Danıştay danistay 2021/2640 E. 2025/2056 K.

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2021/2640
Karar No : 2025/2056

DAVACI : ...
VEKİLİ : Av. ...

DAVALI : ... Bakanlığı / ANKARA
VEKİLLERİ : Hukuk Müşaviri ...
Hukuk Müşaviri Av. ...

DAVANIN_KONUSU : Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istenilmektedir.

DAVACININ_İDDİALARI : Davacı tarafından; dava konusu işlemde atıf yapılan Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün 07/07/2020 tarihli yazısında 2019 yılı Cumhurbaşkanlığı Yıllık Programının "Kayıt Dışı Ekonominin Azlatılması Programı" başlığı altında yer alan 239. tedbirden ve bu tedbir uyarınca Sağlık Bakanlığı tarafından uygulanacak 27 Nolu eylemden bahsedildiği, yazının bu çerçevede hazırlandığının belirtildiği, ancak planlanan eylemle ilgisi olmayan bir sonuca ulaşıldığı, eylem planında özel hastaneler için öngörülen yükümlülüğün özel muayenehanelere yüklendiği, muayenehanelerin Muayene Bilgi Yönetim Sistemine entegre olmasının ve burada yapılan tüm işlemlerin, hasta verilerinin gönderilmesinin istenildiği, buna uymayanlara yaptırım uygulanacağının belirtildiği, yazının kendi içinde çelişkili olduğu, plastik, rekonstrüktif ve estetik cerrahi uzmanı olduğu, 2005 yılından bu yana muayenehanesinde hizmet verdiği, verdiği hizmetin hastalarının sır saklamasına duydukları güvene dayandığı, muayenehanede yaptığı, danışma, muayene, tanı, tedavi, kontrol ve benzeri tüm uygulamaların merkezi bir veri sistemine aktarılmasının hukuki dayanağının olmadığı, hekimlerin sır saklama yükümlülüğüne aykırı olduğu, düzenlemenin Anayasa'nın 20. maddesine, Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesine aykırı olarak özel hayatın gizliliğini ihlal eder mahiyette olduğu, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde Sağlık Bakanlığına verilerin işlenmesine ilişkin verilen yetkinin Kanun'un 4. maddesinde sayılan genel ilkeler ile sınırlı olduğu, sağlık verilerinin işlenmesinde Kişisel Verileri Koruma Kurulunun yeterli önlemleri belirlemesi gerektiği, dava konusu yazının dayanakları arasında gösterilen 1 sayılı Cumhurbaşkanlığı Kararnamesinin 378. maddesinin Danıştay İdari Dava Daireleri Kurulu tarafından itiraz yoluyla Anayasa Mahkemesine taşındığı, Sağlık Bakanlığı tarafından ülke çapında kurulacak kayıt ve bildirim sisteminin Bakanlığın bağlı ve ilgili kuruluşlarını kapsadığı, işlemin dayanakları arasında yer verilen Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrasının Danıştayca yürütülmesinin durdurulduğu, hastaların açık kimlik bilgilerinden arındırılmış, anonimleştirilmiş verilerinin paylaşabileceği iddia edilerek dava konusu düzenlemenin iptali istenilmektedir.

