SoorglaÜcretsiz Dene

Danıştay 10. D 2023/5655 K.

Yapay Zeka Destekli

Hukuk Asistanı ile Kararları Analiz Edin

Bu karara ve binlerce benzer karara sorunuzu sorun. Kaynak atıflı detaylı yanıtlar alın.

Ücretsiz Dene

Karar Bilgileri

Mahkeme

Danıştay 10. Daire Başkanlığı

Daire / Kategori

Danıştay Kararı

Karar No

2023/5655

Karar Tarihi

17 Ekim 2023

Danıştay 10. Daire Başkanlığı 2019/10544 E. , 2023/5655 K.

"İçtihat Metni"

T.C.

D A N I Ş T A Y

ONUNCU DAİRE

Esas No : 2019/10544

Karar No : 2023/5655

DAVACI: … Derneği

VEKİLİ : Av. …

DAVALILAR : 1- … Bakanlığı

VEKİLLERİ : Av. …

Hukuk Müşaviri …

                     2.  … Kurumu 

VEKİLİ : Av. …

DAVANIN_KONUSU : 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin;

a) Yetki yönünden tamamının,

b) 4. maddesinin birinci fıkrasının (d), (ı), (k), (m), (n) bentlerinin,

c) 6. maddesinin üçüncü, dördüncü ve altıncı fıkralarının,

d) 12. maddesinin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresinin,

e) 17. maddesinin birinci fıkrasında yer alan "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Bakanlıkça belirlenir." ibaresinin iptali istenilmektedir.

DAVACININ_İDDİALARI : Davacı tarafından, temel hak niteliğindeki kişisel sağlık verilerine ilişkin bir düzenlemenin Cumhurbaşkanlığı Kararnamesi ile düzenlenmesinin Anayasa'nın 104. maddesinin on yedinci fıkrasına aykırı olduğu, bununla birlikte dava konusu Yönetmeliğin içerik olarak son derece yetersiz olduğu, kişisel sağlık verilerinin işlenmesine, güvenliğine, paylaşılmasına ilişkin somut düzenlemelere yer verilmediği, kişisel veri sahibi ve veri sorumlusuna ilişkin hükümleri içermediği, kişisel sağlık verilerinin güvenliğinin nasıl sağlanacağına ilişkin uygulamayı gösterir somut, objektif ve denetlenebilir kuralların belirlenmediği, ne zaman çıkarılacağı belli olmayan atıflarla yetinildiği, bu nedenlerle Yönetmeliğin tamamının meşruluğunu kaybettiği;

Yönetmeliğin 4. maddesinde kişisel veriler konusundaki kavramlarda karışıklık olduğu, bazı tanımların birbirinin yerine kullanıldığı, üst hukuk normlarında yer almayan tanımlara yer verildiği, Sağlık Bakanlığının kişisel sağlık verilerini merkezi bir sistemde toplanması amacıyla oluşturulan ve Danıştay tarafından iptal edilen e-nabız projesine dava konusu Yönetmeliğin 4. maddesinin birinci fıkrasının (d) bendinde hala atıfta bulunulduğu, tanımlar hükmüyle düzenlemeyi daha açık hale getirmesi gereken idarenin, aynı hükmün (k), (m) ve (n) bentlerinde yer alan "kişisel verilerin imha edilmesi", "kişisel verilerin silinmesi" ve "kişisel verilerin yok edilmesi" şeklinde üç tanıma atıf yapılan hükümlerin nasıl anlaşılması gerektiği ve uygulanacağı konusunda tam bir karmaşa yarattığı, yine 4. maddenin birinci fıkrasının (ı) bendinde kimliksizleştirme tanımı yapıldığı, bu tanımın aynı maddenin (c) bendindeki anonimleştirme tanımı ile aynı olduğu, üstelik Kişisel Verilerin Korunması Kanunu'nda kimliksizleştirme şeklinde bir tanımın da mevcut olmadığı;

Yönetmeliğin 6. maddesinin üçüncü fıkrasının ölçülülük ve amaçla sınırlılık ilkelerine aykırı olduğu, tanı ve tedavi için başvurulan sağlık kuruluşlarının geçmiş sağlık verilerinin tümüne erişebilmesinin ölçülülük ilkesine aykırı bir tedbir olduğu, nitekim dava konusu hükümde herhangi bir nedenle başvurulan sağlık kuruluşunun başvurana ait tüm sağlık verilerine erişme olanağı sağlandığı, hastanın geçmişinde yer alan ilgisiz tüm sağlık verilerine ulaşılabileceği, bu durumun kişilere sağlık verilerine ölçüsüz biçimde ulaşma olanağı sağlaması bakımından oldukça riskli olduğu ve amaçla orantısız bir müdahale olduğu;

Yönetmeliğin 6. maddesinin dördüncü ve altıncı fıkraları, 12. maddesinin birinci fıkrası ve 17. maddesinin birinci fıkrasında, uygulamayı göstermekten uzak ve muğlak hükümlere yer verildiği, somut düzenlemelere yer verilmeden, salt Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelere, Bakanlık bünyesindeki yönergelere atıfla yetinildiği, işlenen sağlık verilerini korumanın yöntemi, esasları, kapsamı tam belirlenmeden idareye ucu açık çerçevesi çizilmemiş sınırsız bir yetki verildiği, dava konusu düzenlemelerin iptaline karar verilmesi gerektiği ileri sürülmektedir.

