Dolayısıyla dava konusu
kuralla kişisel verilerin korunması hakkına sınırlama yapılırken, Kanun’da
sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını
sağlayacak yasal güvencelere yer verildiği, böylece hem özel hayatın
gizliliği ve kişisel verilerin korunması haklarının özünün zedelenmesinin
önlendiği hem de bu haklar ile ülkede millî güvenliğin sağlanmasına yönelik
önlemler arasındaki makul dengenin kurulduğu anlaşıldığından dava konusu
kuralın özel hayatın gizliliği ve kişisel verilerin korunması haklarının özünü
zedelediğinden söz edilemeyeceği gibi demokratik toplum düzeninin gereklerine ve
ölçülülük ilkesine aykırı düştüğü de söylenemez.
123. Açıklanan nedenlerle kural Anayasa’nın 2., 13. ve 20.
maddelerine aykırı değildir. İptal talebinin reddi gerekir.
I. Kanun’un 16. Maddesinin (2) Numaralı Fıkrasının İkinci
Cümlesinin İncelenmesi
1. İptal Talebinin Gerekçesi
124. Dava dilekçesinde özetle, Veri Sorumluları Sicilinin kişisel
verilerin kimler ve hangi kuruluşlar tarafından işlendiğini gösteren bir liste
olduğu, bu listeye kayıt zorunluluğuna getirilecek istisnanın kişisel verileri işlenen
kişiyi korumasız hâle getireceği, bu durumun kişinin maddi ve manevi varlığına
doğrudan, ölçüsüz bir müdahale olduğu, hukuk devleti ilkesi ile bağdaşmadığı ve
istisnanın uluslararası sözleşmelere aykırı olduğu belirtilerek kuralın
Anayasa’nın 2. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
125. Dava konusu kuralın yer aldığı maddede Kurulun
gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili
tutulacağı ve kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye
başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu hüküm altına
alınmıştır. Dava konusu kuralla ise işlenen kişisel verinin niteliği, sayısı,
veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu
gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul
tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna
getirilebileceği öngörülmektedir.
126. Anayasanın 2. maddesinde yer alan hukuk devleti ilkesi gereğince
kanun koyucu düzenlemeler yaparken ölçülülük ilkesiyle bağlıdır. Bu ilke
ise “elverişlilik”, “gereklilik” ve “orantılılık” olmak
üzere üç alt ilkeden oluşmaktadır. “Elverişlilik”, başvurulan
önlemin ulaşılmak istenen amaç için elverişli olmasını, “gereklilik” başvurulan
önlemin ulaşılmak istenen amaç bakımından gerekli olmasını, “orantılılık” ise
başvurulan önlem ve ulaşılmak istenen amaç arasında olması gereken ölçüyü ifade
etmektedir. Bir kuralda öngörülen düzenleme ile ulaşılmak istenen amaç arasında
da “ölçülülük ilkesi” gereğince makul bir dengenin bulunması
zorunludur.
127. 95/46/EC sayılı Direktif de ulusal veri koruma otoritelerine
sicillere bildirim yapılması yükümlülüğünü kaldırma veya basitleştirme imkânı
tanımaktadır.
128. Dava konusu kuralın yer aldığı 16. maddeye göre kişisel
verileri işleyen gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri
Sorumluları Siciline kaydolmak zorunda olup kayıt başvurusunda maddede
belirtilen hususları içeren bildirimde bulunurlar. Bu bildirim; veri
sorumlusu ve varsa temsilcisinin kimlik ve adres bilgilerini, kişisel verilerin
hangi amaçla işleneceğini, veri konusu kişi grubu ve grupları ile bu kişilere
ait veri kategorileri hakkındaki açıklamaları, kişisel verilerin
aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen
kişisel verileri, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel
verilerin işlendikleri amaç için gerekli olan azami süreyi içerir. Bu
bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. Veri
Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
129. Veri Sorumluları Siciline kaydolmak zorunda olan gerçek ve
tüzel kişiler birbirinden farklı büyüklük ve ölçekte olabileceği gibi bunlar
tarafından işlenen verilerle ilgili olarak nitelik, sayı, veri işlemenin
kanundan kaynaklanması veya üçüncü kişilere aktarılması gibi farklı yoğunluk ve
önem derecesine sahip durumlar da olabilir. Kanun koyucunun dava konusu
kuralla, söz konusu farklılıkları dikkate alarak kişisel verileri işleyen
gerçek ve tüzel kişilerin tümünün Veri Sorumluları Siciline kaydolmasına gerek
görmediği ve bazılarını Kurul tarafından belirlenecek objektif kriterler göz
önüne alınmak suretiyle yine Kurul tarafından verilecek kararla kayıt
zorunluluğundan istisna tutmayı amaçladığı anlaşılmaktadır. Bu bağlamda kanun
koyucunun takdir yetkisi kapsamında düzenlediği dava konusu kuralın amaç ve
araç arasında makul ve uygun bir ilişki kurduğu ve orantılı olduğu
anlaşıldığından ölçülülük ilkesine aykırı bir yönü bulunmamaktadır.
130. Öte yandan dava konusu kuralla sadece Veri Sorumluları
Siciline kayıt zorunluluğuna istisna getirilmiş olup veri sorumlularının veri
güvenliğine ilişkin olarak Kanun’da öngörülen yükümlülüklere istisna
getirilmemiştir. Zira Kanun’un 12. maddesinde veri sorumlusunun veri
güvenliğine ilişkin yükümlülükleri belirlenmiştir. Buna göre veri
sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel
verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin
muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli
her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel
verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi
hâlinde 12. maddenin birinci fıkrasında belirtilen tedbirlerin alınması
hususunda bu kişilerle müştereken sorumlu olup kendi kurum veya kuruluşunda bu
Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak
veya yaptırmak zorundadır. Ayrıca veri sorumluları ile veri işleyen kişiler,
öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına
açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük, veri işleyen
kişilerin görevden ayrılmalarından sonra da devam eder. Bu bağlamda veri
sorumlularının yükümlülükleri bakımından bunların Sicile kayıtlı olup
olmamalarının bir önemi bulunmamakta olup dava konusu kural, ilgili kişinin
haklarını korumak üzere oluşturulan icrai mekanizma ve özel tedbirleri ortadan
kaldıran veya zedeleyen bir düzenleme şeklinde değerlendirilemez. Dolayısıyla
kuralla ulaşılmak istenen amaç arasında makul bir denge kurulduğundan ve veri
sorumlularının yükümlülükleri de ortadan kaldırılmadığından kuralın Anayasa’ya
aykırı bir yönü bulunmamaktadır.
131. Açıklanan nedenlerle kural Anayasa’nın 2. maddesine aykırı
değildir. İptal talebinin reddi gerekir.
132. Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman
Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
133. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
İ. Kanun’un 24. Maddesinin (3) Numaralı Fıkrasının (b)
Bendinde Yer Alan “Kurulca gerekli görülenlerin...” İbaresinin İncelenmesi
1. İptal Talebinin Gerekçesi
134. Dava dilekçesinde özetle, Kurulun gerek görmemesi hâlinde
kararlarının yayımlanmamasına olanak sağlayan kuralın başvurucu kişi ve kamuoyu
bakımından belirsizlik yarattığı, Kurula yapılan başvurular arasında ayırım
yapıldığı, bu ayrıma dair objektif kriterlerin belirlenmediği belirtilerek
kuralın Anayasa’nın 2. maddesine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
135. Dava konusu kuralın yer aldığı maddenin (3) numaralı
fıkrasında Başkanın görevleri sayılmıştır. Bu görevlerden biri de fıkranın (b)
bendinde “Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin
kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek” şeklinde
belirlenmiştir. Fıkrada yer alan “Kurulca gerekli görülenlerin” ibaresi,
dava konusu kuralı oluşturmaktadır.
136. Anayasa’nın 2. maddesinde yer alan hukuk devletinin önemli
bir unsuru olan belirlilik ilkesi bireylerin hukuk kurallarını önceden
bilmeleri, davranış ve tutumlarını bu kurallara göre güvenle düzene
sokabilmelerini gerektirmekte olup hukuk kurallarının belirliliğinin sağlanması
yalnızca kanunla düzenleme yapılması anlamına gelmemektedir. Belirlilik ilkesi,
yalnızca yasal belirliliği değil daha geniş anlamda hukuki belirliliği de ifade
etmektedir. Yasal dayanağının bulunması ve erişilebilir, bilinebilir ve
öngörülebilir olması gibi gereklilikleri karşılaması koşuluyla mahkeme
içtihatları ve yürütmenin düzenleyici işlemleri ile de hukuki belirlilik
sağlanabilir. Hukuki belirlilik ilkesinde asıl olan, bir hukuk
normunun uygulanmasıyla ortaya çıkacak sonuçların o hukuk düzeninde
öngörülebilir olmasıdır.
137. Dava konusu kuralda, Kişisel Verileri Koruma Kurulu
tarafından verilen kararlardan Kurulca gerekli görülenlerin Başkan tarafından
kamuoyuna duyurulması öngörülmektedir. Dolayısıyla Kurul tarafından gerekli
görülmeyen kararlar kamuoyuna duyurulmayacaktır.
138. 6698 sayılı Kanun’un Kurulun çalışma esaslarının düzenlendiği
23. maddesinde Kurulun toplantı günlerini ve gündemini Başkanın belirleyeceği,
Başkanın gereken hâllerde Kurulu olağanüstü toplantıya çağırabileceği, Kurul
toplantılarındaki görüşmelerin gizli olduğu, Kurulda görüşülen işlerin tutanağa
bağlanacağı ve Kurulun gerekli gördüğü kararları kamuoyuna duyuracağı, Kurulun
çalışma usul ve esasları ile kararların yazımı ve diğer hususların yönetmelikle
düzenleneceği hüküm altına alınmıştır. Bu bağlamda Kurulca kamuoyuna
duyurulacak kararların söz konusu yönetmelikteki usul ve esaslara göre
yapılacak çalışma çerçevesinde belirleneceği dikkate alındığında kuralın
belirsiz olduğundan söz edilemez.
139. Öte yandan dava dilekçesinde Kurula yapılan başvurular
arasında ayrım yapıldığı ve bu ayrıma dair objektif kriterlerin belirlenmediği
ifade edilmişse de kuralla, verdiği kararların hangilerinin kamuoyuna
duyurulacağını belirleme konusunda Kurula yetki verildiği anlaşılmaktadır. Zira
Kanun’un 22. maddesinde Kurulun görev ve yetkileri düzenlenmekte olup bu görev
ve yetkilerin bir kısmının idari işleyiş ve yönetime ilişkin olması karşısında
Kurulca verilen tüm kararların kamuoyuna duyurulmasında kamu yararı olduğu
söylenemez. Bu bağlamda kuralın kanun koyucunun takdir yetkisi kapsamında
olduğunda kuşku yoktur. Dolayısıyla kuralda hukuk devleti ilkesine aykırı bir
yön bulunmamaktadır.
140. Açıklanan nedenlerle kural Anayasa’nın 2. maddesine aykırı
değildir. İptal talebinin reddi gerekir.
J. Kanun’un 28. Maddesinin (1) Numaralı Fıkrasının (a) ve (ç)
Bentlerinin İncelenmesi
1. (a) Bendinin İncelenmesi
a. İptal Talebinin Gerekçesi
141. Dava dilekçesinde özetle, sadece aynı konutta yaşamanın bir
başkasının kişisel alanına müdahale edilebileceği anlamına gelmediği, özel
yaşamın sadece aile yaşamı veya konut mahremiyeti olmadığı, kişisel özerkliğin
özel yaşama saygı kapsamındaki güvencelerin yorumlanmasında önemli bir ilke
olduğu, aynı konutta yaşayan bireyler kapsamında eşler, eşlerin üstsoyu,
evlilik birliği içinde veya dışında doğan veya evlat edinilen yahut koruyucu
aile olarak bakımı üstlenilen çocukların da olabileceği, özel yaşamın gizliliği
konusunda özellikle çocuklar ve korunmasız bireylerin etkili bir şekilde
korunma hakkına sahip olduğu, velayet ilişkisinin çocuğun varlığını, onurunu,
maddi ve manevi bütünlüğünü ortadan kaldıran bir hukuki müessese olmadığı,
çocukların kişisel verilerinin işlenmesi öncesinde yaşları ve gelişim
durumlarına göre uygun kapsam ve yöntemlerle bilgilendirilmeleri ve açık
rızalarının alınmasının gerektiği belirtilerek kuralın Anayasa’nın 2., 13.,
20., 41. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
142. Dava konusu kuralın yer aldığı maddede 6698 sayılı Kanun
hükümlerinin uygulanmayacağı hâller hüküm altına alınmıştır. Dava konusu
kuralla kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine
ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen
kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi hâlinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı
hüküm altına alınmaktadır.