DAVALININ_SAVUNMASI : Davalı idare tarafından, usul yönünden, dava konusu Genel Yazı'nın 81 il valiliğinin bilgilendirildiği bir iç yazışma olduğu, konuya ilişkin itiraz ve taleplere dair açıklamalar yapılarak ilgililere bilgi verildiği, icrai niteliğinin olmadığı, tek başına idari davaya konu edilemeyeceği; esas yönünden, Kayıt Dışı Ekonomiyle Mücadele Eylem Planının (2019-2021) Sağlık Bakanlığınca yürütülen 27 nolu eyleminin, “Özel muayenehanesi olan doktorların özel hastanelerde yapmış olduğu işlemlere (tedavi, muayene, ameliyat vb.) ait Özel Hastaneler Yönetmeliği gereğince tutulması ve bildirilmesi gereken kayıt ve bilgilerin, Sağlık Bakanlığı tarafından kurulacak elektronik sistemlere girişlerinin yapılması ve bu şekilde kurulan sistemlerin ilgili kurumların bilgi sistemleri ile entegrasyonu sağlanacaktır.” şeklinde açıklandığı, özel muayenehanesi bulunan hekimlerin, 1219 sayılı Tababet ve Şuabatı San'atlarının Tarzı İcrasına Dair Kanun’un 12. maddesi kapsamında muayenehanesine başvuran hastaların tedavilerini (tedavi, ameliyat vb.) özel poliklinik, tıp merkezi veya özel hastanelerde yapabildikleri, bu kuruluşlarda yapılan işlemlerin ise işlemin yapıldığı kuruluş tarafından kaydedilmesi ve Bakanlığa gönderilmesi gerektiği, Bakanlık tarafından, birinci basamak sağlık kuruluşlarında yapılan muayene, reçete, aşı, izlem vs. sağlık hizmetlerini kayıt altına almak ve takibini yapmak için Muayene Bilgi Yönetim Sisteminin (MBYS) geliştirildiği, MBYS'nin toplum sağlığı merkezleri, göçmen sağlığı merkezleri, yetkilendirilmiş aile hekimliği birimleri, diş hekimleri ve bazı işyeri hekimleri tarafından kullanıldığı, dava konusu düzenleme ile özel muayenehaneler, özel diş muayenehaneleri, özel ağız ve diş sağlığı poliklinikleri ve özel ağız ve diş sağlığı merkezlerinin MBYS sistemine entegre olmalarının ve sağlıklı veri gönderilmesinin sağlanmasının, buna uygulamayanlar hakkında, 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun ek 11. maddesi hükümleri çerçevesinde işlem yapılması gerektiğinin 81 İl Valiliğine bildirildiği, dava konusu işlemde hukuka aykırılık bulunmadığı, Anayasa'nın 20. maddesinin üçüncü fıkrasında kişisel verilerin işlenebilmesi için “kanunda öngörülen haller” veya “kişinin açık rızası” şeklinde iki durum öngörüldüğü, bu iki durumdan herhangi birinin sağlandığı hâllerde kişisel verilerin işlenmesinin hukuka uygun kabul edileceği, 6698 sayılı Kanun'da kişisel verilerin ilgili kişilerin açık rızası olmadan işlenemeyeceğinin kural olarak kabul edildiği, ancak aynı Kanun’un 6. maddesinin üçüncü fıkrasında bu verilerin, “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının yönetimi ve planlanması” amaçlarıyla, ilgili kişilerin açık rızası olmaksızın, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceğinin düzenlendiği, böylece bu hüküm ile, Anayasa'nın 20. maddesinin üçüncü fıkrasındaki “kanunda öngörülen hâller” şartının sağlandığı, bununla birlikte 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrasında yer alan “yetkili kurum ve kuruluşlar” ifadesi ile kastedilmek istenen otoritelerin Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu olduğu hususunun Kanun'un gerekçesinde de yer aldığı, bahsi geçen düzenlemeler göz önünde bulundurulduğunda yasal yetki ve görevler çerçevesinde kişisel sağlık verilerini işleyen ve Bakanlığa aktaran hekimler açısından “özel hayatın gizliliğini ihlal” veya “verileri hukuka aykırı olarak verme veya ele geçirme” suçlarının unsurlarının oluşmayacağı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin üçüncü fıkrasında, sağlık ve cinsel hayata ilişkin kişisel verilerin hangi hallerde ilgilinin açık rızası aranmaksızın işlenebileceğinin belirtildiği, dava konusu işlemin bu yasal düzenlemeye uygun olduğu, veri işleme sürecinin nasıl ilerleyeceği ve veri güvenliğine ilişkin hususların 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelikte düzenlendiği, anılan düzenlemeler gereğince veri işleme sırasında Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Veri Güvenliği Rehberinin esas alındığı, Bakanlığın kişisel sağlık verilerini işlemesinin kamu sağlığını koruma amacı güttüğü, bunun Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesine aykırılık teşkil etmediği belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HAKİMİ : ...
DÜŞÜNCESİ : Dava konusu Genel Yazı'nın iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI : ...
DÜŞÜNCESİ : Dava, Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istemiyle açılmıştır.