DAVALILARIN SAVUNMALARI :

Davalı Sağlık Bakanlığı tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda veri güvenliğine ilişkin gerekli düzenlemelerin yapıldığı, buna göre Kişisel Verileri Koruma Kurulu tarafından belirlemelerin yapıldığı, dava konusu Yönetmelik ile de Kişisel Verileri Koruma Kurulu tarafından belirlenen düzenlemelere atıfta bulunulduğu, atıf yapılan düzenlemelerin tamamının dava konusu Yönetmelik'ten önce yürürlüğe konulduğu, 6698 sayılı Kanun, 1sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nda yer alan düzenlemeler gereği, Sağlık Bakanlığının kişisel sağlık verileri konusunda açık yetkiye sahip olduğu;

6698 sayılı Kanun’un 30. maddesinin yedinci fıkrası ile değiştirilen 663 sayılı Kanun Hükmünde Kararname’nin 47. maddesinin Anayasaya aykırı olduğu iddiası ile yapılan başvurunun Anayasa Mahkemesinin 28/09/2017 tarih ve E.2016/125-K.2017/143 sayılı kararı ile reddine karar verildiği, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin 378. maddesinde 663 sayılı Kanun Hükmünde Kararnamenin ilga edilen 47. maddesinin hiçbir değişiklik yapılmaksızın düzenlendiği, dolayısıyla, 378. maddede yer alan hükümler hakkında daha önce Anayasa Mahkemesine yapılan başvurunun reddedildiği ve ilgili hükümlerin Anayasaya uygun bulunduğu;

E-Nabız’ın kanuni dayanağının 663 sayılı Kanun Hükmünde Kararname'nin 47. maddesinin üçüncü fıkrası olduğu, bu maddeye karşı açılan iptal davasında maddenin Anayasaya ve hukuka uygunluğunun Anayasa Mahkemesi kararı ile hüküm altına alındığı, yine "kişisel verilerin imha edilmesi", "kişisel verilerin silinmesi" ve "kişisel verilerin yok edilmesi" tanımlarının Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”te yer aldığı, anılan kavramlara ilişkin açıklamaların mezkur Yönetmelikte bulunduğu, 4. maddenin birinci fıkrasının (ı) bendi bakımından, kimliksizleştirme ve anonimleştirme kavramlarının birbirinden çok farklı olduğu, kimliksizleştirilen bir kişisel verinin farklı verilerle eşleştirilmesi halinde ilgili kişiye yeniden ilişkilendirilebilir nitelikte iken, anonimleştirilen bir verinin hiçbir surette ilgili kişiyle yeniden ilişkilendirilememekte olduğu, 6698 sayılı Kanun ve AB Direktifi kapsamında kimliksizleştirilen verilerin anonim veri olarak değil, kişisel veri olarak kabul edildiği, bu iddianın da kabul edilebilir olmadığı;

Anayasa, 6698 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesinde yer alan düzenlemelerin birbirine paralel olduğu, anılan hükümler doğrultusunda yapılan kişisel sağlık verilerinin işlenmesinin Bakanlığın görevleri arasında olduğu, Yönetmeliğe göre vatandaşların tüm sağlık geçmişine herhangi bir sağlık personeli tarafından erişilemediği, bu tercihin vatandaşın kendisine bırakıldığı, e-Nabız gizlilik ayarlarında “hiçbir hekim verilerimi görmesin” işaretlenmesi durumunda verilere, yalnızca mesaj ile kendisine kod gönderilen hekimler tarafından erişilebildiği;

Dava konusu Yönetmelikte muğlaklık bulunmadığı, dava konusu 6. maddenin dördüncü fıkrası ile 6698 sayılı Kanun hükümlerine uygun olmak koşulu ile ilgili sağlık personeli tarafından sağlık verilerine hangi durumlarda erişilebileceğinin herkes tarafından bilinebilir olmasına yönelik düzenleme yapıldığı, Yönetmeliğin 6. maddesinin altıncı fıkrası uyarınca vatandaşlara mahrem olduğunu düşündükleri verilerini kendi e-nabız profillerinde gizleme imkanı sağlandığı, gizlenen verilerin hekim tarafından görüntülenebilmesi için e-devlet veya elektronik imza doğrulaması yapılacağı, konunun hassasiyeti ve hekimin sorumluluğuna ilişkin bir bilgilendirme ve uyarı mesajı gösterileceği ancak bu aşamalardan sonra maskelenmiş verilerin hekime açılacağı, ayrıca aynı hüküm uyarınca kişilere ait psikiyatrik tanıların da gösterilmediği;

Dava konusu Yönetmeliğin 12. maddesi uyarınca, sistemlerde yapılan geliştirme neticesinde, hakkında gizlilik kararı verilen kişilere ilişkin resmi yazıların artık tüm ülkeye dağıtımlı olarak yazılmadığı, gizlilik kararına ilişkin mahkeme kararını alan il sağlık müdürlüğü tarafından kişiye ilişkin bilgilerin tüm sistemlerde gizlendiği, böylece hakkında gizlilik kararı verilen kişilerin tam aksine ifşa edilmesine yönelik uygulamanın nihayete erdirildiği;

Aynı Yönetmeliğin 17. maddesine göre açık sağlık verisi anonim veri olduğu için 6698 sayılı Kanun kapsamında değerlendirilmediği, Bakanlığın sistemlerinde tutulan verilerin anonim hale getirilerek, herkesin erişimine açılmasının planlandığı, davanın reddi gerektiği savunulmaktadır.