143. Anayasa’nın 20. maddesinin birinci fıkrasının birinci
cümlesinde “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini
isteme hakkına sahiptir.” denilmek suretiyle özel hayat ve aile hayatına
saygı gösterilmesini isteme hakkı güvence altına alınmıştır.
144. Anayasa’nın 41. maddesinde “Aile, Türk toplumunun
temelidir ve eşler arasında eşitliğe dayanır. Devlet, ailenin huzur ve refahı
ile özellikle ananın ve çocukların korunması ve aile planlamasının
öğretimi ile uygulanmasını sağlamak için gerekli tedbirleri alır, teşkilâtı
kurar. Her çocuk, korunma ve bakımdan yararlanma, yüksek yararına açıkça aykırı
olmadıkça, ana ve babasıyla kişisel ve doğrudan ilişki kurma ve sürdürme
hakkına sahiptir. Devlet, her türlü istismara ve şiddete karşı çocukları
koruyucu tedbirleri alır.” denilmektedir.
145. Anayasa’nın 41. maddesinde aile Türk toplumunun temeli olarak
tanımlanmış, ailenin birey ve toplum hayatındaki önemine işaret edilmiş ve
devlete ailenin korunması için gerekli düzenlemeleri yapması ve teşkilatı
kurması konusunda ödevler yüklenmiştir. Böylece aile kurumuna anayasal koruma
sağlanmıştır. Bu düzenlemeyle eşler ve çocuklardan oluşan ailenin birlik ve
bütünlüğünün korunması amaçlanmaktadır. 41. maddeye 7.5.2010 tarihli ve 5982
sayılı Kanun’la eklenen dördüncü fıkrada da devletin her türlü istismara ve
şiddete karşı çocukları koruyucu tedbirleri alacağı belirtilmiştir. Bu
düzenlemeyle “Ailenin korunması” şeklindeki madde
başlığı “Ailenin korunması ve çocuk hakları” şeklinde
değiştirilip maddeye çocukların korunması konusu da eklenerek çocukların temel
hakları vurgulanmış ve devletin çocukları koruyucu tedbirleri alacağı
belirtilmiştir.
146. Dava konusu kuralla kişisel verilerin, üçüncü kişilere
verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek
kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile
fertleriyle ilgili faaliyetler kapsamında işlenmesi hâlinde 6698 sayılı
Kanun’da yer alan kişisel verilerin korunmasına ilişkin hükümlerin
uygulanmayacağı düzenlenmiştir. Söz konusu düzenleme ile bir kişinin gerek kendi
gerekse aynı konutta birlikte oturduğu aile fertlerine ilişkin kişisel verileri
işlemesinin, söz konusu birlikte yaşamanın doğal ve zorunlu bir sonucu olduğu
anlaşılmaktadır. Ayrıca dava konusu kuralın söz konusu hakların kullanılmasını
son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara
bağlandığı da söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle
değerlendirilmesi gereken husus bu müdahalenin demokratik toplum düzeninin
gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
147. Dava konusu kuralla, kişiler tarafından tamamen kendisiyle
veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında
kişisel verilerin işlenmesi hâlinde 6698 sayılı Kanun hükümlerinin
uygulanmayacağı hüküm altına alınmıştır. 4721 sayılı Türk Medeni
Kanunu’na göre eşler ve çocuklardan oluşan aile fertlerinin, kendileriyle veya
diğer aile fertleriyle ilgili olarak 4721 sayılı Kanun’da veya diğer kanunlarda
belirtilen faaliyet ve yükümlülükleri olabileceği gibi günlük hayatın akışı
içinde gerçekleştirilecek faaliyetleri de olabilir. Bu faaliyet ve
yükümlülüklerin yerine getirilmesi ise söz konusu aile fertleriyle ilgili bazı
kişisel verilerin işlenmesini gerektirebilir. Kanun koyucunun kuralla takdir
yetkisi kapsamında gerçek kişilerin kendisiyle veya aynı konutta yaşayan aile
fertleriyle ilgili söz konusu faaliyet ve yükümlülüklerin sıklık ve yoğunluk
derecesini de dikkate alarak bunlarla ilgili veri işleme prosedürünü
kolaylaştırmayı amaçladığı anlaşılmaktadır. Aynı konutta yaşayan aile
fertleriyle ilgili faaliyetler kapsamında tanınan dava konusu istisnanın başta
çocuklar olmak üzere aile fertlerinin özerk varlığını, onurunu, maddi ve
manevi bütünlüğünü ortadan kaldırmayı amaçlayan ya da bu amaca matuf bir hukuki
müessese olmadığı aksine Anayasa’nın 41. maddesi ve başta 4721 sayılı
Kanun olmak üzere diğer kanunlardan kaynaklanan aile fertleriyle ilgili hukuki
faaliyet ve yükümlüklerin tam ve zamanında yerine getirilebilmesi suretiyle
ailenin ve özellikle çocukların korunmasını sağlamaya yönelik olduğu açıktır.
148. Öte yandan anne ve babaların, çocukları üzerinde velayet
hakkını yerine getirirken 4721 sayılı Kanun’dan kaynaklanan yükümlülüklere
uygun hareket etme zorunluluğu bulunmaktadır. 4721 sayılı Kanun’da çocukların
korunması ve yetiştirilmesine ilişkin söz konusu yükümlülüklere aykırı
hareketlerin hukuki sonuçlarına ilişkin hükümlere yer verildiği gibi 5395
sayılı Çocuk Koruma Kanunu’nda yer alan ilkeler uyarınca çocuğun haklarının
korunması konusunda da ayrıntılı düzenlemeler hüküm altına alınmıştır. Bu
bağlamda kuralla sınırlama yapılırken ilgili kanunlarda sınırlama aracının
sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal
güvencelere yer verildiği de görülmektedir. Dolayısıyla kuralla ulaşılmak
istenen amaç arasında makul bir denge kurulduğu de dikkate alındığında kuralın
demokratik toplum düzeninin gerekleri ve ölçülülük ilkesine aykırı bir yönü
bulunduğu söylenemez.
149. Açıklanan nedenlerle kural Anayasa’nın 2., 13., 20. ve
41. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
150. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
2. (ç) Bendinin İncelenmesi
a. İptal Talebinin Gerekçesi
151. Dava dilekçesinde özetle, önleyici, koruyucu ve istihbari
faaliyetlerin geniş ve belirsiz bir kavram olarak idarenin keyfî uygulamalarına
yol açabilecek nitelikte olduğu, bu istisnalar kapsamına giren konularda kamu
kurumlarının hangi hâllerde veri toplayacağı ve işleyeceğinin sayılması ve
sınırlandırılması gerektiği, kuralın kişilerin özel yaşamlarının gizliliği
hakkının özüne dokunduğu, hakkın kullanımını olanaksız hâle getirdiği,
belirlilik ilkesine aykırı olduğu, sınırları belirsiz şekilde bireylerin özel
yaşamlarının gizliliğine doğrudan bir müdahale niteliğinde olduğu belirtilerek
kuralın Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğu ileri
sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
152. Dava konusu kuralda 6698 sayılı Kanun hükümlerinin
uygulanmayacağı hâllerden biri olarak kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi sayılmaktadır.
153. Kişisel verilerin korunması hakkı sınırsız
olmayıp Anayasa Mahkemesi kararlarında, özel sınırlama nedeni öngörülmemiş
özgürlüklerin de o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğu,
ayrıca Anayasa'nın başka maddelerinde yer alan hak ve özgürlükler ile devlete
yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere
sınır teşkil edebileceği de kabul edilmektedir. Dolayısıyla kişisel verilerin
korunması hakkının Anayasa'da Devlete bir görev olarak yüklenen millî
güvenliğin ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi
amaçlarıyla sınırlandırılması mümkündür.
154. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin
sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması
gerekmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve
kişisel verilerin korunması hakkı, yalnızca kanunla ve demokratik bir toplumda
gerekli olduğu ölçüde sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın
özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum
düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.
155. Nitekim 108 sayılı Sözleşme’nin 9. maddesinde de devlet
güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve
suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve
özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla
kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar
getirilebileceği belirtilmiştir. AİHM de işe alınırken gizli
bir polis dosyasında yer alan daha önceki sendikal faaliyetlerine ilişkin
verilerin saklanması ve kullanılması hakkında yapılan bir başvuruda demokratik
bir toplumda istihbarat servislerinin varlığının ve verilerin saklanmasının
yasalara uygun olabileceğini, meşru menfaat başka bir deyişle suç
işlenmesinin önlenmesi ya da ulusal güvenliğin korunması amaçlarını gözetmesi
koşuluyla vatandaşların menfaatlerinin önüne geçebileceğini belirterek söz
konusu müdahaleyi demokratik bir toplumda ulusal güvenlik gibi devlete geniş
bir takdir yetkisi tanıyan bir konuda ağır basan sosyal ihtiyacı da göz önüne
alarak AİHS’ne aykırı görmemiştir (Leander/İsveç, B. No: 9248/81,
23.3.1987).
156. Kuralın yer aldığı madde gerekçesinde kişisel verilerin
millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesinin istisna olarak düzenlendiği; buna göre Millî İstihbarat
Teşkilatı ile diğer istihbarat birimlerinin millî savunmayı, millî güvenliği,
kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik
faaliyetler kapsamında işlediği verilerin Kanun kapsamı dışında tutulduğu; aynı
şekilde suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali
suçların araştırılması konusunda yetkili birim tarafından yürütülen faaliyetler
kapsamında işlenen verilerin de bu istisna kapsamında olduğu, bu konulardaki
yetkili birimin millî savunmayı, millî güvenliği kamu güvenliğini, kamu
düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma
yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem
bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek,
inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği verilerin de
6698 sayılı Kanun kapsamı dışında tutulduğu ifade edilmektedir.
157. Kuralla millî savunmayı, millî güvenliği, kamu güvenliğini,
kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak görev ve yetki
verilmiş olan kamu kurum ve kuruluşları tarafından yürütülecek önleyici,
koruyucu ve istihbari faaliyetler kapsamında kişisel verilerin işlenmesinde
6698 sayılı Kanun hükümlerinin uygulanmayacağı hüküm altına alınmaktadır.
İşlenecek bu bilgiler arasında özel hayatın gizliliği kapsamında kalacak
bilgiler ve kişisel veriler de bulunabileceğinden kuralla özel hayatın
gizliliği ve kişisel verilerin korunması haklarına sınırlama getirildiği
açıktır. Ancak bu sınırlama, Anayasa’da devlete verilen görevlerin gereği
olarak millî güvenliğin, kamu düzeninin ve suç işlenmesinin önlenmesini
sağlamak amacıyla yapıldığından demokratik toplum düzeni
bakımından alınması gereken tedbirler kapsamında kalmaktadır.
158. Kuralda yer alan “önleyici, koruyucu ve
istihbari faaliyetler”, “millî savunma”, “millî güvenlik”, “kamu güvenliği”,
“kamu düzeni”, “ekonomik güvenlik” ibarelerinin soyut ve genel
kavramlar olması kuralın belirsiz olduğu anlamına gelmemekte, bu durum kanun yapma
tekniğinin doğasından kaynaklanmaktadır. Zira yasa kurallarının genel ve soyut
olması; somut olayın özelliğine göre değişebilecek tüm çözümleri kuralın
bünyesinde barındırma, bir başka ifadeyle kuralın amaca uygun sonuca
ulaştıracak herhangi bir çözümü dışlamasını önleme ihtiyacından
kaynaklanmaktadır.