Dava konusu işlemin ilk paragrafında; "1 Temmuz 2020 tarihi itibari ile İllerde hizmet veren özel muayenehaneler, özel diş muayenehaneleri, özel ağız diş sağlığı poliklinikleri ve özel ağız diş sağlığı merkezlerinden MBYS sistemine entegre olanların sisteme devamı ve yaptıkları iş ve işlemlere ait sağlıklı veri gönderilmesinin sağlanması, sisteme entegre olmayanların 1 Eylül 2020 tarihine kadar MBYS'ye entegre olmaları ve sağlıklı veri gönderilmesinin sağlanması hususunda 07/07/2020 tarih ve 1157 sayılı yazı ile İl Sağlık Müdürlüklerine talimat verilmiştir." açıklaması yer almıştır.
Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi Entegrasyonu" konulu 07/07/2020 tarih ve E.1157 sayılı Genel Yazısı'nda; 2019 yılı Cumhurbaşkanlığı Yıllık Programı uyarınca Hazine ve Maliye Bakanlığının sorumluluğunda ilgili kamu kurum/kuruluşlarının da görüşleri alınarak Kayıt Dışı Ekonomiyle Mücadele Eylem Planı (2019-2021) hazırlandığı ve uygulamaya konulduğu, Sağlık Bakanlığınca, birinci basamak sağlık kuruluşlarında yapılan muayene, reçete, aşı, izlem vs. sağlık hizmetlerini kayıt altına almak ve takibini yapmak için Muayene Bilgi Yönetim Sistemi (MBYS) geliştirildiği, MBYS'de oluşturulan verilerin Bakanlık merkezi sağlık sistemine gönderildiği, sistemin MEDULA ve ATS (Aşı Takip Sistemi) gibi sistemlerle entegre çalıştığı, MBYS'nin web tabanlı bir uygulama olduğu, yetkilendirme işlemlerinin il sağlık müdürlüklerindeki Halk Sağlığı Yönetim Sistemi (HSYS) İl Admin'leri tarafından yapıldığı açıklaması bulunmaktadır.
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 1. fıkrasında; herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı, 3. fıkrasında; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsayacağı, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği, hükmüne yer verilmiştir.
Kanuni düzenlemeye neden ihtiyaç duyulduğunu ortaya koyan genel gerekçesinde; Türk Ceza Kanunu'nun 135. ve devamı maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiillerinin suç olarak düzenlendiği ve yaptırıma bağlandığı, ancak kişisel verilerin işlenmesine yönelik özel bir kanun bulunmaması sebebiyle, bu fiillerin ne zaman hukuka aykırı ne zaman hukuka uygun olduğunun belirlenmesinde tereddütler yaşandığı vurgulanmıştır.
07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun, "Genel ilkeler" başlıklı 4. maddesinde; (1) Kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, (2) Kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, ilkelerine uyulmasının zorunlu olduğu, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde; (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, hükme bağlanmış, "Kişisel verilerin aktarılması" başlıklı 8. maddesinde; (1) Kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı, (2) Kişisel verilerin; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği, (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu, hükmü yer almıştır.
3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin 1. fıkrasının (f) bendinde; herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği, düzenlenmiş, Ek 11. maddesinin 3. fıkrasında da; Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşlarının iki defa uyarılacağı, uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verileceği, hükmüne yer verilmiştir.
10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde; (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verilerin işlenebileceği, 2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlığın, birinci fıkra kapsamında elde edilen verileri alarak işleyebileceği, bu verilerin, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamayacağı, (3) Bakanlığın, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, (4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kuracağı, (5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişilerin, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olduğu, (6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği, hükmü getirilmiştir.
3359 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan ve 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Genel ilke ve esaslar" başlıklı 5. maddesinde; (1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edileceği, (2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemlerinin kurulabileceği, (3) Hiç kimsenin, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamayacağı, (4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınacağı, (5) Sağlık hizmeti sunucularının, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygulayacağı ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alacağı, (6) Herkesin, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabileceği,(...), kurala bağlanmış, Sağlık personelinin verilere erişimi 6. maddesinde düzenlenmiş, "Bakanlık birimlerinin verilere erişimi" başlıklı 7. maddesinde; (1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerinin, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirlerinin ayrı ayrı belirleyeceği ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep edeceği her birimin amirinin, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebileceği, (2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcıların bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilecekleri, (3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırlarının, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirleneceği, kuralına, "Kişisel sağlık verilerinin aktarılması" başlıklı 15. maddesinde, (1) Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edileceği, 2) Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28 inci maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenleneceği,(...), (3) Kişisel sağlık verilerinin aktarımı taleplerinin, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirileceği, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edileceği, kuralına, "Yaptırım" başlıklı 21. maddesinin 3. fıkrasında ise; merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edileceği, kuralına yer verilmiştir.