Kişisel Verileri Koruma Kurumu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 22. maddesinin birinci fıkrasının (h) bendi ve Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmeliğe göre dava konusu Yönetmelik taslağına ilişkin görüşlerin Sağlık Bakanlığına bildirildiği, Yönetmeliğin hazırlanma sürecinde başka bir görevi ve sürece dahlinin mümkün bulunmadığı, bu nedenle hasım mevkiinden çıkarılması gerektiği;

Kişisel verilerin korunması hakkına yönelik olarak genel hukuk kuralları ve 6698 sayılı Kanuna istinaden yönetmelikler ve diğer adsız düzenleyici işlemler çıkarılmasında hukuki bir engel bulunmadığı, dava konusu Yönetmeliğin "Tanımlar" başlıklı 4. maddesinde düzenlenen tanımların büyük bir bölümünün 6698 sayılı Kanun ve ikincil düzenlemelerinde yer alan tanımlarla aynı olduğu, herhangi bir karmaşanın mevcut olmadığı, 4. maddenin birinci fıkrasının (ı) bendi bakımından, kimliksizleştirme ve anonimleştirme kavramlarının birbirinden farklı olduğu, kimliksizleştirme kavramının 6698 sayılı Kanun'da tanımlanmamakla birlikte, Avrupa Genel Veri Koruma Tüzüğü'nde tanımlandığı, Sağlık Bakanlığı tarafından gönderilen görüş taslağında bu tanıma yer verilmediği, ancak Yönetmeliğin 5. maddesinin beşinci fıkrasında yer alan hükmün anlaşılabilir olabilmesi için Kurum tarafından eklenmesinin uygun olacağı yönünde görüş bildirildiği, dava konusu Yönetmeliğin 6. maddesinin birinci fıkrasında, sağlık personeline sadece verilecek sağlık hizmetinin gerektirdiği verilerle sınırlı bir erişim yetkisi verildiği, anılan maddenin ikinci fıkrasında ise, e-nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanacağı, dolayısıyla kişinin izin verdiği ölçüde erişilebileceği, e-nabız sistemini kullanmayanların sağlık verilerine ise, 6698 sayılı Kanun’un 6. maddesinde düzenlenen ve sağlık verilerinin açık rıza şartı aranmaksızın işlenebilmesi için aranan kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları ile belli sürelerle sınırlı olarak erişilebileceğinin düzenlendiği, öte yandan, idarenin her türlü teknik ve idari tedbirleri almak zorunda olduğu, 6698 sayılı Kanun kapsamında veri sorumlusunun kişisel veri işleme faaliyetlerini yerine getirirken, kişisel verilerin korunması için alınacak güvenlik önlemlerinin neler olduğu ve detayları hususlarında da karar verme yetkisine sahip olduğu, bu çerçevede kişisel verilerin hangi kayıt ortamlarında ne şekilde işleneceği ve muhafaza edileceğini, mevcut şartlar karşısında alınacak veri güvenliğine ilişkin teknik ve idari tedbirlerin neler olacağını belirleyecek olanın da yine veri sorumlusu olduğu, bu kapsamda her veri sorumlusunun yönetiminden sorumlu olduğu veri kayıt sistemlerinin birbirinden farklı kriterlere sahip olduğu, bu nedenle kişisel verilerin işlenme sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla “Kişisel Veri Güvenliği Rehberi”nin hazırlanıp kamuoyuna sunulduğu, yine benzer şekilde, 6698 sayılı Kanun gereği Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin çıkarıldığı, Yönetmelik'te temel olarak kişisel veri saklama ve imha politikasına ilişkin esaslar, kişisel veri saklama ve imha politikasının kapsamı, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin ilkelerin düzenlendiği, ayrıca bunlara ilişkin uygulanacak teknik yöntemler ve alınacak teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla Kişisel Verileri Koruma Kurulu kararları ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi hazırlandığı ve kamuoyuna sunulduğu, dava konusu hükümlerle bu düzenlemelere atıfta bulunulmasının davacının iddiasının aksine uygulamada birlik sağlamaya yönelik olduğu, dava konusu Yönetmelik'te veri sorumlusu olarak Sağlık Bakanlığının özellikle kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemeye yönelik düzenlemelere yer verdiğinin görüldüğü, davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HAKİMİ : …

DÜŞÜNCESİ : Dava konusu Yönetmeliğin 6. maddesinin dördüncü fıkrasının iptaline, Yönetmeliğin kalan kısımları bakımından davanın reddine karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI: …

DÜŞÜNCESİ : Dava 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin, yetki yönünden tamamının, 4. maddesinin 1. fıkrasının (d), (ı), (k), (m), (n) bentlerinin, 6. maddesinin üçüncü, dördüncü ve altıncı fıkralarının, 12. maddesinin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresinin, 17. maddesinin birinci fıkrasında yer alan "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Bakanlıkça belirlenir." ibaresinin iptali istemiyle açılmıştır.

Kişisel Verileri Koruma Kurumunun husumet iddiası yerinde görülmemiştir.

Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 1. fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı belirtilmiş, aynı maddenin 3. fıkrasında, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği hükmü yer almıştır.

07/04/2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun;

"Amaç" başlıklı 1. maddesinde; "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü,

"Kapsam" başlıklı 2. maddesinde; "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü,

"Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü yer almıştır.

"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde,

"(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü yer almıştır.

3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin 1. fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiştir.

10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

  1. Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.

3359 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan Kişisel Sağlık Verileri Hakkındaki Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.

Kişisel Sağlık Verileri Hakkındaki Yönetmeliğin Yetki yönünden tamamının iptali isteği hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanunun özel nitelikli kişisel verilerin işlenme şartını düzenleyen 6. Maddesinde sağlık verilerinin özel nitelikli kişisel veri olarak sayıldığı ve işlenmesinin özel kurallara bağlandığı, hangi halde ilgili kişinin rızası aranmaksızın bu verilerin işlenebileceğinin düzenlendiği, 1 sayılı Cumhurbaşkanlığı Kararnamesinin 378. maddesinde yer alan hükümler birlikte değerlendirildiğinde Sağlık Bakanlığının sağlık verilerinin güvenliğinin sağlanması, toplanması işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu görülmektedir.

Yönetmeliğin 4. maddesinin 1. fıkrasının (d) , (ı), (k), (m), (n) bendleri hakkında;

Yönetmeliğin Tanımlar başlıklı 4. maddesinde bu Yönetmelikte geçen;

d) e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi,

ı) Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,

k) Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

m) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,

n) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini, ifade edeceği belirtilmiştir.