159. Öte yandan 2559 sayılı Polis Vazife ve Salahiyet
Kanunu, 2937 sayılı Devlet İstihbarat Hizmetleri ve Millî İstihbarat
Teşkilatı Kanunu gibi ilgili kuruluş kanunlarında görev ve yetki verilmiş polis
teşkilatı ve MİT gibi veya 4208 sayılı Kanun’la kurulan, görev ve yetkileri
5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile yeniden
belirlenen Malî Suçları Araştırma Kurulu (MASAK) gibi kamu kurum ve
kuruluşlarının dava konusu kuralda yer alan millî güvenliği, kamu güvenliğini,
kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve
yetki verilen kamu kurum ve kuruluşları olduğu açıktır. Bu kanunlarda, söz
konusu kamu kurum ve kuruluşlarının görev ve yetkileri ayrıntılı şekilde
düzenlenmiş ve bu düzenlemelerde söz konusu görevlerin Türkiye Cumhuriyeti’nin
ülkesi ve milleti ile bütünlüğüne, varlığına, bağımsızlığına, güvenliğine,
Anayasal düzenine ve millî gücünü meydana getiren bütün unsurlarına karşı içten
ve dıştan yöneltilen mevcut ve muhtemel faaliyetler hakkında millî güvenlik
istihbaratını oluşturmak veya suç gelirlerinin aklanmasının önlenmesini
sağlamaya yönelik olduğu belirtilerek bu kamu kurum ve kuruluşları tarafından
yürütülecek önleyici, koruyucu ve istihbari faaliyetler de düzenlenmiştir. Bu
bağlamda dava konusu kuralla düzenlenen “önleyici, koruyucu ve istihbari”
faaliyetlerin ilgili kuruluş kanunlarında veya diğer kanunlarda kapsam, sınır
ve içeriklerinin ayrıntılı şekilde düzenlenmesi karşısında söz konusu
faaliyetlerin kapsamının belirsiz olduğu söylenemez.
160. Ayrıca söz konusu kurum ve kuruluşların yetki ve
sorumlulukları ile bunlara aykırı davranılması hâlinde öngörülen cezai
yaptırımlar ilgili kanunlarda ayrıntılı şekilde düzenlendiği gibi 5237 sayılı
Kanun’un 136. maddesi uyarınca da kişisel verileri hukuka aykırı olarak
başkasına vermek, yaymak veya ele geçirmek suç olarak düzenlenmiştir.
Dolayısıyla dava konusu kural kapsamında elde edilecek bilgilerin amacı dışında
kullanılmasını önleyecek ve kişilerin özel hayatına dair bilgilerin ve kişisel
verilerin ifşa edilmesini önleyecek yasal güvencenin sağlandığı görülmektedir.
Bu bağlamda ilgili kanunlarda sınırlama aracının sınırlama amacına uygun ve
orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer verildiği ve
yeterli korumanın da sağlandığı dikkate alındığından dava konusu
kurallarla kişisel verilerin korunması hakkına getirilen sınırlamaların özel
hayatın gizliliği ve kişisel verilerin korunması hakkının özünü zedelenmediği gibi bu
haklar ile ülkede millî güvenliğin sağlanmasına yönelik önlemler arasındaki
makul dengenin kurulduğu görülmektedir. Dolayısıyla dava konusu kuralla özel
hayatın gizliliği ve kişisel verilerin korunması haklarına getirilen
sınırlamanın söz konusu hakların özünü zedelediğinden söz edilemeyeceği gibi
demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı düştüğü de
söylenemez.
161. Açıklanan nedenlerle kural Anayasa’nın 2., 13. ve
20. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
162. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
K. Kanun’un 30. Maddesinin (7) Numaralı Fıkrası ile
Değiştirilen 663 Sayılı Kanun Hükmünde Kararname’nin 47.
Maddesinin İncelenmesi
1. İptal Talebinin Gerekçesi
163. Dava dilekçesinde özetle, dava konusu kuralların kişilerin
sağlık hizmeti almaktan imtina etmesine neden olabileceğinden sağlık hakkına ve
yaşam hakkına bir müdahale niteliğinde olduğu, kişilerin sağlıkla ilgili
bilgilerinin kamu yararı bulunan bazı durumlar dışında devletten dahi gizli
tutulmasını isteme hakkı bulunduğu ancak kuralla geniş şekilde sayılan
amaçların kamu sağlığını korumayı aşacak nitelikte olduğu, sağlık hizmetlerinin
planlanması ve maliyetlerin hesaplanması amacının yerine getirebilmesi için
bireylerin her türlü verisinin işlenmesine ihtiyaç bulunmadığı, Sağlık
Bakanlığının topladığı her türlü kişisel veriyi üçüncü kişilere aktarması
hususunun sadece 6698 sayılı Kanun’daki düzenlemelere tabi olduğu ancak
Kanun’daki düzenlemelerin kişilerin açık rızasının alınmasına gerek
duyulmayacak şekilde ve kapsamı geniş tutulan istisnalar şeklinde
düzenlendiğinden her türlü kişisel verinin üçüncü kişilere aktarılabileceği,
kurulacak sistemin üçüncü kişilere kişisel verilere erişim imkânı yarattığı, bu
durumun özellikle kadın üzerinde toplumsal baskı yaratacağı, töre ve namus
cinayetlerine zemin hazırlayacağı, oluşturulacak merkezî sisteme kimler
tarafından erişilebileceğinin belirsiz olduğu, yetkili kılınacak sağlık
personeli bakımından sınırlama yapılmadığı, kişinin doktorunun bu verilere
erişmesi hedeflenmiş olsa da kurulan merkezî sistemin bu amacı ve kastı aştığı,
merkezî sistemin güvenliği ve güvenilirliği ile ilgili standartların Kişisel
Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Sağlık Bakanlığınca
belirlenmesi ile Sağlık Bakanlığı’nın kişisel sağlık verilerinin güvenliğinin
sağlanması için gerekli tedbirleri almasına ilişkin düzenlemesinin belirsiz
olduğu, Kurulun çoğunluğunun yürütme tarafından oluşturulan bir yapı olduğu, belirlenecek
ilkelerin yürütmenin çoğunlukta olduğu bu yapı tarafından belirlenmesinin
keyfîliğe yol açabileceği, kuralların uluslararası sözleşmelere aykırı olduğu,
yönetmelikle düzenleneceği öngörülen kişisel sağlık verilerinin işlenmesi,
güvenliği ve kapsamı belirli olmayan ilgili diğer hususların neler olduğunun
kanun ile belirlenmesinin zorunlu olduğu belirtilerek kuralın Anayasa’nın 2.,
13., 17., 20., 56. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
164. 6216 sayılı Kanun’un 43. maddesi uyarınca, kural ilgisi
nedeniyle Anayasa’nın 5. ve 7. maddeleri yönünden de incelenmiştir.
165. Dava konusu kuralların yer aldığı 663 sayılı Kanun Hükmünde
Kararname (KHK) Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki
ve sorumluluklarını düzenlemektedir. KHK’nın 2. maddesine göre Bakanlığın
görevi; herkesin bedenî, zihnî ve sosyal bakımdan tam bir iyilik hâli içinde
hayatını sürdürmesini sağlamaktır. Bu kapsamda Bakanlık halk sağlığının
korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi,
teşhis, tedavi ve rehabilite edici sağlık hizmetlerinin yürütülmesi,
uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesinin önlenmesi,
sağlık eğitimi ve araştırma faaliyetlerinin geliştirilmesi, sağlık
hizmetlerinde kullanılan ilaçlar, özel ürünler, ulusal ve uluslararası kontrole
tabi maddeler, ilaç üretiminde kullanılan etken ve yardımcı maddeler,
kozmetikler ve tıbbi cihazların güvenli ve kaliteli bir şekilde piyasada
bulunması, halka ulaştırılması ve fiyatlarının belirlenmesi, insan gücünde ve
maddi kaynaklarda tasarruf sağlamak ve verimi artırmak, sağlık personelinin
ülke sathında dengeli dağılımını sağlamak ve bütün paydaşlar arasında iş
birliğini gerçekleştirmek suretiyle yurt sathında eşit, kaliteli ve verimli
hizmet sunumunun sağlanması, kamu ve özel hukuk tüzel kişileri ile gerçek
kişiler tarafından açılacak sağlık kuruluşlarının ülke sathında planlanması ve
yaygınlaştırılması ile ilgili olarak sağlık sistemini yönetir ve politikaları belirler.
166. Bakanlık, bu amaçları gerçekleştirmek üzere strateji ve
hedefleri belirler; planlama, düzenleme ve koordinasyon, uluslararası ve
sektörler arası iş birliği, rehberlik, izleme, değerlendirme, teşvik,
yönlendirme ve denetleme yapar, müeyyide uygular, acil durum ve afet hâllerinde
sağlık hizmetlerini planlar ve yürütür, bölgesel farklılıkları gidermeye ve
herkesin sağlık hizmetine erişimini sağlamaya yönelik tedbirler alır, ilgili
kurum ve kuruluşların insan sağlığını doğrudan ve dolaylı olarak etkileyen
faktörler ve sosyal belirleyicilerle ilgili uygulamalarına ve düzenlemelerine
yön verir, bunu teminen gerekli bildirimleri yapar, görüş bildirir ve müeyyide
uygular, görevin ve hizmetin gerektirdiği her türlü tedbiri alır.
167. Dava konusu kuralların yer aldığı 663 sayılı KHK’nın 47.
maddesinde sağlık hizmetine ilişkin kişisel veriler hakkında bilgi toplama,
işleme ve paylaşma yetkisi düzenlenmiştir. Maddenin (1) numaralı fıkrasında
sağlık hizmeti almak üzere kamu veya özel sağlık kuruluşları ile sağlık mesleği
mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda
oldukları veya kendilerine verilen hizmete ilişkin kişisel verilerin
işlenebileceği, (2) numaralı fıkrasında ise sağlık hizmetinin verilmesi, kamu
sağlığının korunması; koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin
hesaplanması amacıyla Bakanlığın bu fıkra kapsamında elde edilen verileri
alarak işleyebileceği ve bu verilerin, Kişisel Verilerin Korunması Kanununda
öngörülen şartlar dışında aktarılamayacağı öngörülmektedir.
168. Anayasa’nın 20. maddesinde belirtildiği üzere kişisel veriler
ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. 6698
sayılı Kanun’un 6. maddesinin (2) numaralı fıkrasına göre özel nitelikli
kişisel verilerden olan kişilerin sağlığı ile ilgili verilerin kural olarak
ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Maddenin (3) numaralı
fıkrasına göre özel nitelikli kişisel veriler kanunlarda öngörülen hâllerde
ilgili kişinin açık rızası aranmaksızın işlenebilir, cinsel hayata ve sağlığa
ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık
rızası aranmaksızın işlenebilir. Kanun koyucunun dava konusu kurallarla kişisel
verilerin korunması hakkında genel kanun niteliğinde olan 6698 sayılı Kanun’da
belirtilen hükümleri Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev,
yetki ve sorumluluklarını düzenleyen özel kanun niteliğindeki 663 sayılı KHK’da
da benzer şekilde düzenlemek suretiyle uygulamada ortaya çıkabilecek
sıkıntıları önlemeyi amaçladığı anlaşılmaktadır.
169. Diğer taraftan 108 sayılı Sözleşme’nin 9. maddesinde, maddede
belirtilen bazı hâllerde kişisel verilerin korunmasına sınırlamalar
getirilebileceği belirtilmiştir. 95/46/EC sayılı Direktif’in 8. maddesinin (2)
numaralı fıkrasında da veri işlemenin önleyici hekimlik, tıbbi teşhis, tıbbi
yardım veya bakım ya da sağlık hizmetlerinin idari olarak yürütülmesi için
gerekli olması ve bu verilerin ya sağlık personeli veya sağlık personeli gibi
sır saklama yükümlülüğüne tabi kişiler tarafından işlenmesi mümkün
kılınmıştır. Maddede ayrıca üye devletlerin uygun önlemleri almak
koşuluyla kamu yararı için başka istisnalar da belirleyebileceği
belirtilmiştir.
170. Dava konusu kurallarla özel hayatın gizliliği ve kişisel
verilerin korunması haklarına sınırlama getirildiği şüphesizdir. Kurallarla her
ne kadar söz konusu haklara müdahalede bulunulmuş ise de kuralların sadece
sağlık hizmeti almak üzere müracaat edenlerin sağlık hizmetlerinin gereği
olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin
kişisel verilerin işlenebilmesini düzenlediği dikkate alındığında dava konusu
kurallarla getirilen sınırlamanın söz konusu hakların kullanılmasını son derece
zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığı
söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle
değerlendirilmesi gereken husus bu müdahalenin demokratik toplum düzeninin
gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
171. Sağlık hizmetlerinin yerine getirilebilmesi, hasta takip
sisteminin iyi bir şekilde işleyebilmesi ve hastaların sağlık hizmetlerinden en
iyi şekilde yararlanabilmesi için söz konusu verilerin kamu veya özel sağlık
kuruluşları ile sağlık mesleği mensupları tarafından işlenmesi gerektiği
açıktır. Ayrıca söz konusu verilerin Bakanlık tarafından işlenmesinin
Bakanlığın 663 sayılı KHK’da belirtilen sağlık hizmetleriyle ilgili strateji ve
hedefleri belirlemek, planlama, düzenleme ve koordinasyon yapmak, acil durum ve
afet hâllerinde sağlık hizmetlerini planlamak ve yürütmek, bölgesel
farklılıkları gidermeye ve herkesin sağlık hizmetine erişimini sağlamaya
yönelik tedbirler almak, ilgili kurum ve kuruluşların insan sağlığını doğrudan
ve dolaylı olarak etkileyen faktörler ve sosyal belirleyicilerle ilgili
uygulamalarına ve düzenlemelerine yön vererek bunu temin için gerekli
bildirimleri yapmak, görüş bildirmek ve müeyyide uygulamak gibi görev, yetki ve
sorumluluklarını yerine getirmesi bakımından da gerekli olduğunda kuşku yoktur.