Anayasamızda, kişisel verilerin korunması özel hayatın gizliliği kapsamında temel bir insan hakkı olarak güvence altına alınmış ve kanun ile düzenlenmesi hükme bağlanmıştır. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla yürürlüğe konulan 6698 sayılı Kişisel Verileri Koruma Kanunu 'nda, Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, olarak tanımlanmış, kişisel veri ise; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak, ifade edilmiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak açıklanmış ve özel nitelikli kişisel verilerin, açık rıza aranmadan işlenebilmesi için kanunlarda öngörülmesi yeterli görülmemiş, yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi, temel hakların ihlali nitelendiğinde olması nedeniyle işlenmesi için kişinin açık rızası aranmış ya da rıza dışında işlenebilmesi ve aktarılabilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla gerçekleştirilmesine, bu işlem de; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Kurulca belirlenen yeterli önlemlerin alınması koşuluna bağlanmıştır.
Kamu veya özel sağlık kuruluşlarından sağlık hizmeti alanların verilerinin işlenmesi yasal olarak mümkün kılınmış olmakla birlikte, Yasada, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesi esası benimsenmiş ve sağlık hizmeti sunanların dahi kişiye özel sağlık verilerine ulaşımında verilecek olan sağlık hizmetinin gereği ile sınırlı olması şartı getirilmiş, bu verilerin aktarılması ise Kişisel Verilerin Korunması Kanununda öngörülen şartlara bağlanmıştır.
Kişisel Verilerin Korunması Kanunu ile, kişisel verilerin işlenebilmesi için, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunluluğu getirilmiş ve sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırlarının, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenmesi esası benimsenmiş olmakla, dava konusu idari düzenlemede; muayenehaneler ile özel ağız diş sağlığı poliklinikleri ve özel ağız ve diş sağlığı merkezlerinin Muayene Bilgi Yönetim Sistemine (MBYS) entegre olmaları ve yaptıkları tüm iş ve işlemlere ilişkin (tedavi, ameliyat, muayene vb.) kişisel sağlık verilerini sisteme göndermelerinin istenilmesine ve verilerin işlenme amacının, kayıt dışı ekonomiyle mücadele ve kamu sağlığının korunması, mevzuatla Bakanlığa verilen yetkiler çerçevesinde koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, herkesin bedeni, zihni ve sosyal bakımdan tam bir iyilik hali içinde hayatını sürdürmesinin sağlanması, halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi için çalışmalar yapmak, teşhis, tedavi ve rehabilite edici sağlık hizmetlerini yürütmek, uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesini önlemek olduğu belirtilmesine karşın, verilerin işlenmesinin bu meşru amaçla bağlantılı olarak sınırlı ve ölçülü olması gerektiğinden, veri işleme amacının gerçekleştirilebilmesi için tüm sağlık verilerinin Bakanlığa aktarılmasının gerekip gerekmediği, ne kadar süre ile tutulacağı, kimlerin bu verilere erişebileceği, yalnızca sağlık hizmeti sunumunda görevli kişilerin mi veriye erişebileceği, veriye erişebilenlerin bu verilerin ne kadarını görebileceği gibi hususlarda açıklık getirilmediği, sınırlarının belirlenmediği dolayısıyla yasada öngörülen zorunluluğu yerine getiriir nitelikte bir idari düzenleme olmadığı sonucuna varılmıştır.
Ayrıca, dava konusu işleme dayanak oluşturan veri gönderilmesinin istenildiği il sağlık müdürlüklerine yönelik talimata yasal dayanak oluşturan, Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 12/12/2017 tarih ve 30268 sayılı Resmî Gazete'de yayımlanan Yönetmelik ile değişik 27. maddesinin 8. fıkrasının, onanarak kesinleşen Danıştay Onuncu Dairesinin 29/12/2020 tarih ve E:2019/7114, K:2020/7147 sayılı kararı ile iptal edildiği görülmüştür.