Sağlık hizmetlerinin etkin ve verimli yürütülmesini sağlamak amacıyla kişisel sağlık verilerinin elektronik sistem üzerinde kaydının yapılması, kişisel verilerin işlenme amacının ortadan kalkması ve ihtiyaç duyulmayan verilerin sistemden silinmesi yönünde ayrıntıları düzenleyen kuralların normları aşan veya normlara aykırı bir yönü bulunmadığı sonucuna ulaşılmıştır.

Yönetmeliğin 6. maddesinin 3. 4 ve 6. fıkraları hakkında;

Yönetmeliğin "Sağlık Personelinin verilere erişimi" başlıklı 6; maddenin 1. fıkrasında,

Sağlık hizmeti sunumunda görevli kişilerin; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği düzenlenmiş, 2. fıkrasında e-nabız hesabı bulunanlara yönelik kurallar belirlenmiş ve 3. fıkrasında ise e-Nabız hesabı bulunmayan kişilerin sağlık verilerine Kanun'un 6. maddesinin 3. fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;

a) Kişinin, kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,

b)Sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,

c)Sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,

ç)Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar erişilebileceği kurala bağlanmıştır.

Sağlık hizmet sunucularının e nabız hesabı bulunmayan kişilerin sağlık verilerine sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişim kurallarını düzenleyen maddelerinin 6698 sayılı Kanun "kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" kuralına uygun olduğu görülmektedir.

6.  maddenin 4.  fıkrasının birinci cümlesinde;

3.  fıkrada yer alan erişim kurallarının, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanun'un 6.  maddesinin 3.  fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebileceği yolunda bir düzenleme getirilmiştir. 

Kişisel Verilerin Korunması Kanunu'nda kişisel verilerden ayrı ve daha özel korumaya tabi tutulan sağlık verilerine erişimde, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin 6. fıkrasındaki, kişisel sağlık verilerinin işlenmesi, güvenliği ve maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği kuralına ve verilerin işlenmesinde sınırlı ve ölçülü olma yükümlülüğüne uygun ve amaçla bağlantılı olarak, Yönetmelik'in 6. maddesinin 3. fıkrasında, e-nabız hesabı olmayan hastaların sağlık verilerine erişebilecek kişiler bakımından birtakım sınırlamalara yer verilmiştir. Ancak aynı maddenin 4. fıkrasının birinci cümlesindeki, anılan sınırlamaların/erişim kurallarının Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilebileceği yolundaki düzenleme, 3. fıkra ile getirilen erişim kurallarını etkisiz hale getirdiği gibi sınırlamaların getirilmesi ile güdülen amaç ile de çelişmektedir.

Nitekim konuya ilişkin kuralların belirlendiği maddenin bir fıkrasında düzenlenen kuralların, bir diğer fıkrasıyla tamamen bertaraf edilmesi ve bu kuralların uygulanmaması sonucunu doğuracak şekilde bir hüküm getirilmesi düzenleyici işlemin işlevi ile de bağdaşmamaktadır.

Bu itibarla, Yönetmelik'in 6. maddesinin 3. fıkrasında yer alan erişim kurallarını etkisizleştiren, getirilen sınırlandırmaları bertaraf ederek uygulanmaması sonucunu doğuran aynı zamanda yönetmelikle düzenlenmesi gereken konuların farklı idari tasarruflarla belirlenmesine olanak tanıyan dava konusu Yönetmelik'in 6. maddesinin 4. fıkrasının birinci cümlesinde hukuka uyarlık bulunmamıştır.

6.  maddenin 6.  fıkrasında; 

Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir. kuralı yer almıştır.

Mahremiyet kişinin, başkaları tarafından bilinmesini istemediği hususlardan oluşan özel hayatın sınırlarını belirleyen bir kavram olup, bu sınırın Bakanlıkça belirlenmesine ilişkin belirli, açık, anlaşılır bir kural getirilmediğinden düzenlemede hukuka uyarlık görülmemiştir.

Yönetmeliğin 12. maddesinin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresi hakkında;

Kişisel Sağlık Verilerinin gizlenmesi başlığını taşıyan 12. maddesinde; Hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereği il sağlık müdürlüğü tarafından yerine getirilir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansır. Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır. kuralı yer almıştır.

Yargı kararı gereği hakkında gizlilik kararı alınan kişilere ait sağlık verilerinin kararın gereğini yerine getirmek amacıyla sağlık hizmet sunumunda görevli olup yetkisiz olan kişiler tarafından öğrenilmesini engelleyecek tedbirlerin alınacağını düzenleyen maddede hizmet gereklerine ve üst normlara aykırılık görülmemiştir.

Yönetmeliğin 17. maddesinin birinci fıkrasında yer alan "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usûl ve esaslar Bakanlıkça belirlenir." ibaresi hakkında;

Yönetmeliğin 4. maddesinin

a) bendinde Açık veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,

Açık sağlık verisi başlığı taşıyan 17. maddesinde; Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurularak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla, bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usûl ve esaslar Bakanlıkça belirlenir. Kuralı yer almıştır.

6698 sayılı Kişisel Verilerin Korunması hakkındaki Kanunun 3. maddesinde kimliği belirli veya belirlenebilir kişiye ait ilişkin her türlü bilgi kişisel veri olarak tanımlanmıştır.

Buna göre gerçek kişiye ait olmayan, kişisel veri niteliği bulunmayan açık sağlık verileri 6698 sayılı Kanun kapsamında bulunmadığından yapılan düzenlemenin kamu yararı ve üst norma aykırılığından söz edilemez.