172. Anayasa'nın 5. maddesi insanın maddi ve manevi varlığının
gelişmesi için gerekli şartları hazırlamayı devletin temel amaç ve görevleri
arasında saymıştır. Devlet, kişilerin sağlık hakkından tam anlamıyla
yararlanabilmeleri ve sağlıklı bir yaşam sürdürebilmeleri amacıyla yasal,
idari, mali, yargısal ve diğer önlemleri almak zorundadır. Ayrıca Anayasa,
sosyal hukuk devleti olmanın gereği olarak sağlık hizmetlerinin sunumunda
yüklediği pozitif yükümlülük kapsamında devleti bu haklardan yararlanmayı artıracak
önlemleri almakla mükellef kılmıştır. Bu nedenle Anayasa’nın 17. ve 56.
maddelerinde öngörülen kişilerin yaşama, maddi ve manevi varlığını koruma ve
geliştirme hakkı ile sağlık hakkından yararlanma konusunda en geniş ölçekli
uygulamaların gerçekleştirilmesi gerekir. Kişiler
için bir hak olan sağlık hizmetinden yararlanmayı
kolaylaştırıcı düzenlemeler yapılması ve bu hizmetin daha iyi bir
şekilde gerçekleştirilmesi için gerekli tedbirlerin alınması devletin Anayasa’dan
kaynaklanan bir ödevidir. Dolayısıyla Anayasa’da devlete verilen görevlerin
gereği olarak kişilerin sağlıklı bir şekilde yaşam sürdürmeleri için genel
sağlığın korunması amacıyla düzenlenen dava konusu kurallar demokratik toplum
düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
173. Öte yandan 6698 sayılı Kanun’un 2. maddesine göre Kanun
hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında
uygulanır. Dolayısıyla dava konusu kurallar kapsamında sağlık verilerinin
işlenmesi bakımından 6698 sayılı Kanun’da yer alan tüm ilke ve kurallar ile
güvencelere uyulması zorunlu olup Kanun’da yer alan kişisel verilerin işlenme
şartlarına, aktarılmasına, veri sorumlusunun aydınlatma yükümlülüğüne, veri
güvenliğine ilişkin kurallar uygulanacaktır. Aksi hâlde Kanun’un 17. maddesinde
yer alan kişisel verilere ilişkin suçlar bakımından 5237 sayılı Kanun’un 135
ila 140. maddeleri hükümleri uygulanacak ve Kanun’un 7. maddesi hükmüne aykırı
olarak kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı
Kanun’un 138. maddesine göre cezalandırılacaktır. Kişisel verileri hukuka
aykırı olarak başkasına verme, yayma veya ele geçirme suçu ise 5237 sayılı
Kanun’un 136. maddesi uyarınca cezalandırılacaktır. Bu bağlamda dava konusu
kurallar kapsamında işlenecek verilerin amacı dışında kullanılmasını ve
kişilerin özel hayatına dair bilgilerin ve kişisel verilerin ifşa edilmesini
önleyecek yasal güvencelerin sağlandığı görülmektedir. Dava konusu kurallarda
kişisel verilerin korunması hakkına sınırlama getirilirken Kanun’da sınırlama
aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak
yasal güvencelere de yer verildiği, böylece hem özel hayatın gizliliği ve
kişisel verilerin korunması haklarının özünün zedelenmesinin önlendiği, hem de
bu haklar ile ülkede genel sağlığın sağlanmasına yönelik önlemler arasındaki
makul dengenin kurulduğu görülmektedir.
174. Dolayısıyla dava konusu (1) ve (2) numaralı fıkralarda
kişisel verilerin korunmasını isteme hakkının özüne dokunan ya da bu hakkı
ölçüsüz şekilde sınırlandıran bir husus bulunmamaktadır. Kurallarla söz konusu
verileri işleme yetkisinin amacı ve faaliyet alanı belirlenmiş ve bu şekilde
kamu yararı ile özel hayatın gizliliği ve kişisel verilerin korunması hakları
arasında adil bir denge kurulmuştur. Bu nedenle dava konusu kurallarda
öngörülen sağlık verilerinin işlenmesi yetkisinin ölçülülük ilkesine aykırı bir
yönü bulunmamaktadır.
175. Maddenin (3) numaralı fıkrasında Bakanlığın ikinci fıkra
gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin
veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı;
(4) numaralı fıkrasında, üçüncü fıkraya göre kurulan sistemlerin güvenliği ve
güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun
belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği, Bakanlığın bu Kanun
uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için
gerekli tedbirleri alacağı, bu amaçla sistemde kayıtlı bilgilerin hangi görevli
tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik
sistemi kuracağı; (5) numaralı fıkrasında ise sağlık personeli istihdam eden
kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişilerin
istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle
yükümlü olduğu hüküm altına alınmıştır.
176. Dava konusu kurallarla kanun koyucunun KHK’nın 47. maddesinin
(1) ve (2) numaralı fıkraları gereğince toplanan ve işlenen kişisel verilere,
ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin
erişimlerini sağlayacak bir sistemin kurulması ile kurulacak bu sistemin
güvenliği ve güvenilirliğinin sağlanmasına yönelik ilke ve tedbirlerin
belirlenmesi suretiyle özel nitelikli kişisel veri kategorisindeki sağlık
verilerini daha özel olarak koruma altına almayı amaçladığı
anlaşılmaktadır. Kanun koyucunun, kamu yararı amacıyla sağlığa ilişkin
kişisel verilerin korunmasının önemini dikkate alarak bu verilerin güvenliğinin
sağlanmasına yönelik olarak düzenlediği anlaşılan dava konusu kuralların
Anayasa’ya aykırı bir yönü bulunmamaktadır.
177. AİHM’nin kararlarında da kişisel sağlık verilerine
izinsiz erişilmesine karşı etkin ve somut bir korumanın önemi vurgulanarak kamu
kurumları ve devletin bu verilerin gizliliğini güvence altına alabilmek için
kişisel verileri koruyacak kuralları yürürlüğe koyma ve gerekli güvenceleri
sağlama yükümlülüğü altında olduğu ifade edilmiş ve kişisel sağlık verilerini
saklamakta başarısız olunması veya bu bilgilere erişime engel olacak güvenli ve
sağlam bir sistem kurulamamasının AİHS’nin ihlali olarak değerlendirildiği
görülmektedir. (I/Finlandiya, B.No: 20511/03, 17.07.2008).
178. Maddenin (6) numaralı fıkrasında kişisel sağlık verilerinin
işlenmesi, güvenliği ve maddenin uygulanması ile ilgili diğer hususların
Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği belirtilmektedir.
179. Anayasa’nın 7. maddesinde yasama yetkisinin Türk Milleti
adına Türkiye Büyük Millet Meclisine ait olduğu ve bu yetkinin
devredilemeyeceği öngörülmüştür. Anayasa’da kanun ile düzenlenmesi öngörülen
konularda yürütme organına genel ve sınırları belirsiz bir düzenleme yetkisinin
verilmesi mümkün değildir. Anayasa’nın 20. maddesinde kişisel verilerin ancak
kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği
öngörülmüştür.
180. Kanunla düzenleme ilkesi, düzenlenen alanda temel ilkelerin kanunla
konulmasını ve çerçevenin kanunla çizilmesini ifade etmektedir. Gelişen koşul
ve durumlara göre sık sık değişik önlemler alma, bunları kaldırma ve süratli
biçimde hareket etme zorunluluğunun bulunduğu alanlarda yasama organının temel
kuralları saptadıktan sonra uzmanlık ve idare tekniğine ilişkin hususları
yürütmeye bırakması, yasama yetkisinin devri olarak yorumlanamayacağı gibi
yürütme organının yasama organı tarafından çerçevesi çizilmiş alanda ve değişen
koşullara uyum sağlayabilecek esnekliğe sahip kriterlere uygun olarak genel
nitelikte hukuksal tasarruflarda bulunması, kanunla düzenleme ilkesine
aykırılık oluşturmaz ve yasama yetkisinin devri olarak yorumlanamaz.
181. Maddenin (1), (2), (3), (4) ve (5) numaralı fıkralarında
sağlık hizmetinin gereği olarak verilmesi zorunlu kişisel verilerin işlenmesi
ve güvenliğine ilişkin genel çerçevenin belirlendiği; hem kişiler hem de idare
yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net,
anlaşılır, uygulanabilir olduğu ve kamu otoritelerinin keyfî uygulamalarına
karşı koruyucu önlem içerdiği açıktır. Dolayısıyla kanun koyucunun temel
esasları ve ilkeleri belirleyip sınırları çizdikten sonra bazı teknik konuların
düzenlenmesini idareye bıraktığı dava konusu kuralın belirsiz olduğu
söylenemeyeceği gibi yasama yetkisinin devredilmezliği ilkesine aykırı bir yönü
de bulunmamaktadır.
182. Açıklanan nedenlerle kural Anayasa’nın 2., 5., 7., 13., 17.,
20. ve 56. maddesine aykırı değildir. İptal talebinin reddi gerekir.
183. Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman
Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
184. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
IV. YÜRÜRLÜĞÜN DURDURULMASI TALEBİ
185. Dava dilekçesinde
özetle iptali istenen kuralların Anayasa’ya açıkça aykırı olduğu ve
yürürlüklerinin durdurulmaması hâlinde hukuk devleti yönünden giderilmesi
olanaksız durum ve zararların ortaya çıkacağı belirtilerek kuralların
yürürlüklerinin durdurulmasına karar verilmesi gerektiği ileri sürülmüştür.
24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması
Kanunu’nun;
A. 4. maddesinin (2) numaralı fıkrasının (d) bendinde yer
alan “…veya işlendikleri amaç için gerekli olan…” ibaresine,
B. 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f)
bentlerine,
C. 6. maddesinin;
1. (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık
ve kıyafeti…” ibarelerine,
2. (3) numaralı fıkrasına,
D. 7. maddesinin (2) numaralı fıkrasına,
E. 8. maddesinin (3) numaralı fıkrasına,
F. 9. maddesinin (6) numaralı fıkrasına,
G. 13. maddesinin (2) numaralı fıkrasının ikinci cümlesine,
H. 15. maddesinin (3) numaralı fıkrasında yer alan “Devlet
sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresine,
I. 16. maddesinin (2) numaralı fıkrasının ikinci cümlesine,
J. 24. maddesinin (3) numaralı fıkrasının (b) bendinde yer
alan “...Kurulca gerekli görülenlerin…” ibaresine,
K. 28. maddesinin (1) numaralı fıkrasının (a) ve (ç) bentlerine,
L. 30. maddesinin (7) numaralı fıkrası ile değiştirilen
11.10.2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının
Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname'nin 47.
maddesine yönelik iptal talepleri, 28.9.2017 tarihli, E.2016/125,
K.2017/143 sayılı kararla reddedildiğinden, bu madde, fıkra, bent, cümle ve
ibarelere ilişkin yürürlüğün durdurulması taleplerininREDDİNE, 28.9.2017
tarihinde OYBİRLİĞİYLE karar verilmiştir.