Açıklanan nedenlerle, dava konusu düzenlemenin iptali gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
Davalı idarenin, dava konusu işlemin idari davaya konu olacak kesin ve yürütülmesi gereken bir işlem olmadığı yönündeki usul itirazı yerinde görülmeyerek işin esasına geçildi.

MADDİ OLAY
Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi Entegrasyonu" konulu 07/07/2020 tarih ve E.1157 sayılı Genel Yazısı'nda -özetle-; 2019 yılı Cumhurbaşkanlığı Yıllık Programı kapsamında Hazine ve Maliye Bakanlığının sorumluluğunda ilgili kamu kurum ve kuruluşlarının katılımı ile Kayıt Dışı Ekonomiyle Mücadele Eylem Planının (2019-2021) hazırlandığı ve uygulamaya konulduğu, Sağlık Bakanlığınca, birinci basamak sağlık kuruluşlarında yapılan muayene, reçete, aşı, izlem vs. sağlık hizmetlerini kayıt altına almak ve takibini yapmak için Muayene Bilgi Yönetim Sistemi (MBYS) geliştirildiği, MBYS'de oluşturulan verilerin Bakanlık merkezi sağlık sistemine gönderildiği, sistemin MEDULA ve ATS (Aşı Takip Sistemi) gibi sistemlerle entegre çalıştığı, MBYS'nin web tabanlı bir uygulama olduğu, yetkilendirme işlemlerinin il sağlık müdürlüklerindeki Halk Sağlığı Yönetim Sistemi (HSYS) il adminleri tarafından yapıldığı yönünde açıklamalara yer verilerek "Özel muayenehanesi olan hekimler ile diş hekimlerinin, özel diş muayenehanesi, özel ağız diş sağlığı polikliniği ve özel ağız diş sağlığı merkezlerinde yapmış olduğu iş ve işlemlerin (tedavi, ameliyat, muayene vb.) Muayene Bilgi Yönetim Sistemine kayıt edilmesine yönelik Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrası hükmü ve Kayıt Dışı Ekonominin Azaltılması Programı başlığı altında yer alan 239. tedbirin Sağlık Bakanlığınca yürütülen 27 nolu eylemi kapsamında; 1 Temmuz 2020 tarihi itibarıyla illerde hizmet veren özel muayenehaneler, özel diş muayenehaneleri, özel ağız diş sağlığı poliklinikleri ve özel ağız diş sağlığı merkezlerinden MBYS sistemine entegre olanların sisteme devamı ve yaptıkları iş ve işlemlere ait sağlıklı veri gönderilmesinin sağlanması, sisteme entegre olmayanların 1 Eylül 2020 tarihine kadar MBYS'ye entegre olmaları ve sağlıklı veri gönderilmesinin sağlanması" hususunda 81 il valiliği talimatlandırılmıştır.
Türk Tabipleri Birliği, Türk Diş Hekimleri Birliği, Türk Plastik, Rekonstrüktif ve Estetik Cerrahi Derneği tarafından Bakanlığa yapılan başvurularda, uygulamanın kişisel verilerin saklanması ve paylaşımına ilişkin yürürlükteki mevzuata ve uluslararası sözleşmelere aykırı olduğu, hasta ve hekim mağduriyetine sebebiyet vereceği, Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrasının Danıştayca yürütmesinin durdurulduğu, buna dayalı olarak özel sağlık kuruluşlarına yükümlülük getirilemeyeceği belirtilerek, MBYS sistemi kapsamında hastalara ilişkin bilgilerin hangi amaçla istenildiği, istenilen verilerin bu amacın gerçekleşmesini ne şekilde sağlayacağı, söz konusu bilgilerin anonimleştirilerek, hastaların kimlik bilgisi olmaksızın verilmesinin amacı sağlamak için yeterli olup olmadığı, veri işleme sürecinin bir bütün olarak nasıl yürütüleceği hususları Bakanlıktan sorulmuştur.