Açıklanan nedenlerle dava konusu Kişisel Sağlık Verileri Hakkında Yönetmeliğin, yetki yönünden tamamına yönelik davanın, yönetmeliğin 4. maddesinin 1. fıkrasının (d), (l), (k), (m), (n) bentlerinin, 6. maddesinin 3. fıkrası, 12. maddesinin 1. fıkrasında "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresi ile 17. maddesine "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Bakanlıkça belirlenir." kısmına yönelik açılan davanın reddi, 6. maddenin 4. fıkrasının birinci cümlesinin ve 6.maddenin 6.fıkrasının iptali gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onuncu Dairesince, duruşma için önceden taraflara bildirilen 17/10/2023 tarihinde davacı vekili Av. …'nin, davalı Sağlık Bakanlığını temsilen Av. … 'in ve davalı Kişisel Verileri Koruma Kurumunu temsilen Av. ...'ün geldiği, Danıştay Savcısının hazır olduğu görülmekle açık duruşmaya başlandı. Hazır bulunan taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra hazır bulunan taraflara son kez söz verilip duruşma tamamlandı. Tetkik hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

Üye …'un kişisel verilere ilişkin düzenlemeler içeren ve dava konusu düzenlemenin dayanaklarından olan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin birinci, ikinci (son cümlesi hariç), üçüncü, dördüncü ve altıncı fıkralarının, Anayasa'nın 20. ve 104. maddelerine aykırı olduğu, bu nedenle anılan kuralların iptali istemiyle Anayasa Mahkemesine başvurulması gerektiği oyuna karşılık, Anayasa Mahkemesine başvurulmasına gerek olmadığına oyçokluğuyla karar verilerek ve davalı idarelerden Kişisel Verileri Koruma Kurumunun usul itirazı da yerinde görülmeyerek işin esasına geçildi.

MADDİ OLAY VE HUKUKİ SÜREÇ :

Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiş olup, anılan Yönetmeliğin yetki yönünden tamamının, 4. maddesinin birinci fıkrasının (d), (ı), (k), (m), (n) bentlerinin, 6. maddesinin üçüncü, dördüncü ve altıncı fıkralarının, 12. maddesinin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresinin ve 17. maddesinin birinci fıkrasında yer alan "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Bakanlıkça belirlenir." ibaresinin iptali istemiyle bakılmakta olan dava açılmıştır.

İNCELEME VE GEREKÇE:

İlgili Mevzuat:

Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin birinci fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; üçüncü fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.

07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun,

"Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü;

"Kapsam" başlıklı 2. maddesinde, "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü;

"Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü;

"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü;

"Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.

Öte yandan, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiş; ek 11. maddesinin üçüncü fıkrasında, "Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılır. Uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir." hükmüne yer verilmiştir.

10/07/2018 tarih ve 30474 sayılı Resmi Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin Sağlık Bakanlığının düzenlendiği Onüçüncü Bölümünde yer alan "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

  1. Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.

Buna göre, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla ve 3359 sayılı Kanun ile 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.

Anılan Yönetmeliğe göre, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri; veri sorumlusu ise, kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.

Hukuki Değerlendirme:

Dava konusu Yönetmeliğin yetki yönünden incelenmesi:

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş ve kişisel verilerin işlenme şartları düzenlenmiştir. Anılan Kanun'un 5. maddesine göre, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Maddenin ikinci fıkrasında ise ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği durumlar öngörülmüştür.

Bununla birlikte Kanun'un 6. maddesinde, sağlık verileri, özel nitelikli (hassas) kişisel veri olarak sayılmış ve işlenmesi özel kurallara bağlanmıştır. Sağlık verileri, ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Maddenin taslak gerekçesinde, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirileceği belirtilmiş, diğer yandan 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinde de, kamu veya özel sağlık kuruluşlarına başvuranların kişisel verilerinin işlenebileceği düzenlenmiş, Bakanlığın, toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurulacağı, kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği hükme bağlanmıştır.

Bu durumda davalı Sağlık Bakanlığının özel nitelikteki sağlık verilerinin toplanması ve işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu açık olduğundan, dava konusu düzenlemede yetki unsuru yönüyle hukuka aykırılık bulunmadığı sonucuna varılarak, davacının maddelere yönelik hukuka aykırılık iddialarının incelenmesine geçilmiştir.

Dava konusu Yönetmeliğin 4. maddesinin birinci fıkrasının (d), (ı), (k), (m) ve (n) bentlerinin incelenmesi:

Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4. maddesinde tanımlara yer verilmiş olup, buna göre dava konusu edilen (d) bendinde, "e-Nabız, ilgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi"; (ı) bendinde, "kimliksizleştirme, kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini"; (k) bendinde, "kişisel verilerin imha edilmesi, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini"; (m) bendinde, "kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini" ve (n) bendinde, "kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini" ifade edeceği belirtilmiştir.

Dava konusu edilen bu hükümler incelendiğinde;

(d) bendi yönünden; anılan bentte, Bakanlıkça kişisel verileri işlenen kişilerin sağlık verilerine kendilerinin, hekimlerin ya da yetki verilen üçüncü kişilerin erişimini sağladığı ve buna ilişkin davalı idare tarafından kurulan sistemin tanımladığı anlaşılmakla birlikte, 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile 1 sayılı Cumhurbaşkanlığı Kararnamesinde, Sağlık Bakanlığına, sağlık hizmeti almak üzere, tüm kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verilerini işleme ve bu konuda kişilerin sağlık durumunun takip edilebilmesi ile sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla gerekli kayıt ve bildirim sistemini kurma yetkisi verildiği gibi, esasen davalı Sağlık Bakanlığının anayasa ve kanunlarla verilen görevini yerine getirebilmesi için herkesin kişisel sağlık verilerini görevi ile sınırlı olmak kaydıyla toplamaya ve işlemeye ihtiyacı bulunduğu hususunda şüphe bulunmadığından, dava konusu tanımda hukuka aykırılık bulunmamaktadır.

(ı) bendi yönünden; dava konusu tanımda, kişisel verilerin, kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi "kimliksizleştirme" olarak ifade edilmiş olup, Yönetmeliğin 5. maddesinde sağlık hizmeti sunucularının, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygulamak ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri almak zorunda oldukları düzenlenmiştir.