V. HÜKÜM
24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması
Kanunu’nun;
A. 4. maddesinin (2) numaralı fıkrasının (d) bendinde yer
alan “…veya işlendikleri amaç için gerekli olan…” ibaresinin, Anayasa’ya
aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
B. 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f)
bentlerinin Anayasa’ya aykırı olmadıklarına ve iptal taleplerinin REDDİNE
OYBİRLİĞİYLE,
C. 6. maddesinin;
1. (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık
ve kıyafeti…” ibarelerinin Anayasa’ya aykırı olmadıklarına ve
iptal taleplerinin REDDİNE, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman
Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
2. (3) numaralı fıkrasının Anayasa’ya aykırı olmadığına ve
iptal talebinin REDDİNE, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ
ile Osman Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
D. 7. maddesinin (2) numaralı fıkrasının Anayasa’ya aykırı
olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
E. 8. maddesinin (3) numaralı fıkrasının Anayasa’ya aykırı
olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
F. 9. maddesinin (6) numaralı fıkrasının Anayasa’ya aykırı
olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
G. 13. maddesinin (2) numaralı fıkrasının ikinci
cümlesinin Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE
OYBİRLİĞİYLE,
H. 15. maddesinin (3) numaralı fıkrasında yer alan “Devlet
sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresinin Anayasa’ya
aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
I. 16. maddesinin (2) numaralı fıkrasının ikinci
cümlesinin Anayasa’ya aykırı olmadığına ve iptal talebinin
REDDİNE, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman
Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
J. 24. maddesinin (3) numaralı fıkrasının (b) bendinde yer
alan “...Kurulca gerekli görülenlerin…” ibaresinin Anayasa’ya
aykırı olmadığına ve iptal talebinin REDDİNE, OYBİRLİĞİYLE,
K. 28. maddesinin (1) numaralı fıkrasının (a) ve (ç)
bentlerinin Anayasa’ya aykırı olmadıklarına ve iptal taleplerinin REDDİNE
OYBİRLİĞİYLE,
L. 30. maddesinin (7) numaralı fıkrası ile değiştirilen
11.10.2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının
Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname'nin 47.
maddesinin Anayasa’ya aykırı olmadığına ve iptal talebinin
REDDİNE, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman
Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
28.9.2017 tarihinde karar verildi.
Başkan
Zühtü ARSLAN
|
Başkanvekili
Burhan ÜSTÜN
|
Başkanvekili
Engin YILDIRIM
|
Üye
Serdar
ÖZGÜLDÜR
|
Üye
Serruh KALELİ
|
Üye
Osman
Alifeyyaz PAKSÜT
|
Üye
Recep
KÖMÜRCÜ
|
Üye
Hicabi DURSUN
|
Üye
Celal Mümtaz
AKINCI
|
Üye
Muammer TOPAL
|
Üye
M. Emin KUZ
|
Üye
Hasan Tahsin
GÖKCAN
|
Üye
Kadir ÖZKAYA
|
Üye
Rıdvan GÜLEÇ
|
Üye
Recai AKYEL
|
Üye
Yusuf Şevki
HAKYEMEZ
|
KARŞIOY GÖRÜŞÜ
A. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 6.
Maddesinin Üçüncü Fıkrası Yönünden
1. Dava konusu kural, cinsel hayata ve sağlığa ilişkin
kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık
rızası aranmaksızın işlenebileceğini düzenlemektedir.
2. Devletin kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amaçlarıyla bazı verilere
ihtiyaç duyması ve bunun için ilgili kişilerin açık rızasını aramaması bir an
için kabul edilebilir olsa bile aynı şeyi sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amaçları doğrultusunda kişilerin sağlık ve cinsel
hayatlarına ilişkin hassas kişisel verilerin açık rıza olmadan işlenmesi için
söyleyemeyiz.
3. Cinsel hayata ve sağlığa ilişkin özel nitelikli hassas veriler
kişinin özel hayatına ait en mahrem bilgileri de içerdiğinden bunların ancak
açık rıza ile işlenmesi gerekmektedir. Kişiler, bu tür bilgilerin kendi
rızaları dışında kaydedilmesinden, toplanması, aktarılması ve işlenmesinden
endişe duyarak bazı temel hak ve hürriyetlerini kullanmaktan kaçınabilecekleri
gibi sağlık hizmeti almakta tereddüt yaşayabilirler.
4. Anayasa’nın 20. maddesinin birinci fıkrasında “Herkes, özel
hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel
hayatın ve aile hayatının gizliliğine dokunulamaz.” denilerek özel hayatın
gizliliği güvence altına alınmıştır. Maddenin üçüncü fıkrasında ise herkesin
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu
hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu
verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve
amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı hükme
bağlanarak kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık
rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve
usullerin kanunla düzenleneceği belirtilmiştir.
5. Cinsel hayata ve sağlığa ilişkin özel nitelikli hassas kişisel
verilerin işlenmesinde temel ilke ilgilinin açık rızasının bulunmasıdır. İptali
istenen kuralla bu kişisel verilerin ilgilinin açık rızası olmaksızın
işlenebileceği hâller belirtilmek suretiyle yukarıda ifade edilen temel ilkeye
istisna getirilmiştir. Özel nitelikli hassas kişisel veri olduğundan en küçük
şüphe duyulmayan sağlık ve cinsel hayata ilişkin verilerin belirtilen hallerde
ilgilinin açık rızası olmadan işlenebileceğini düzenleyen kuralla özel hayatın
gizliliği ve kişisel verilerin korunması haklarına bir müdahalede bulunulmaktadır.
6. Bu müdahale söz konusu hakların kullanılmasını son derece
zorlaştırmadığı veya onları kullanılamaz hale getirmediğinden hakkın özüne
dokunmamakla beraber, müdahalenin demokratik toplum düzeninin gerekleri ile
ölçülülük ilkesine uygun olup olmadığının değerlendirilmesi gerekmektedir.
7. Anayasa’nın 13. maddesinde, temel hak ve özgürlüklerin özlerine
dokunulmaksızın ölçülülük ilkesine uygun şekilde, yasayla
sınırlandırılabileceği belirtilmektedir. Ölçülülük ilkesi sınırlamada
başvurulan aracın sınırlama amacını gerçekleştirmeye elverişli olmasını;
bu aracın sınırlama amacı açısından gerekli olmasını ve araçla
amacın ölçüsüz bir oran içinde bulunmamasını ifade eder.
Burada kısıtlama için kullanılan araçla amaç arasında hak ve özgürlüğü en az
sınırlayacak dengeli bir orantı aranmaktadır.
8. Elverişlilik ölçütüne göre bir yasal düzenlemenin sınırlama
amacı bakımından elverişli sayılması için bu düzenlemenin arzulanan amaca katkı
yapması gerekmektedir. İncelediğimiz kural bu niteliği kısmen taşımaktadır.
Gereklilik ise bir temel hakkı en az sınırlayan aracın seçilmesini
gerektirmekle birlikte dava konusu kuralın, hakkı en az sınırlayan yumuşak bir
araç olduğunu söylemek mümkün değildir. Çünkü söz konusu kural, çok geniş ve
adeta sınırsız bir çerçeveyi kapsayarak bireyin neredeyse her türlü özel
nitelikli hassas sağlığa ve cinsel hayata ilişkin kişisel verisinin toplanması,
aktarılması ve işlenmesini kapsamı dâhilinde görmektedir.
9. Kuralın, Anayasa’nın amir hükümleri gereğince genel sağlığın
korunması amacına dönük olarak kamu yararı taşıdığı açıktır ancak kuralın özel
hayatın gizliliği ve kişisel verilerin korunması hakları ile toplum sağlığının
korunmasına yönelik önlemler arasındaki makul bir denge kurmayarak, birincisini
ikincisine feda ettiğini ifade etmek mümkündür.
10. Özel hayatın gizliliği ve bu kapsamda özel nitelikli hassas
kişisel verilerin korunması konusu her şeyden önce insan onuruna saygı ve
kişilik haklarına dayanmaktadır. Bu hak, kişinin saygınlığını ve kişiliğini
serbestçe geliştirmesini mümkün kılan şeref ve haysiyet, özel yaşam ve sağlık
gibi kişisel değerler üzerindeki çıkarlarını belirterek, bireye kişiliğini
dilediği şekilde, serbestçe geliştirebileceği, kendisi ve sevdikleriyle bir
arada olabileceği özerk bir yaşam alanına sahip olma şansı vermektedir. Bu
alanda birey, maddi ve manevi kişiliğini geliştirmek ve başkaları tarafından
bilinmesini istemediği hususların güvence altına alınmasını istemek hakkına
sahiptir.
11. Kişisel verilerin toplanması ve işlenmesi sırasında bireyin bu
veriler üzerindeki hakkı, onun devlet veya üçüncü kişiler tarafından sıradan
bir veri nesnesine indirgenmesini önlemek amacını taşımaktadır. Sağlık ve
cinsel hayatla ilgili özel nitelikli hassas kişisel verilerin ilgili kişinin
açık rızası olmadan toplanması, işlenmesi ve aktarılması, kişinin basit bir
veri nesnesi olarak değerlendirilmesine yol açtığından insan haysiyetini zedelemektedir.
Bireyin, ahlaki ve toplumsal kişiliğinin gelişiminde ve diğer insanlarla olan
ilişkilerini düzenlemede önemli bir kavram olan mahremiyetin ihlali insan
haysiyetinin ve kişiliğinin ihlali anlamına gelmektedir.
12. Hassas kişisel verilerin korunması kişinin maddi ve
manevi varlığını geliştirmesine imkân tanıyarak, bireyin hayatını kendi özgür
iradesiyle düzenlemesine katkı sağlamaktadır. Bireyin özel nitelikli hassas
kişisel verileri üzerindeki hakkı yeteri kadar korunmazsa, kişiliğini serbestçe
geliştirmesi zora gireceğinden, özgür iradeleriyle yaşamlarını biçimlendiren
bireylerden oluşan demokratik bir toplum düzeninin ortaya çıkması ve korunması
da güçleşecektir.
13. Anayasa’nın 20. maddesinde kişisel verilerin ancak kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel
verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği
belirtilmekle beraber dava konusu kural sağlık ve cinsel hayatla ilgili özel
nitelikli hassas kişisel verilerle ilgili olduğundan bunların toplanması,
aktarılması ve işlenmesinde ilgili kişinin açık rızasının
aranmaması demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine
aykırılık taşımaktadır. “Kanunda öngörülen haller” ibaresi her
türlü kişisel verinin rıza olmadan işlenmesine imkân tanıyan açık bir çek
olarak yorumlanmamalıdır.
14. Sonuç olarak kuralın Anayasa’nın 20. ve 13. maddelerine aykırı
olduğu gerekçesiyle karara muhalif kalınmıştır.
B. Kanun’un 16. Maddesinin İkinci Fıkrasının İkinci Cümlesi
Yönünden
1. İptali istenen kuralın yer aldığı maddede Kurulun
gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili
tutulacağı ve kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye
başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu hüküm altına
alınmıştır. Dava konusu kural ise işlenen kişisel verinin niteliği, sayısı,
veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu
gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul
tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna
getirilebileceğini öngörmektedir.
2. Kişisel verileri işleyen gerçek ve tüzel kişiler veri işlemeye
başlamadan önce Veri Sorumluları Siciline Kaydolmak Zorundadır. Bu sicil
kişisel verilerin kimler ve hangi kuruluşlar tarafından işlendiğini gösteren
bir listedir. Getirilen istisna sayesinde kuruluş kanunu ile kendisine kişisel
verileri toplama yetkisi verilen kurumlar kişisel verileri toplarken kanunda
düzenlendiği gerekçesiyle kişinin açık rızasını aramadan da bu işlemlerini
yapabilecektir.
3. Birey kişisel verisinin kim tarafından işlendiğini görmek için
veri sorumluları siciline bakmak istediğinde kanundan kaynaklanan istisnai
düzenlemeden yararlanılması durumunda bunu öğrenemeyeceği gibi listede yer
almayan veri sorumlusunun kişisel verileri üçüncü kişilere aktarıp,
aktarmadığını da bilemeyecektir.
4. Kuralla getirilen istisna kişisel verileri işlenen kişiyi
korumasız hâle getirdiğinden hukuk devleti ilkesi ile bağdaşmamaktadır. Bu
nedenle Anayasa’nın 2. maddesine aykırılık taşıdığı düşüncesindeyim.
C. Kanun’un 30. Maddesinin (7) Numaralı Fıkrası ile Değiştirilen
663 Sayılı Kanun Hükmünde Kararname’nin 47. Maddesinin Birinci, İkinci ve
Üçüncü Fıkraları Yönünden
Dava konusu kuralın birinci, ikinci ve üçüncü fıkralarının
yukarıda (A) başlığı altında yazılan gerekçelerle Anayasa’ya aykırı
olduğu kanaatine varılmıştır.
Başkanvekili
Engin YILDIRIM
|
KARŞI OY GEREKÇESİ
I.
24.3.2016 tarih ve 6698 sayılı Kişisel
Verilerin Korunması Kanunu’nun “Özel nitelikli kişisel verilerin
işlenme şartları” başlıklı 6 ncı maddesinin, iptal istemine konu (1) numaralı
fıkrasında yer alan “…mezhebi…” ve “…kılık
ve kıyafeti…” ibarelerinin, fıkrada yer alan diğer unsurlarla
birlikte “özel nitelikli (hassas) veri” olarak kabul
edildiği, gerek madde metninden, gerek madde gerekçesinden anlaşılmaktadır.