Bunun üzerine, Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nda; 07/07/2020 tarih ve E.1157 sayılı Genel Yazı ilgi tutularak, Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrasının Kişisel Verileri Koruma Kurulundan görüş alınmamış olması sebebiyle usul yönünden yürütülmesinin durdurulduğu; Bakanlığın, başta 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik olmak üzere mevzuatla verilen yetki ve görevler çerçevesinde hareket ettiği; teşhis ve tedavileri özel sağlık kuruluşlarında yürütülen hastalara ilişkin bilgilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, herkesin bedeni, zihni ve sosyal bakımdan tam bir iyilik hali içinde hayatını sürdürmesinin sağlanması, halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi için çalışmalar yapmak, teşhis, tedavi, ve rehabilite edici sağlık hizmetlerini yürütmek, uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesini önlemek amacıyla toplandığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinin de bu yönde olduğu; veri işleme sürecinin nasıl işleyeceğinin 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesinde düzenlendiği, aynı Yönetmeliğin 6. maddesinde veri güvenliğine ve bilgi güvenliğine ilişkin yükümlülüklerin düzenlendiği, kişisel sağlık verilerinin kamu sağlığının korunması kapsamında işleniyor olması sebebiyle veri işlemenin Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesine de aykırılık teşkil etmediği yönünde açıklamalarda bulunulmuş ve "ilgi Genel Yazı'nın gereğinin yerine getirilmesi ve buna uymayanlar hakkında 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun ek 11. maddesi hükümleri çerçevesinde işlem yapılması gerektiği" hususunda 81 il valiliği talimatlandırılmıştır.
Ardından davacı tarafından, Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istemiyle görülen dava açılmıştır.

İNCELEME VE GEREKÇE:
İLGİLİ MEVZUAT:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 1. fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; 3. fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun, -işlem tarihindeki haliyle- "Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü;
"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde,
"(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü;
"Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.
3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin 1. fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiş; -işlem tarihindeki haliyle- ek 11. maddesinin 3. fıkrasında, "Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılır. Uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir." hükmüne yer verilmiştir.
10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.
Bununla birlikte 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, görülen dava devam etmekte iken, 27/02/2024 tarihli Resmî Gazete'de yayımlanan Anayasa Mahkemesinin 26/10/2023 tarih ve E:2018/118, K:2023/180 sayılı kararıyla sağlık hizmetleriyle ilgili olarak kişisel verilerin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içeren kuralın Cumhurbaşkanlığı Kararnamesi ile düzenlenemeyecek yasak alan içinde kaldığı gerekçesiyle konu bakımından yetki yönünden Anayasa'ya aykırı bulunmuş ve maddenin iptaline karar verilmiş; iptal hükmünün ise Anayasanın 153. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 66. maddesinin üçüncü fıkrası gereğince, kararın Resmî Gazete'de yayımlanmasından başlayarak dokuz ay sonra (27/11/2024) yürürlüğe girmesine karar verilmiş ise de; 15/01/2025 tarih ve 32783 sayılı Resmi Gazete'de yayımlanan 7538 sayılı Kanun'un 2. maddesiyle 3359 sayılı Kanun'a eklenen ek 19. maddesinde, "Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Sağlık Bakanlığı, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır; bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." düzenlemesine yer verilmiştir.
3359 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan ve 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Genel ilke ve esaslar" başlıklı 5. maddesinde, "(1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.
(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir." kuralına;
"Sağlık personelinin verilere erişimi" başlıklı 6. maddesinde, "(1) Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.
(2) e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.
(3) e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;
a) Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
b) Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
c) Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
ç) Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar,
erişilebilir.
(4) Üçüncü fıkrada yer alan erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebilir. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gereklilikler sağlanır.
(5) Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.
(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir." kuralına;
"Bakanlık birimlerinin verilere erişimi" başlıklı 7. maddesinde, "(1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.
(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.
(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir." kuralına;
"Kişisel sağlık verilerinin aktarılması" başlıklı 15. maddesinde, "(1) Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.
(2) Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28 inci maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenir. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilir. Verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilir.
(3) Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir." kuralına;
"Yaptırım" başlıklı 21. maddesinin 3. fıkrasında, "Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir." kuralına yer verilmiştir.

HUKUKİ DEĞERLENDİRME:
Her ne kadar, dava konusu Genel Yazı'nın dayanakları arasında gösterilen 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin Anayasa Mahkemesince iptaline karar verilmiş ise de, dava devam ederken, iptal edilen CBK hükmünün aynı şekilde 3359 sayılı Kanun'a ek 19. madde olarak eklenerek kanunlaştırıldığı görüldüğünden, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendi ile ek 19. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinin yürürlükte olduğu dikkate alındığında, Anayasa Mahkemesince verilen iptal kararının dava konusu düzenlemeyi dayanaksız hale getirdiğinden, bir başka anlatımla dava konusu düzenlemenin hukuki dayanağının kalmadığından söz edilmesinin mümkün olmadığına karar verilerek diğer hususlar yönünden dava konusu düzenleme incelenecektir.