Davacı tarafından anılan tanımın, yine 4. maddede tanımı yapılan anonimleştirme ifadesi ile aynı olduğu, 6698 sayılı Kanun'da kimliksizleştirme tanımına yer verilmediği iddiasıyla iptali istenilmektedir.

6698 sayılı Kanun'un 3. maddesine göre "anonim hale getirme" kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Anılan Kanun'un "Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir" şeklindeki 7. maddesinin üçüncü fıkrasına dayanılarak 28/10/2017 tarih ve 30224 sayılı Resmî Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe göre ise, kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olup, verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.

Bu itibarla, anonim hale getirilmiş olan veri, artık kişisel veri olmaktan çıkmakta olup, verinin bir gerçek kişiyle ilişkilendirilemeyecek şeklini alması halidir.

Bununla birlikte 6698 sayılı Kanun'da kimliksizleştirme tanımına yer verilmediği, ancak kişisel verileri işlenen gerçek kişilerin korunmasına ve kişisel verilerin serbest dolaşımına ilişkin kurallar öngören ve 2016 yılında Avrupa Birliği Parlamentosu tarafından onaylanan ve 25/05/2018 tarihinde yürürlüğe giren (AB) 2016/679 sayılı AB Genel Veri Koruma Tüzüğü’nün (GDPR) 4. maddesinde ‘takma ad kullanımı’ adı altında; kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesi şeklinde bir tanımlamaya gidildiği görülmektedir.

Anılan tanımdan yola çıkılarak dava konusu Kişisel Sağlık Verileri Hakkında Yönetmelikte de benzer şekilde kimliksizleştirme tanımı yapıldığı, buna göre, kimliksizleştirme işleminin yapıldığı verinin hala kişisel veri olma niteliğini taşıdığı, kişinin kimliğinin belirlenebilir halinin ihtimal dahilinde olduğu, başka bir anlatımla verinin hala eski haline getirilebilir olduğu anlaşılmaktadır.

Bu durumda, her ne kadar benzer kavramlar gibi görünseler de anonimleştirme ve kimliksizleştirme kavramlarının birbirinden farklı olduğu, görüş alınmak üzere Yönetmelik taslağının gönderildiği Kişisel Verileri Koruma Kurumu tarafından da bu tanımın eklenmesinin önerildiği, böylece uygulamada karışıklığa sebebiyet vermemek adına ve kişisel verileri koruma mevzuatına uygun şekilde yapıldığı anlaşılan dava konusu tanımda iptali gerektirecek bir yön bulunmamaktadır.

(k), (m) ve (n) bendi yönünden; anılan hükümlerde kişisel verilerin imha edilmesi, silinmesi ve yok edilmesinin tariflendiği görülmektedir. 6698 sayılı Kanun'un "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinde "Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir." hükmüne yer verilmiştir. Buna göre yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte de tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlenmiştir. Dava konusu hükümlerle getirilen tanımlamaların anılan Yönetmelik ile uyumlu ve birbirini tamamlar nitelikteki olduğu, herhangi bir belirsizliğe ve çelişkiye neden olmadığı anlaşıldığından, söz konusu düzenlemelerde hukuka ve üst hukuk kurallarına aykırılık bulunmadığı sonucuna ulaşılmıştır.

Dava konusu Yönetmeliğin 6. maddesinin üçüncü ve altıncı fıkraları ile 12. maddesinin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresinin incelenmesi:

6698 sayılı Kanun'un 4. maddesinde kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş, bu ilkeler arasında belirli, açık ve meşru amaçlar için işlenme ilkesine yer verilmiş, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesi ve bu amacın meşru olması zorunlu tutulmuştur. Yine, Kanun'da sayılan genel ilkeler arasında kişisel verilerin işlenmesinin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi, işlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olmasını, amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerekli kılmıştır.

Bu doğrultuda kişisel sağlık verilerin işlenmesinin ve aktarılmasının, Anayasanın 13. maddesindeki temel hakların sınırlandırılmasına ilişkin ilkelerin yanı sıra kişisel verilerin korunmasına yönelik çerçeve kanun olan 6698 sayılı Kanun ile belirlenen ilkelere uygun olması gerekir.

Bu zorunluluk çerçevesinde dava konusu hükümler irdelendiğinde;

  1. maddenin üçüncü fıkrası bakımından, dava konusu Yönetmeliğin "Sağlık personelinin verilere erişimi" başlıklı 6. maddesinin birinci fıkrasında, sağlık hizmeti sunumunda görevli kişilerin, ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebileceği düzenlenmiş; ikinci fıkrasında e-Nabız hesabı bulunanlara yönelik kurallar belirlenmiş; üçüncü fıkrasında ise, e-Nabız hesabı bulunmayan kişilerin sağlık verilerine Kanun'un 6. maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak; kişinin, kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın, sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar, sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla ve hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar erişilebileceği kurala bağlanmıştır.

Buna göre, e-Nabız hesabı bulunmayan kişilerin 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere sağlık verilerine ancak belli başlı hallerde erişilebileceğinin düzenlendiği görülmekle, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan, anlaşılır ve uygulanabilir bir düzenleme olduğu ve kişisel sağlık verilerinin güvenliğinin sağlanmasına yönelik olarak düzenlediği anlaşılan dava konusu hükümde hukuka aykırı bir yön bulunmadığı sonucuna varılmıştır.

  1. maddenin altıncı fıkrası bakımından, anılan fıkrada "Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir. " kuralına yer verilmiştir.

Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olan veri sorumlusu Sağlık Bakanlığının, hassas nitelikteki kişisel sağlık verilerden mahremiyet düzeyi daha yüksek olanların belirlenerek sağlık personelinin bu verilere erişimine sınırlar koymasının Kanun gereği görevi olduğu, bu itibarla getirilen dava konusu düzenlemenin kamu yararı ve hizmet gereklerine uygun olduğu anlaşılmaktadır.

