Danıştay danistay 2021/2698 E. 2025/2055 K.

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2021/2698
Karar No : 2025/2055

DAVACILAR : 1- ... Başkanlığı
2- ... Derneği
VEKİLLERİ : Av. ...
Av. ...

DAVALI : ... Bakanlığı
VEKİLİ : Av. ...

DAVANIN_KONUSU : Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istenilmektedir.

DAVACILARIN İDDİALARI :Davacılar tarafından, Muayene Bilgi Yönetim Sisteminin (MBYS), Sağlık Bakanlığı tarafından oluşturulan, sağlık hizmeti sunan tüm sağlık kuruluşlarının hastalarına ilişkin bilgileri ortak ve merkezi bir veri tabanında toplamayı amaçlayan bir sistem olduğu, mesleğini serbest olarak icra eden hekimlerin MBYS'ye hastalarına ilişkin sağlık bilgilerini girmelerinin istendiği, bunun özel nitelikte kişisel verilerin paylaşımı anlamına geldiği, özel hayatın gizliliği hakkına, yaşam hakkının gerçekleştirilmesi ve hekimlerin sır saklama yükümlülüğüne müdahale oluşturduğu, dava konusu işlemin, demokratik toplumun gerekleriyle bağdaşmadığı ve özel hayatın gizliliği hakkına ölçüsüz müdahale oluşturduğu, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4. maddesine göre kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak belirli, açık ve meşru amaçlar için işlenmesi ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasının gerektiği, kişilerin sağlıklarına ilişkin bilgilerin özel hayatın gizliliği hakkının özünü oluşturduğu, bu nedenle sağlık bilgilerinin 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'nin 6. maddesinde özellikli veri kategorisinde nitelendirilerek ayrıca korunduğu, iç hukukta uygun güvenceler sağlanmadıkça, sağlık veya cinsel yaşamla ilgili kişisel nitelikteki verilerin otomatik bilgi işlemine tabi tutulamayacağı, iç hukukumuzda sağlık verilerinin, 6698 sayılı Kanun'un 6. maddesinde özel nitelikte kişisel veri olarak düzenlendiği, özellikle psikolojik, genetik ve fiziksel tıbbi durumlar ile cinsel yaşam, yönelim ve bilgilerin aleni hale gelmesinin bireyin damgalanması, ayrımcılığa uğraması sonucunu doğurabildiği bilindiğinden bunlar için özel bir koruma sağlandığı, bu korumanın kaldırılmasının kişilerin tedaviye ulaşamamalarına neden olduğu, sağlık verilerinin korunmasının hekim-hasta ilişkisi ve hekimlerin sır saklama yükümlülüğü ile de yakından ilgili olduğu, Bakanlığın, dava konusu işlemin gereğini yerine getirmeyen hekimler hakkında 3359 sayılı Kanun'un ek 11. maddesi uyarınca yaptırım uygulanacağını ifade ettiği, bunun 6698 sayılı Kanun'un 4. maddesinde yer verilen hukuka ve dürüstlük kurallarına uygunluk ilkesine aykırılık teşkil ettiği, idarenin, hastaların kişisel sağlık verilerini toplamayı meşru kılacak bir amaç ortaya koyamadığı, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin ve 6698 sayılı Kanun’un 6. maddesinin dava konusu işleme dayanak olarak gösterildiği, her iki düzenlemenin de tam olarak hangi verilerin, nasıl, hangi güvencelerle, hangi sınırlar dahilinde işleneceği, 3. kişilere aktarılıp aktarılmayacağı, hastaların bu bilgileri vermeye neden mecbur tutulduğu, rıza göstermemeleri halinde ne yapılacağı, bilgilerin ne kadar süreyle, hangi koşullar altında saklanacağı, süre dolduğunda nasıl silineceği, keyfiyete karşı nasıl bir koruma sağlandığı gibi öngörülebilir, kesin, açık ve anlaşılır nitelikte olmadığı, dava konusu düzenlemenin Anayasa'nın 11. maddesinde düzenlenen Anayasa'nın üstünlüğü ilkesi ve 2. maddesi ile düzenlenen hukuk devleti ilkesi ile bağdaşmadığı iddia edilerek dava konusu düzenlemenin iptali istenilmektedir.