Yukarıda aktarılan mevzuat incelendiğinde; 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sisteminin kurulacağının ifade edildiği, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği gibi bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceğinin kurala bağlandığı; diğer yandan 3359 sayılı Kanun'un ek 19. maddesinde de, kamu veya özel sağlık kuruluşlarına başvuranların kişisel verilerinin işlenebileceğinin belirtildiği, Bakanlığın, toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurulacağı, kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceğinin hükme bağlandığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde de, sağlık verilerinin özel nitelikli kişisel veri olarak sayıldığı, işlenmesinin özel kurallara bağlandığı ve ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin rızası aranmaksızın bu verilerin işlenebileceğinin düzenlendiği, maddenin gerekçesinde ise Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları verilerin ve kayıtların bu kapsamda değerlendirileceğinin belirtildiği anlaşılmaktadır.
Bu bağlamda, davalı Sağlık Bakanlığının, sağlık verilerinin toplanması ve işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu açıktır.
Davalı idarenin yetkili olduğu hususunun tespitinin ardından dava konusu işlemin esası yönünden değerlendirilmesine gelince; işlemde kişisel verilerin kayıt altına alınması konusunda mevzuatta yer alan hükümlerin bir bütün olarak aktarılması, bu sürecin açıklanması niteliğinde bir yazı olduğu ve bu normları aşan veya normlara aykırı yeni bir kural getirilmediği anlaşıldığından dava konusu işlemde hukuka aykırılık bulunmadığı sonucuna varılmıştır.

KARAR SONUCU:
Açıklanan nedenlerle;
1\. DAVANIN REDDİNE,
2\. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davacı üzerinde bırakılmasına,
3\. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmasız işler için belirlenen ... TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,
4.Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra aidiyetlerine göre taraflara iadesine,
5\. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 16/04/2025 tarihinde oy çokluğuyla karar verildi.


(X)-KARŞI OY :
Dava konusu Genel Yazı ile, muayenehaneler ile özel ağız diş sağlığı poliklinikleri ve özel ağız ve diş sağlığı merkezlerinin Muayene Bilgi Yönetim Sistemine (MBYS) entegre olmaları ve yaptıkları tüm iş ve işlemlere ilişkin (tedavi, ameliyat, muayene vb.) kişisel sağlık verilerini Sisteme göndermeleri istenilmektedir.
Kişilerin özel hayatlarını ilgilendiren ve özel (hassas) veri niteliğinde olan sağlık verilerinin Muayene Bilgi Yönetim Sistemine gönderilmesi, kişisel sağlık verilerinin işlenmesi niteliğindedir.
Dava konusu düzenlemede yer alan kişisel sağlık verilerinin Sağlık Bakanlığınca işlenmesi ve aktarılmasının yasal dayanakları arasında 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesi gösterilmektedir.
6698 sayılı Kanun'un ise, kişisel verilerin işlenmesinde uygulanacak yükümlülükler ile usul ve esasların düzenlenmesi amacıyla çıkarıldığı, Sağlık Bakanlığına yetki veren bir Kanun hükmü içermediği, aksine anılan Kanun'un 6. maddesi ile özel nitelikli olan kişisel sağlık verilerinin yetkili kurum ve kuruluşlarca hangi şartlarda işlenebileceğinin hüküm altına alındığı anlaşılmaktadır.
Ayrıca, dava konusu Genel Yazı'da açıkça yer verilmemiş ise de, 3359 sayılı Kanun'un 3. maddesinde sağlık hizmetleriyle ilgili temel esasların sayıldığı (f) bendinde, "Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir." hükmüne yer verildiği görülmektedir. Anılan hükmün genel bir düzenleme niteliğinde olduğu, Sağlık Bakanlığına sistem kurma görevi vermekte ise de, doğrudan kişisel sağlık verilerinin işlenmesi yönünde genel bir yetki vermediği açıktır.