  1. maddenin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır." ibaresi bakımından, anılan maddede hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereğinin il sağlık müdürlüğü tarafından yerine getirileceği, il sağlık müdürlüğü tarafından tesis edilen işlemin doğrudan Kimlik Paylaşım Sistemine de yansıyacağı, gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirlerin alınacağı düzenlenmiştir.

İlgili mevzuatları gereği tedbir mahiyetinde kişiler hakkında verilen gizlilik kararları çerçevesinde bu kişilere ait tüm kişisel verilerin sağlık kurum ve kuruluşlarınca da gizli tutulması ve bu durumun etkin ve gereği gibi yürütülebilmesi için gizliliğin ihlal edilmesini önleyecek tedbirlerin alınması gerektiği, bu doğrultuda dava konusu hüküm ile gizlilik kararlarının bilinmesinin sadece görevi gereği bilmesi gereken kişilerle sınırlandırılmış olmasının 6698 sayılı Kanun'a uygun olduğu, anılan hükümde hukuka aykırılık bulunmadığı sonucuna ulaşılmıştır.

Dava konusu Yönetmeliğin 6. maddesinin dördüncü fıkrasının incelenmesi:

  1. maddenin dördüncü fıkrasının birinci cümlesinde, üçüncü fıkrada yer alan erişim kurallarının, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanun'un 6. maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebileceği yolunda bir düzenleme getirilmiştir.

Kişisel Verilerin Korunması Kanunu'nda kişisel verilerden ayrı ve daha özel korumaya tabi tutulan sağlık verilerine erişimde, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin altıncı fıkrasındaki, kişisel sağlık verilerinin işlenmesi, güvenliği ve maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği kuralına ve verilerin işlenmesinde sınırlı ve ölçülü olma yükümlülüğüne uygun ve amaçla bağlantılı olarak, Yönetmelik'in 6. maddesinin üçüncü fıkrasında, e-nabız hesabı olmayan hastaların sağlık verilerine erişebilecek kişiler bakımından birtakım sınırlamalara yer verilmiştir. Ancak aynı maddenin dördüncü fıkrasının birinci cümlesindeki, anılan sınırlamaların ve erişim kurallarının Sağlık Bilgi Sistemleri Genel Müdürlüğü tarafından yeniden değerlendirilebileceği yolundaki düzenleme, üçüncü fıkra ile getirilen erişim kurallarını etkisiz hale getirdiği gibi sınırlamaların getirilmesi ile güdülen amaç ile de çelişmektedir.

Nitekim konuya ilişkin kuralların belirlendiği maddenin bir fıkrasında düzenlenen kuralların, bir diğer fıkrasıyla tamamen bertaraf edilmesi ve bu kuralların uygulanmaması sonucunu doğuracak şekilde bir hüküm getirilmesi düzenleyici işlemin işlevi ile de bağdaşmamaktadır.

Öte yandan, yeniden değerlendirme kavramının, söz konusu kuralların farklı biçimde düzenlenmesine ve Yönetmelikle yapılan bir düzenlemenin değiştirilmesi veya bütünüyle kaldırılması niteliğindeki işlemlerin tesisine olanak sağladığı da dikkate alındığında, bu durumun konunun yönetmelikle düzenlenmesi gerektiği yolundaki Cumhurbaşkanlığı Kararnamesi'ne aykırı olacağı gibi yönetmelikle yapılan bir düzenlemenin değiştirilmesi veya bütünüyle kaldırılması niteliğindeki işlemlerin de yönetmelikle yapılması gerektiğine ilişkin usulde paralellik ilkesinin ihlali sonucunu doğuracağında da kuşku bulunmamaktadır.

Bu itibarla, Yönetmeliğin 6. maddesinin üçüncü fıkrasında yer alan erişim kurallarını etkisizleştiren, getirilen sınırlandırmaları bertaraf ederek uygulanmaması sonucunu doğuran aynı zamanda yönetmelikle düzenlenmesi gereken konuların farklı idari tasarruflarla belirlenmesine olanak tanıyan dava konusu Yönetmeliğin 6. maddesinin dördüncü fıkrasının birinci cümlesinde hukuka uyarlık bulunmamaktadır.

Bununla birlikte anılan cümlenin iptali halinde fıkranın diğer kısımları da uygulanamaz hale geleceğinden fıkranın tamamının iptaline karar verilmesi gerektiği sonucuna varılmıştır.

Dava konusu Yönetmeliğin 17. maddesinin birinci fıkrasında yer alan "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Bakanlıkça belirlenir." ibaresinin incelenmesi:

Yönetmeliğin "Açık sağlık verisi" başlıklı 17. maddesinde, "Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurularak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla, bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usûl ve esaslar Bakanlıkça belirlenir." kuralına yer verilmiştir.

6698 sayılı Kanun'un 3. maddesinde, anonim hale getirme, kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi şeklinde tanımlanmış; dava konusu Yönetmeliğin 4. maddesinde, açık veri, ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veri olarak ifade edilmişken, açık sağlık verisi ise, açık veri haline getirilen sağlık verisi olarak tanımlanmıştır.

Bununla birlikte 6698 sayılı Kanun'un "İstisnalar" başlıklı 28. maddesinde bu Kanun hükümlerinin uygulanamayacağı haller düzenlenmiş olup, bu hallerden biri de kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi olarak sayılmıştır.