Kanun’un 6 ncı maddesinin (1) ve (2) numaralı fıkra metinlerinden, kişilerin
“mezhebi” ve “kılık ve kıyafeti”nin, kendilerinin açık rızası olmaksızın
işlenemeyeceği gibi bir anlam çıkıyorsa da, maddenin yine iptal istemine konu
(3) numaralı fıkrasında sayılan birçok durumda bu kurala istisna getirilmiş
ve “Kanunlarda öngörülen hallerde” kişilerin “mezhebi” ile
“kılık ve kıyafetinin” de işlenebileceği hükme bağlanmıştır. Her ne sebep ve
gerekçeye dayanırsa dayansın, kişilerin “mezhebi” ile “kılık ve kıyafeti” gibi
hassas verilerin bir şekilde işlenmesine (kaydedilmesi, başka kurum ve
birimlerle paylaşılması, kategorize edilmesi vb.) imkân tanıyan yasal
düzenlemenin Anayasa’nın 2., 20., 24. ve 25. maddeleri ile bağdaştırılmasına
imkân yoktur. Toplumun hassas bir yönü olan işaret edilen hususların
(verilerin) değil işlenmesi, kaydının tutulması dahi Anayasaya açık aykırılıkla
malüldür. Ülkemizin yakın tarihine bakıldığında da, vahim toplumsal
çatışmaların çıkmasına neden olan bir konunun “kişisel veri” olarak kabulü ve
geniş istisnalar tanınarak işlenmesine imkân tanınmasının hukuk devleti kavramı
ile de bağdaşır bir yönü bulunmamaktadır.
Avrupa Konseyi’nin 108 sayılı “Kişisel
Nitelikli Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların
Korunmasına Dair Sözleşme”sinin, (1) numaralı fıkrasında “Dini veya felsefi
inançları” özel veri kabul edilmiş; ancak metinde “mezhep”
kavramına yer verilmemiş; istisnaları düzenleyen (2) numaralı fıkrasında da, bu
özel verilerin işlenebileceği haller arasında, iptal istemine konu (3) numaralı
fıkradaki gibi geniş bir takdir yetkisi tanınmamıştır. Dolayısiyle, kuralın
Avrupa Birliği ilkeleri ile uyumlu olduğundan da söz edilemez.
6 ncı maddenin iptal istemine konu (3) numaralı
fıkrasında, yukarıda açıklandığı gibi hem “mezhep” ile “kılık ve kıyafet” gibi
kişisel verilerin rahatça işlenmesine yol açacak istisna hükümlerine yer
verilmiş, hem de “sağlık ve cinsel hayata ilişkin kişisel verilerin” bir çok
halde (hemen hemen sağlık birimlerinin uygun göreceği her durumda) ilgili
kişinin açık rızası aranmaksızın işlenebileceği ifade edilmiştir. Sağlık
Bakanlığı ve bağlı kuruluşlarına, görevlerini yürütebilmeleri için gerekli olan
bilgileri toplama, işleme, paylaşma yetkisi veren kuralın (663 sayılı KHK’nin
47. maddesinin 1, 2 ve 3 numaralı fıkralarının) iptali istemi ile açılan davada
Anayasa Mahkemesi 4.12.2014 tarih ve E.2013/114, K.2014/184 sayılı kararında,
şu gerekçeyle kuralların iptaline karar vermiştir: “…663 sayılı KHK’nın 47.
maddesinin dava konusu (1) numaralı fıkrasıyla Bakanlık ve bağlı kuruluşlarına,
mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak
daha etkin ve daha hızlı biçimde yerine getirebilmeleri amacıyla bütün kamu ve
özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, hizmetin gereği
olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel
bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla
toplama, işleme ve paylaşma yetkisi verilmektedir. Verilen yetkiyle özel
hayatın ve kişisel verilerin korunması haklarına bir sınırlama getirildiği açık
olup, bu sınırlama, demokratik toplum düzeni bakımından alınması gereken
tedbirler kapsamında kalmaktadır… Ancak kuralda söz konusu kişisel bilgilerin
‘her türlü vasıtayla’ toplanmasına, işlenmesine ve paylaşılmasına izin
verilmesi, sınırlamayı, öngörülme amacının ötesinde kişisel bilgilerin
gizliliğinin keyfi şekilde ihlâl edilmesi sonucunu doğurabilecek bir araca
dönüştürmektedir. Bu ise sınırlama aracıyla sınırlama
amacı arasında bulunması gereken makul dengeyi bozmakta, özel hayatın
ve kişisel verilerin korunmasını isteme haklarına kuralda belirtilen sınırlama
amacı dışında ölçüsüz bir şekilde müdahale edilebilmesine imkân tanımaktadır… 47.
maddenin dava konusu (2) numaralı fıkrasında da (1) numaralı fıkrada belirtilen
yöntemlerle toplanan ve işlenen verilerin, ilgili üçüncü kişiler ile kamu kurum
ve kuruluşlarıyla paylaşılması öngörüldüğünden, yukarıda belirtilen aynı
gerekçelerle bu düzenleme de ölçülülük ilkesini ihlâl etmektedir… 47. maddenin
dava konusu (3) numaralı fıkrasında ise Bakanlık ve bağlı kuruluşlarının,
mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken
bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkili
olduğu ve ilgili kişi ve kuruluşların istenilen bilgileri vermekle yükümlü
oldukları düzenlenmektedir. Bakanlık ve bağlı kuruluşlarına verilen
görevler çok geniş bir alanı kapsamakta olup, bu görevlerin tamamının kişilerin
özel hayatlarına müdahale edilmesini gerektirecek bir toplumsal zorunluluğu
bünyesinde barındırdığı söylenemez. Dolayısiyle dava konusu kuralla sadece
demokratik toplum düzeni yönünden zorunlu olan sınırlamalara değil, özel
hayatın ve kişisel verilerin korunması haklarına yapılabilecek her türlü
sınırlamaya izin verilmesi, bir başka ifadeyle, kuralda anılan haklara
sınırlama getirilirken sınırlama aracının sınırlama amacına uygun ve orantılı
olarak kullanılmasını temin edecek güvencelere yer verilmemesi ölçülülük
ilkesine aykırı düşmektedir. Açıklanan nedenlerle dava konusu kurallar
Anayasa’nın 2., 13. ve 20. maddelerine aykırıdır. İptali gerekir…” İptal
istemine konu (3) numaralı fıkranın incelenmesinde, “Sağlık ve cinsel hayata
ilişkin kişisel veriler”in, maddede sayılan pek çok halde, “sır saklama
yükümlülüğü altında bulunan kişiler” veya “yetkili kurum ve kuruluşlar”
tarafından, ilgilinin açık rızası aranmaksızın işlenebileceği hüküm altına
alınmaktadır. Kural, bu haliyle, Anayasa Mahkemesinin yukarıda işaret edilen
iptal kararına açıkça aykırı düştüğü gibi, kişi hakkında sağlık bilgilerine
sahip olup, bunu kayıtla yükümlü olan ilgili hekim ve sağlık kuruluşu dışında
merkezi bir kayıt tutma (işleme) ve bunu başka kişi veya birimlerle paylaşma
gibi istisnalar (imtiyazlar) getirmesi itibariyle Anayasa’nın 2., 13. ve 20.
maddelerine aykırılıkla malûldür. Keza, kişilerin cinsel hayatına ilişkin durum
ve tercihlerinin işlenmesi imkânı tanınması aynı nedenlerle Anayasa’ya
aykırıdır.
II. 6698
sayılı Kanun’un “Veri sorumluları sicili” başlıklı 16 ncı maddesinin iptal
istemine konu (2) numaralı fıkrasıyla, (1) numaralı fıkrada öngörülen kamuya
açık “Veri sorunluları sicili” ne tüm kişisel veri işleyen gerçek ve tüzel
kişilerin kaydedilmesi zorunluluğuna istisnalar getirilmekte ve işlenen kişisel
verilerin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü
kişilere aktarılma durumu gibi Kurulca belirlenecek kriterler göz önüne alınmak
suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna
istisna getirilebileceği belirtilmektedir. Kişisel verileri kaydedip işleyen
kimi görevliler yönünden getirilen bu istisna, ilgili görevlileri koruyacak
ancak hakkındaki veriler işlenen kişileri tamamen korumasız duruma getirecek,
haksız ve sübjektif nedenlerle veri işlendiği iddiasıyla yasal yolların
kullanılması halinde dava edilecek bir muhatap bile bulunamayacaktır. Kişisel
verilerin işlenmesi gibi çok önemli bir idari fonksiyonu ifade eden kişiler
yönünden getirilen ve imtiyaz mahiyetindeki bu kuralın hukuk devleti ilkesi ile
bağdaştırılabilmesi imkânı bulunmamaktadır. Dolayısiyle kural Anayasa’nın 2.
maddesine aykırıdır.
III. 6698
sayılı Kanun’un 30. maddesinin (7) numaralı fıkrası ile değiştirilen 11.10.
2011 tarih ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve
Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesi de, “Karşıoy
Gerekçesi”nin (I) no’lu başlığındaki gerekçelerle Anayasa’nın, 13. ve 20.
maddesine aykırı düşmektedir.
Yukarıdaki açıklanan nedenlerle, anılan
kuralların iptaline karar verilmesi gerektiği kanaatine ulaştığımızdan, aksi
yöndeki çoğunluk kararına katılmıyoruz.
Üye
Serdar
ÖZGÜLDÜR
|
Üye
Serruh KALELİ
|
KARŞIOY YAZISI
I. GİRİŞ
1. 24.3.2016 tarihli ve 6698 sayılı Kişisel verilerin Korunması
Kanunu’nun,
- 6. maddesinin (1) numaralı fıkrasında yer alan “…mezhebi…” ve
“…kılık ve kıyafeti…” ibarelerinin,
- (3) numaralı fıkrasının,
- 16. maddesinin (2) numaralı fıkrasının ikinci cümlesinin,
- 30. maddesinin (7) numaralı fıkrası ile değiştirilen 663 sayılı
Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun
Hükmünde Kararname’nin 47. maddesinin,
Anayasa’ya aykırı olmadıklarına dair çoğunluk görüşüne
katılmamaktayım. Karşıoy gerekçelerim aşağıda maruzdur.
II. GENEL AÇIKLAMALAR
2. Anayasa’ya aykırılık iddiasıyla iptali istenen kuralların
incelenmesi, öncelikle bahse konu kural veya kuralların anlam ve kapsamının
tesbitini gerektirir. Bir kuralın, içinde yer aldığı yasanın veya diğer
yasaların ilgili maddeleriyle birlikte uygulandığında Anayasa’ya aykırı
sonuçlara yol açıp açmadığının değerlendirilmesi yapılmadan, iptal talebine
konu edilen kuralın Anayasa’ya uygunluğu konusunda hükme ulaşılamaz. Bir
sözcük, ibare veya cümlenin, veya bir rakamın atıf yaptığı veya kapsamı
itibariyle sirayet ettiği diğer kuralların, anlam ve işlerlik kazandığı veya
kazandırdığı diğer kurallarla birlikte değerlendirilmesi Anayasa’ya aykırılık
sonucunu ortaya koyabileceği gibi, ilk bakışta Anayasa’ya aykırı olduğu
izlenimi veren bir kuralın da birlikte uygulanacağı, aynı yasadaki veya başka
yasalardaki farklı hükümler nedeniyle, Anayasa’ya aykırı olmadığı sonucuna da
varılabilir.
3. İnceleme konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu,
büyük ölçüde Avrupa Birliği mevzuatından iktibas edilmek suretiyle, sistematik
bir yaklaşım içerisinde düzenlenmiştir. Kanunda amaç, kapsam ve tanımlar;
kişisel verilerin işlenmesi ilkeleri ve işlenmesi şartları; haklar ve
yükümlülükler; başvuru, şikayet ve veri sorumluları sicili; suçlar ve
kabahatler ve nihayet, Kişisel Verileri Koruma Kurulu düzenlenmiştir. Yasadaki
hükümlerin pek çoğu diğerlerine işlerlik ve anlam kazandıran veya diğerlerine
istisna getiren hükümler olup, iptal istemine konu kurallar özellikle böyledir.
4. Bu nedenle, iptal istemlerine konu olan kurallar yönünden bir
denetim yapabilmek için Kanunun iptal istemine konu olmayan ilgili kurallarının
ve koşullarının 6698 sayılı bu Kanun’daki güvenceleri etkisiz kılıp kılmayacağı
yönünden değerlendirme yapılmalıdır. Aksi halde kişisel verilerin korunması
için somut ve etkili görünen düzenlemelerin içi boşaltılmış olacak, kanundaki
genel ilkeler birer temenni, kurulan yeni kurullar da bürokratik ve hantal
yapılardan ibaret kalabilecektir.