Öyleyse, kişisel sağlık verilerinin Sağlık Bakanlığınca işlenmesine ilişkin dava konusu düzenlemenin asıl yasal dayanağının 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi olduğunun kabulü gerekmektedir.
Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin muhtelif maddelerinin iptali istemiyle açılan davada, Dairemizce verilen yürütmenin durdurulması isteminin reddine ilişkin 05/02/2020 tarih ve E:2019/10346 sayılı karara karşı davacıların Anayasa'ya aykırılık iddialarıyla birlikte itiraz isteminde bulunmaları üzerine, Danıştay İdari Dava Daireleri Kurulunca, dava konusu Yönetmeliğin dayanağının 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi olduğu kabul edilerek, anılan hüküm, Anayasa'ya uygunluğu yönünden incelenmiş ve 14/09/2020 tarih ve E:2020/326 sayılı kararı ile anılan Kararname'nin 378. maddesinin birinci, ikinci (son cümlesi hariç), üçüncü, dördüncü ve altıncı fıkralarının, Anayasa'nın 20. ve 104. maddelerine aykırı olduğu sonucuna ulaşıldığından, iptali istemiyle Anayasa Mahkemesine başvurulmasına karar verilmiştir.
Bunun üzerine, 27/02/2024 tarihli Resmî Gazete'de yayımlanan Anayasa Mahkemesinin 26/10/2023 tarih ve E:2018/118, K:2023/180 sayılı kararıyla, 10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, sağlık hizmetleriyle ilgili olarak kişisel verilerin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içeren kuralın Cumhurbaşkanlığı Kararnamesi ile düzenlenemeyecek yasak alan içinde kaldığı gerekçesiyle konu bakımından yetki yönünden Anayasa'ya aykırı bulunmuş ve maddenin iptaline karar verilmiş; iptal hükmünün ise Anayasanın 153. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 66. maddesinin üçüncü fıkrası gereğince, kararın Resmî Gazete'de yayımlanmasından başlayarak dokuz ay sonra yürürlüğe girmesine karar verilmiştir.
Bu durumda, anılan Cumhurbaşkanlığı Kararnamesi hükmünün Anayasa Mahkemesince iptal edilmesi nedeniyle dayanağının ortadan kalktığı görülen dava konusu Genel Yazı'nın hukuka uygun olduğundan bahsedilemeyeceği sonucuna varılmıştır.
Öte yandan, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin Anayasa Mahkemesince iptaline karar verilmesi üzerine, dava devam ederken, iptal edilen CBK hükmünün aynı şekilde 3359 sayılı Kanun'a ek 19. madde olarak eklendiği görülmekte ise de; dava konusu Genel Yazı'nın tesis edildiği tarihteki haliyle değerlendirilmesi gerektiği ve eklenen Kanun hükmünün geçmişe yürütüleceğine ilişkin bir düzenlemeye yer verilmediğinden, anılan Kanun hükmünün eklenmesinin dava konusu Genel Yazının hukuki dayanağının bulunduğu sonucunu doğurmayacağı açıktır.
Kaldı ki, dava konusu işlemin hukuki dayanağının bulunduğunun kabulü halinde ise, dava konusu işlemin, kapsamdaki sağlık kuruluşları tarafından tutulan sağlık verilerinin ne kadarının sisteme aktarılacağı, veri işleme amacının gerçekleştirilebilmesi için tüm sağlık verilerinin Bakanlığa aktarılmasının gerekip gerekmediği, kimlerin bu verilere erişebileceği, yalnızca sağlık hizmeti sunumunda görevli kişilerin mi veriye erişebileceği, veriye erişebilenlerin ise bu verilerin ne kadarını görebileceği gibi hususlarda açıklık içermediği, dolayısıyla, dava konusu düzenlemeden, verinin işlenmesi amacının gerçekleştirilmesi için gerekli olanla sınırlı kalınıp kalınmadığının, düzenlemenin ölçülü olup olmadığının anlaşılamadığı, bu nedenle belirli, açık ve anlaşılır olmayan düzenlemede bu yönüyle de hukuka uyarlık bulunmamaktadır.
Belirtilen açıklamalar çerçevesinde, dava konusu Genel Yazı'nın iptaline karar verilmesi gerektiği oyuyla aksi yönde oluşan Daire kararına katılmıyoruz.