Dolayısıyla, anonim hale getirilmiş olan açık verinin artık kişisel veri olmaktan çıktığı, açık sağlık verisinin de kişisel sağlık verisi niteliği taşımadığı anlaşılmaktadır. Davalı idare tarafından mevzuatla kendisine tanınan görev ve yetkiler dahilinde, anılan görevleri yerine getirebilmek ve nitelikli sağlık hizmeti sunabilmek için kişisel sağlık verisi niteliği taşımayan ve bu nedenle 6698 sayılı Kanun'da sayılan yükümlülüklerden muaf tutulan açık sağlık verilerinin herkesin erişimine sunulmasına yönelik getirilen düzenlemede hukuka aykırı ve iptali gerektirir bir yön bulunmamaktadır.

KARAR SONUCU :

Açıklanan nedenlerle;

  1. Dava konusu Yönetmeliğin yetki yönünden tamamı; 4. maddesinin birinci fıkrasının (d), (ı), (k), (m), (n) bentleri, 6. maddesinin üçüncü fıkrası, 12. maddesinin birinci fıkrasında yer alan "Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır. " ibaresi ve 17. maddesinin birinci fıkrasında yer alan "bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usul ve esaslar Bakanlıkça belirlenir. " ibaresi yönünden oybirliğiyle, 6. maddesinin altıncı fıkrası yönünden oyçokluğuyla, DAVANIN REDDİNE,

  2. Yönetmeliğin 6. maddesinin dördüncü fıkrasının oybirliğiyle İPTALİNE,

  3. Sonuç itibarıyla dava kısmen iptal, kısmen ret ile sonuçlandığından, ayrıntısı aşağıda gösterilen toplam … TL yargılama giderinin yarısına karşılık gelen … TL yargılama giderinin davacı üzerinde bırakılmasına, diğer yarısına karşılık gelen … TL yargılama giderinin davalı idarelerden alınarak davacıya verilmesine,

  4. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen … TL vekâlet ücretinin davacıdan alınarak davalı idarelere verilmesine, … TL vekâlet ücretinin ise davalı idarelerden alınarak davacıya verilmesine,

  5. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra istemi halinde davacıya iadesine,

  6. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 17/10/2023 tarihinde karar verildi.

(X) KARŞI OY :

Dava konusu Yönetmeliğin 6. maddesinin altıncı fıkrası yönünden; Anayasa'nın 2. maddesinde, Türkiye Cumhuriyetinin bir hukuk devleti olduğu belirtilmiştir. Hukuk devleti ilkesi, yürütme organının faaliyetlerinin yönetilenlerce belli ölçüde öngörülebilir olmasını, herkesin bağlı olacağı hukuk kurallarını önceden bilmesini, ekonomik ve sosyal yaşamlarındaki tutum ve davranışlarını buna göre düzene sokabilmesini gerektirir. Zira hukuk devletinin gereği olan belirlilik ve hukukî güvenlik ilkesi, idarenin keyfi hareket etmesini engeller. Bunu gerçekleştirmenin başlıca yolu ise kural konulmasını gerektiren durumlarda bunların genel, soyut, anlaşılabilir ve sınırlarının belirli olmasını sağlamaktır.

Kanun koyucu, düzenleyeceği konularda genel prensipleri belirler ve bunun uygulamasını yürütmeye, başka bir ifadeyle idareye bırakır. İdarenin kanunla belirlenen takdir yetkisi doğrultusunda ve kanunlara aykırı olmamak suretiyle yapacağı düzenlemelerin kapsam ve sınırlarını açık bir şekilde ortaya koymak suretiyle kanunun uygulanmasını sağlaması gerekmektedir. Aksi takdirde, yönetmelik çıkarılması ile gözetilen amacın yerine getirildiğinden söz etmek mümkün olmayacağı gibi hukukî güvenlik ve düzenli idare ilkelerinin ihlâli söz konusu olabilecektir.

Dava konusu Yönetmeliğin "Sağlık personelinin verilere erişimi" başlıklı 6. maddesinin altıncı fıkrasında, "Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir." kuralına yer verilmiştir.

Düzenlemede, Bakanlıkça belirleneceği ifade edilen "Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri" kavramının, soyut, göreceli, muğlak ve sınırlarının belirsiz olduğu, bu haliyle anılan fıkranın "hukuki belirlilik" ve "hukuki güvenlik" ilkelerine aykırı olduğu sonucuna varılmıştır.

Nitekim, dava konusu Yönetmeliğe ilişkin Kişisel Verileri Koruma Kurulunun bu fıkra hükmü yönünden verdiği görüşün de "...fıkra hükmünün muğlak olduğu ve söz konusu veriler ile kastedilenin daha anlaşılır biçimde, gerekirse örnekseme yoluyla ifade edilmesinin daha uygun olacağı.." yolunda olduğu görülmektedir.

Bu itibarla, kişisel verilerden ayrı ve daha özel korumaya tabi tutulmuş sağlık verilerine sağlık personelinin erişimi ile ilgili kuralların düzenlendiği Yönetmeliğin 6. maddesinin altıncı fıkrasının muğlak ve soyut ifadeler içerdiği ve sınırlarının belirli olmadığı anlaşıldığından, anılan hükmün iptaline karar verilmesi gerektiği oyuyla, Daire kararının bu kısmına katılmıyorum.

10 Milyon+ Karar Arasında Arayın

Mahkeme, tarih, anahtar kelime ile filtreleyin. AI ile benzer kararları otomatik bulun.

Ücretsiz Başla

Kaynak: Mahkeme Veri Tabanı

Ücretsiz Üyelik

Profesyonel Hukuk AraçlarınaHemen Erişin

Ücretsiz üye olun, benzer kararları keşfedin, dosyaları indirin ve AI hukuk asistanı ile kararları analiz edin.

Gelişmiş Arama

10M+ karar arasında akıllı arama

AI Asistan

Kaynak atıflı hukuki cevaplar

İndirme

DOCX ve PDF formatında kaydet

Benzer Kararlar

AI ile otomatik eşleşen kararlar

Kredi kartı gerektirmez10M+ kararAnında erişim