5. Kanunlar kamu yararı amacıyla çıkarıldığında ve ancak bir
kanunun kamu yararını gerçekleştirmeye elverişli olup olmadığının denetiminin,
Anayasa Mahkemesinin yetkisi dışında olduğunda kuşku yoktur. Diğer bir
ifadeyle, kamu yararını gerçekleştirmeye elverişli olmayan bir kanun da yasa
koyucunun takdir yetkisi içinde kalmak ve Anayasaya aykırı olmamak koşuluyla,
iptal edilemeyecektir. Ancak Anayasa’nın 20. maddesinin son fıkrasında Devlete,
kişisel verilerin korunmasını kanunla düzenleme yönünde bir yükümlülük
getirildiğinden, bu doğrultuda yasa ile yapılacak düzenlemelerin Anayasal
gerekleri karşılayıp karşılamadığının denetimi, Anayasa Mahkemesinin yetkisi
dahilindedir. Bu nedenle kişisel verilerin kaydının demokratik bir toplumda
zorunlu ve ölçülü olup olmadığına, ayrıca verilerin korunması için öngörülen
düzenlemelerin yeterli olup olmadığına da bakılması gerekir.
6. Anayasa’nın 20. maddesinin son fıkrası şöyledir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme
hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini
talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de
kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık
rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller
kanunla düzenlenir”.
Buna göre, özel hayatın gizliliğinin korunmasını isteme hakkı
kapsamında bir hak olan kişisel verilerin korunması hakkı, bir temel hak olması
nedeniyle, kanunla bir müdahale söz konusu olduğunda Anayasa’nın 2.
maddesindeki hukuk devleti ve 13. maddesindeki temel hak ve hürriyetlerin
sınırlanması konusundaki ölçütlere tabidir. Anayasa’da “…kanunda
öngörülen hallerde veya…”denilmiş olmasına bakılarak, meşru bir amaç
taşımadıkça ve demokratik bir toplumda zorunlu ve ölçülü olmadıkça her türlü
kişisel verinin işlenmesine yol açan kanuni düzenlemeler yapılamayacağı
açıktır.
7. Öte yandan, kişisel verilerin korunmasında Anayasa’nın Eşitlik
İlkesini düzenleyen 10. maddesi, Din ve Vicdan Hürriyetini düzenleyen 24. ile
Düşünce ve Kanaat Hürriyetini düzenleyen 25. maddeleri, aşağıda açıklanacağı
üzere konu ile doğrudan ilgilidir. Ancak 10. maddenin ve mezhep ibaresi dışında
24. maddenin ilgisiz görülmesi, kanaatimce bazı özel nitelikli veriler yönünden
ciddi sakıncalara yol açacak bir sonuca varılmasına neden olmuştur.
III. İPTALİ İSTENEN KURALLARIN İNCELENMESİ
Altıncı Maddenin (1) Numaralı Fıkrasındaki “…mezhebi” İbaresinin
İncelenmesi
8. (1) numaralı fıkrayla, kişilerin mezhepleri ile kılık ve
kıyafetleri, “özel nitelikli kişisel veri” olarak
sınıflandırılmaktadır. Özel nitelikli kişisel verinin yasada ayrı bir tanımı
yer almamakla birlikte, maddenin (2) numaralı fıkrasındaki “Özel
nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır” hükmünden,
özel nitelikli bir kişisel verinin, açık rıza olmaksızın işlenemeyecek veri
olarak belirlendiği anlaşılmaktadır. Açık rıza ise Kanun’un 3. maddesinin
(1) numaralı fıkrasına göre “Belirli bir konuya ilişkin,
bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade
eder.
9. Mezhepler, gerek İslam aleminde gerek ülkemizde, inkar
edilemeyecek bir realitedir. Mezhepler konusu aynı zamanda son derece hassas
olup, mezhep farklılıklarının körüklenmesinin toplumlar için yıkıcı sonuçlara
yol açabildiği, tarihte ve bölgemizin yakın tarihinde görülmüş ve
görülmektedir. Bu nedenle kişilerin mezheplerine ilişkin verilerin
alenileşmesinden ve yaygınlaştırılmasından ve özellikle kamusal veri
tabanlarına işlenmesinden kaçınılarak, Anayasa’nın değiştirilemeyecek
hükümlerinde esasları ve nitelikleri belirlenen Türkiye Cumhuriyeti devletinin
özgür ve eşit vatandaşlarının din, vicdan ve inanç alanında bırakılmalıdır.
Anayasa’nın 10. maddesinde “Kanun önünde eşitlik” ilkesi
düzenlenmiştir. Buna göre “Herkes dil, ırk, renk, cinsiyet, siyasi
düşünce, felsefi inanç, din, mezhep ve benzeri sebeplerle ayırım
gözetilmeksizin kanun önünde eşittir”. Bu ilkeyle kişiler arasındaki
eşitlik güvence altına alınmakta, aynı zamanda hem kişilere hem de Devlete
ayırımcılık yasağı getirilmektedir.
Anayasa’nın 24. maddesinin birinci fıkrasında herkesin vicdan,
dini inanç ve kanaat hürriyetine sahip olduğu; maddenin üçüncü fıkrasında da
kimsenin ibadete, dini ayin ve törenlere katılmaya, dini inanç ve kanaatlerini
açıklamaya zorlanamayacağı, dini inanç ve kanaatlerinden dolayı kınanamayacağı
ve suçlanamayacağı belirtilmiştir.
10. Çoğunluk gerekçesinde iptali istenen kuralın, her ne kadar
kişinin mezhebinin özel nitelikli veri sayılmasını ve böylece bu verinin ancak
kişinin açık rızasıyla işlenebileceğini öngörmek suretiyle daha üst bir koruma
sağladığı ve bu suretle toplanacak verilerin kişilerin ayrımcılığa uğramasına
neden olabilecek alanlarda ihtiyaçların belirlenmesi, boşluk ve eksikliklerin
giderilmesi gibi konularda önemli olacağı belirtilmekteyse de, somutluk
taşımayan, farazi ihtiyaçların, temel bir hakka yani kişisel mezhep bilgilerine
yapılacak somut bir müdahale bakımından Anayasa’nın 13. maddesinde güvence
altına alınan “demokratik bir toplumda zorunlu olmak” ve “ölçülülük” ilkelerini
karşıladığından söz edilemez. Zira çoğunluk gerekçesinde belirtilen türden
ihtiyaçlar için kişisel verilerin kaydedilmesi zorunlu olmayıp, verilerin
anonim olarak işlenmesiyle de aynı sonuçlar elde edilebilecektir. Mezhebin,
kişinin açık rızası aranmaksızın veri olarak işlenebilmesi meşru bir amaca
dayanmalıdır. İnanç alanında kalan ve ancak kişinin kendisinin bilebileceği
mezhep, esas itibariyle ancak kişinin açık rızasının varlığı halinde
kaydedilebilecek bir veridir. Kişinin mezhebi ve dini inançları, o mezhebin
ibadet yerleri veya mezhebi tören ve ritüeller gibi, kamusal alana sirayet eden
konularda dahi, ilgilinin açık rızası olmadan kaydedilemez. Zira kişinin sadece
bir mezhebin ibadet yerlerine gitmesi veya törenlerine katılması dahi kişinin
mezhebinin kendi rızası hilafına kaydedilmesi için yeterli değildir.
Anayasa’nın 24. maddesi buna engeldir. Bu nedenle, mutlak ayrımcılık yasağı
bulunan ve Devleti ilgilendirebilecek yönleri çok sınırlı olan bir konuda,
kanunla genel bir ifadeyle mezhep verilerinin işlenebileceğinin öngörülmesinin
Anayasa’ya uygun olmadığı açıktır.
11. 6698 sayılı Kanun’un 6. maddesinin (3) numaralı fıkrasında
yapılan düzenleme ile, görünüşte özel veri sayılarak daha yüksek bir koruma
sağlanan mezhep verileri, kişinin açık rızası aranmaksızın işlenemeyecek
veriler arasından çıkartılmıştır. Maddenin (3) numaralı fıkrasının birinci
cümlesinde “Birinci fıkrada sayılan … kişisel veriler, kanunlarda
öngörülen hallerde, ilgili kişinin açık rızası aranmaksızın işlenebilir” denilmiş
olup, mezhep de birinci fıkrada sayılan bu kişisel veriler arasında yer
almaktadır. Tabir caizse aynı madde içindeki düzenlemelerle bir elle verilen
diğer elle geri alınmakta, “mezhep” verisinin korunmasına yönelik
en önemli güvence yani “açık rıza” esası ortadan
kaldırılmaktadır.
12. Mezhep verilerinin yine de özel nitelikli veri sayılması
nedeniyle Kanunda öngörülen düzenlemeler kapsamında uygulanabilecek daha üst
bir korumadan yararlanabileceği, bu nedenle yasadaki düzenlemenin bütünüyle
anlamsız olmadığı şeklindeki gerekçelere katılmak mümkün değildir. Zira,
Maddenin (4) numaralı fıkrasında özel nitelikli veriler için Kurulca (Kişisel
Verileri Koruma Kurulu) belirleneceği öngörülen önlemlerin yeterli olmadığı
görülmektedir.
6698 sayılı Kanun’un 22. maddesinin (1) numaralı fıkrasının (ç)
bendinde Kurula, “Özel nitelikli kişisel verilerin işlenmesi için aranan
yeterli önlemleri belirlemek” görev ve yetkisi verilmiştir. Yeterli önlemlerin
neler olabileceği hakkında kanunla ilke ve esaslar belirlenmeden, çerçevesi
çizilmeden idareye ucu açık, belirsiz, etkili olup olmayacağı şüpheli bir
yetkinin verilmiş olması, Anayasa’nın öngördüğü anlamda kanunla düzenleme
sayılamayacağından, yeterli kanuni güvenceleri de içermeden kişisel verilere
müdahale imkanı veren iptal istemine konu düzenlemenin Anayasa’nın 20.
maddesine uygun olmadığı açıktır.
13. Sonuç olarak eşitlik ilkesi ve ayrımcılık yasağı gereği, ilgilinin
açık rızası olmadıkça her hangi bir eylem, işlem veya uygulamaya konu
yapılamayacak olan mezhep bilgisinin işlenmesinin, Anayasa’nın 13. maddesindeki
esaslara aykırı olarak kanunla öngörülemeyeceği açıktır. Bu nedenle kural,
Anayasa’nın 2. maddesindeki hukuk devletine, 3. maddesindeki millet bütünlüğüne
ve ayrıca 10. ve 24. maddelerine aykırıdır.
“…kılık ve kıyafeti…” İbaresinin İncelenmesi
14. Kılık ve kıyafet, kişinin inançları gereği benimsediği
belirli bir giyim tarzı olabileceği gibi, her hangi bir siyasi veya felsefi
anlam taşımaksızın, sırf kişinin özel yaşamı kapsamındaki bir tercihinden
ibaret de olabilir. Ayrıca, kişi, kılık ve kıyafetini her zaman serbestçe
değiştirebilmek hakkına da sahiptir. Kılık ve kıyafetin tercihindeki nedenler
tamamen kişinin iç alemine ait olup, Anayasa’nın 24. ve 25. maddelerinde
güvence altına alınan hürriyetlerle yakın ilgisi bulunan bu bilgilerin
işlenmesinde ancak çok açık zorunluluk bulunmalı ve bahse konu özgürlüğe
yapılacak müdahale ölçülü olmalıdır.
15. Kılık ve kıyafetin, kişinin açıkça görülebilen bir
özelliği olması, bu verinin işlenmesi için kişinin rızasının bulunduğu anlamına
gelmemektedir. Esasen 6698 sayılı Kanun’un 3. maddesinin (1) numaralı
fıkrasının (a) bendinde “açık rıza” nın, belirli bir konuya
ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade
ettiği belirtilmektedir. Bu nedenle, iptali istenen kuralla kılık ve kıyafetin,
özel nitelikli yani açık rıza olmadıkça işlenemeyecek veri kapsamına alan bir
düzenleme konusu yapılmış olması, bu temel hak ve özgürlük yönünden ek bir
güvence getirmemiştir.
16. Öte yandan, “…mezhebi…” ibaresi ile
ilgili olarak Anayasa’nın 2., 3., 10., 13., 20., 24. ve 25. maddeleri
bağlamında yukarıda belirtilen Anayasa’ya aykırılık gerekçeleri, “…kılık
ve kıyafeti…” yönünden de aynen geçerlidir.
Altıncı Maddenin (3) Numaralı Fıkrasının Birinci Cümlesi
17. Bahse konu birinci cümle şöyledir:
“Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel
veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın
işlenebilir”.
Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki veriler
ise şunlardır:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, … ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri
ile biyometrik ve genetik verileri…”
18. Buna göre, daha önce incelenen mezhep ve kılık kıyafet hariç
tutulursa, kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
diğer inançları, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve
güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri kişinin
açık rızası olmaksızın işlenebilecektir.
Verilerden bir kısmı esasen işlenmesinde zorunluluk bulunan,
kişinin özel yaşamının yanı sıra kamusal alanı da ilgilendiren verilerdir.
Bunlar; dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik
tedbirleridir. Bu nedenle bu veriler ayrı bir kategori halinde
değerlendirilebilir. Kuşkusuz, bu tür verilere ilişkin işlemelerde de yine
Anayasa’nın 13. maddesi esasları gözetilmek zorundadır.
Diğer taraftan, kişinin ırkı, etnik kökeni, dini, siyasi düşüncesi
ve diğer inançları somut olarak tesbit edilemeyecek verilerdir. Din, siyasi ve
diğer inançlar ise tamamen kişinin iç alemine ilişkin ve yine kişinin serbest
iradesiyle her zaman değişebilecek verilerdir. Bu nedenle bunların, kişinin
açık rızası dışında diğer kişiler veya devlet tarafından işlenmesi, tahmin,
yakıştırma ve yaftalamadan öteye gidemez. Bu veriler mahiyetleri icabı, açık
rıza dışında işlenebilecek veriler değildir.
Mezhep ve kılık-kıyafet konusunda daha önce belirtilen Anayasaya
aykırılık gerekçeleri, ırk, etnik köken, dini ve diğer inançlar, siyasi ve
felsefi düşünceler yönünden de aynen geçerlidir.
20. Fıkranın iptali istenen birinci cümlesinin yaptığı atıfla,
-Anayasa’ya aykırı olarak- açık rıza aranmaksızın işlenebilir veri haline
getirilen konuların tahdidi olarak sayıldıkları anlaşılmaktadır. Halbuki bunlar
arasında birinci fıkrada sayılmayan ancak, kişinin rızası dışında işlenmesi
halinde kişinin maddi ve manevi mağduriyetine neden olabilecek, daha pek çok
veri kategorisi saymak mümkündür (kişinin merakları, hobileri, yeme içme ve
tüketim alışkanlıkları, hoşlandığı ve hoşlanmadığı kişi ve konular ve bunun
gibi sayılamayacak kadar çok, özel hayat kapsamındaki veriler). İptali istenen
kuralla, bunlara ilişkin tüm veriler de açık rıza aranmaksızın kanunla
işlenebilecek veriler haline getirilmektedir.
21. Özetle, 6. maddenin (1) numaralı fıkrasıyla bazı kişisel
veriler özel nitelikli yani kişinin açık rızası olmaksızın işlenemeyecek veri
olarak düzenlenir ve böylece üst düzey bir korumaya kavuşturulur gözükürken,
aynı maddenin (3) numaralı fıkrasının birinci cümlesi ile bu kapsamdan
çıkartılmakta; diğer her türlü kişisel veriler ise açık rıza şartı aranmaksızın
kanunla işlenebilir veri haline getirilmektedir. Bu şekliyle kanundaki
düzenlemelerle, Anayasa’nın 20. maddesinde öngörülen ve Anayasanın diğer
hükümleri ile birlikte değerlendirilmesi gereken “kanunla düzenleme” ile “açık
rıza” koşullarından “kanunla düzenlemeye mutlak üstünlük verilip, “açık rıza”
şartının etkisiz hale getirdiği, Anayasa’da üstün kamu yararı ile kişi hak ve
özgürlükleri arasında kurulması gereken makul ve adil dengenin bozulduğu
anlaşılmaktadır.
Bu nedenle iptali istenen kurallar Anayasa’nın 2., 10., 20., 24.
ve 25. maddelerine aykırıdır.
Altıncı Maddenin (3) Numaralı Fıkrasının İkinci Cümlesinin ve 30.
Maddenin (7) Numaralı Fıkrası ile Değiştirilen 663 Sayılı KHK’nin 47.
Maddesinin İncelenmesi
22. Bahse konu (3) numaralı fıkranın ikinci
cümlesinde, “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın
işlenebilir” denilmektedir.
663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve
Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesinin (1) numaralı
fıkrasında sağlık hizmeti almak üzere kamu veya özel sağlık kuruluşları veya
sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak
vermek zorunda oldukları veya hizmete ilişkin kişisel verilerin işlenebileceği,
(2) numaralı fıkrasında sağlık hizmetinin verilmesi, kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetlerinin planlanması ve maliyetinin hesaplanması amacıyla Sağlık
Bakanlığının birinci fıkra kapsamında elde edilen verileri alarak
işleyebileceği, (3) numaralı fıkrasında Bakanlığın bu verilere ilgili kişilerin
erişimini sağlayacak bir sistem kuracağı, (4) numaralı fıkrasında üçüncü
fıkraya göre kurulan bu sistemlerin güvenliği ve güvenilirliği ile ilgili
standartların Kişisel Verileri Koruma Kurulu’nun belirlediği ilkelere uygun
olarak Bakanlıkça belirleneceği, Bakanlığın verilerin güvenliğinin sağlanması
amacıyla sisteme kayıtlı bilgilerin hangi görevli tarafından ne amaçla
kullanıldığının denetlenmesine imkan tanıyan bir güvenlik sistemi kuracağı, (5)
numaralı fıkrasında sağlık kurum ve kuruluşları ile özel kişilerin istihdam
ettikleri personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü
olduğu, (6) numaralı fıkrasında ise sağlık verilerinin işlenmesi ve güvenliği
ile ilgili hususların Bakanlıkça yürürlüğe konulacak yönetmelikle düzenleneceği
belirtilmiştir.
23. Buna göre, 6698 sayılı Kanun’un 6. maddesinin (3) numaralı
fıkrasının ikinci cümlesinde sağlık ve cinsel hayata ilişkin verilerin
ilgililerin açık rızası aranmaksızın işlenmesinin hangi amaçlarla
gerçekleştirilebileceği düzenlenmiş, 30. maddesi ile düzenlenen 663 sayılı
KHK’nin 47. maddesinde ise verilerin alınması ve güvenliği ile ilgili olarak
Sağlık Bakanlığının görev ve yetkileri belirlenmiştir. Başka bir deyişle,
sağlık ve cinsel hayata ait veriler sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası
aranmaksızın işlenemeyecek olmakla birlikte, verilerin korunması için gerekli
düzenlemeleri yapmak ve birtakım önlemler almakla sadece Sağlık Bakanlığı
görevlidir.
24. Bu durumda, kapsamı belli olmayan “yetkili kurum ve
kuruluşlar” tanımı altında gerek idarenin farklı birimlerine gerek
yetkilendirilebilecek diğer özel kurum ve kuruluşlara, ilginin açık rızası
aranmaksızın cinsel hayata ait verileri işleme yetkisi verilebileceği, ancak
bunların Sağlık Bakanlığına bağlı olmamaları nedeniyle Sağlık Bakanlığının
verileri koruma yükümlülüğü kapsamında alacağı önlemleri uygulamak zorunda olup
olmayacakları konusunda belirsizlik bulunduğu anlaşılmaktadır.
25. Kurallar birlikte değerlendirildiğinde; bir kısım meşru
amaçlar belirtilmek ve verilerin korunmasına ilişkin güvenceler getirilmek
suretiyle kamusal üstün yararlar ve kişi hak ve hürriyetlerinin
sınırlandırılması arasında makul bir denge kurulmaya çalışılmış ise de
kuralların bunu sağlayamadığı, bu nedenle iptali istenen hükümlerin Anayasanın
20. maddesine aykırı oldukları anlaşılmaktadır.
Anayasa Mahkemesinin 4.12.2014 tarihli ve Esas:2013/114,
Karar:2014/184 sayılı kararında kişisel verilerle ilgili bazı kuralların
iptaline karar verilirken, Sağlık Bakanlığı ve bağlı kuruluşlarına verilen
görevlerin çok geniş bir alanı kapsadığı, ilgili kurallarla öngörülen veri
toplama görevlerinin toplumsal bir zorunluluğu bünyesinde barındırdığının
söylenemeyeceği belirtilmiştir. Anayasa Mahkemesi ayrıca bahse konu
düzenlemelerde öngörülen güvenceleri de yeterli bulmamıştır. Bu kere incelenen
kurallarda da aynı durumun devam ettiği anlaşılmaktadır. Nitekim, “…
kamu sağlığının korunması, koruyucu hekimlik, … sağlık hizmetleri ile
finansmanının planlanması ve yönetimi …” gibi görevlerin sağlık ve
özellikle cinsel hayata ilişkin kişisel verilerin işlenmesini zorunlu
kıldığından ve bu verileri korumak amacıyla getirilen düzenlemelerin açık, net
ve etkili olduğundan söz edilemez.
26. Sonuç olarak, iptali istenen kurallar, kişinin sağlık ve özel
hayatın en mahrem alanı olan cinsel hayatına ait verilerinin işlenmesi ve
korunması konusunda yeterli yasal dayanakları ortaya koymayan, kamu yararı ile
kişi hak ve hürriyetleri arasında Anayasal ölçütlere göre kurulması gereken
adil ve makul dengeyi kişi aleyhine bozan, Anayasa’nın 20. maddesinde güvence
altına alınan temel haklara yapılmış ölçüsüz bir müdahaledir.
Onaltıncı Maddenin (2) Numaralı Fıkrasının İkinci Cümlesi
27. İptal istemine konu cümle şu şekildedir:
“Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin
kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca
belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından,
Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”
Veri Sorumlusu, 6698 sayılı Kanun’un 3. maddesinin (1) numaralı
fıkrasının (ı) bendinde “Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişiyi ifade eder” şeklinde
tanımlanmıştır. Kanun’un 10. maddesine göre veri sorumlusunun, kişisel
verilerin elde edilmesi sırasında ilgili kişileri ayrıntılı biçimde
aydınlatması gerekmekte, yine Kanun’un 12. maddesine göre veri güvenliğine
ilişkin yükümlülükleri ve sorumlulukları bulunmaktadır. Kanun’un 13.
maddesinde, kişilerin, veri sorumlusuna, kanuni yükümlülük ve sorumluluklarıyla
ilgili taleplerini iletebilecekleri, talebin yerine getirilmemesi halinde Kurula
şikayette bulunabilecekleri belirtilmiş ve bunun yöntemleri ile süreleri
düzenlenmiştir.
Veri Sorumluları Sicili, Kanun’un 16. maddesinin (1) numaralı
fıkrasına göre, Kurulun gözetiminde “kamuya açık olarak” tutulacaktır.
28. İptal isteminin reddine ilişkin çoğunluk gerekçesinde veri
sorumlularının yükümlülükleri bakımından bunların sicile kayıtlı olup
olmadıklarının bir önemi bulunmadığı ifade edilmiş ise de bu görüşe katılmak
mümkün değildir. Zira kişilerin veri sorumlularına kolayca ulaşmaları,
verilerin korunması bakımından en önemli güvencelerden biri olup, Kurulun kendi
takdirine göre bazı veri sorumlularına sicil muafiyeti getirmesi, Kanun’da
kişiler lehine tanınan hakların birçoğunun kullanılmasını güçleştirecek, veri
gizliliğinin ihlali halinde sorumluların takibini engelleyecek, veri
güvenliğine ilişkin kurulan sistemlerin ve kanuni güvencelerin etkisizleşmesine
yol açabilecektir.
29. Bugünkü teknolojik gelişmeler doğrultusunda maliye, vergi,
sigorta, bankacılık gibi işlemlerde en küçük veriler dahi kolayca işlenebilir
ve binlerce terabayt hacminde veriler muhafaza edilebilirken, veri
sorumlularının tam bir sicilinin tutulamayışı için her hangi bir nesnel güçlük
ve haklı neden söz konusu olamaz. Bu nedenle sırf gerek bulunmadığı
düşüncesiyle bazı veri sorumlularının sicilden muaf tutulmasının, Anayasa’nın
20. maddesinde yer alan kişisel verilerin korunmasını isteme hakkının “bilgilendirilme,
bu verilere erişme, bunların düzeltilmesini ve silinmesini talep etme ve
amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme” unsurları
yönünden ağır biçimde zedelenmesine yol açan, ölçüsüz bir düzenleme olduğu,
dolayısıyla Anayasa’ya aykırı olduğu açıktır.
Yukarıda belirtilen nedenlerle çoğunluk görüşlerine
katılmamaktayım.
Üye
Osman
Alifeyyaz PAKSÜT
|