DAVALININ SAVUNMASI :Davalı idare tarafından, usul yönünden, dava konusu Genel Yazı'nın 81 il valiliğinin bilgilendirildiği bir iç yazışma olduğu, konuya ilişkin itiraz ve taleplere dair açıklamalar yapılarak ilgililere bilgi verildiği, icrai niteliğinin olmadığı, tek başına idari davaya konu edilemeyeceği; esas yönünden, Kayıt Dışı Ekonomiyle Mücadele Eylem Planının (2019-2021) Sağlık Bakanlığınca yürütülen 27 nolu eyleminin, “Özel muayenehanesi olan doktorların özel hastanelerde yapmış olduğu işlemlere (tedavi, muayene, ameliyat vb.) ait Özel Hastaneler Yönetmeliği gereğince tutulması ve bildirilmesi gereken kayıt ve bilgilerin, Sağlık Bakanlığı tarafından kurulacak elektronik sistemlere girişlerinin yapılması ve bu şekilde kurulan sistemlerin ilgili kurumların bilgi sistemleri ile entegrasyonu sağlanacaktır.” şeklinde açıklandığı, özel muayenehanesi bulunan hekimlerin, 1219 sayılı Tababet ve Şuabatı San'atlarının Tarzı İcrasına Dair Kanun’un 12. maddesi kapsamında muayenehanesine başvuran hastaların tedavilerini (tedavi, ameliyat vb.) özel poliklinik, tıp merkezi veya özel hastanelerde yapabildikleri, bu kuruluşlarda yapılan işlemlerin ise işlemin yapıldığı kuruluş tarafından kaydedilmesi ve Bakanlığa gönderilmesi gerektiği, Bakanlık tarafından, birinci basamak sağlık kuruluşlarında yapılan muayene, reçete, aşı, izlem vs. sağlık hizmetlerini kayıt altına almak ve takibini yapmak için Muayene Bilgi Yönetim Sisteminin (MBYS) geliştirildiği, MBYS'nin toplum sağlığı merkezleri, göçmen sağlığı merkezleri, yetkilendirilmiş aile hekimliği birimleri, diş hekimleri ve bazı işyeri hekimleri tarafından kullanıldığı, dava konusu düzenleme ile özel muayenehaneler, özel diş muayenehaneleri, özel ağız ve diş sağlığı poliklinikleri ve özel ağız ve diş sağlığı merkezlerinin MBYS sistemine entegre olmalarının ve sağlıklı veri gönderilmesinin sağlanmasının, buna uygulamayanlar hakkında, 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nun ek 11. maddesi hükümleri çerçevesinde işlem yapılması gerektiğinin 81 İl Valiliğine bildirildiği, dava konusu işlemde hukuka aykırılık bulunmadığı, Anayasa'nın 20. maddesinin üçüncü fıkrasında kişisel verilerin işlenebilmesi için “kanunda öngörülen haller” veya “kişinin açık rızası” şeklinde iki durum öngörüldüğü, bu iki durumdan herhangi birinin sağlandığı hâllerde kişisel verilerin işlenmesinin hukuka uygun kabul edileceği, 6698 sayılı Kanun'da kişisel verilerin ilgili kişilerin açık rızası olmadan işlenemeyeceğinin kural olarak kabul edildiği, ancak aynı Kanun’un 6. maddesinin üçüncü fıkrasında bu verilerin, “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının yönetimi ve planlanması” amaçlarıyla, ilgili kişilerin açık rızası olmaksızın, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceğinin düzenlendiği, böylece bu hüküm ile, Anayasa'nın 20. maddesinin üçüncü fıkrasındaki “kanunda öngörülen hâller” şartının sağlandığı, bununla birlikte 6698 sayılı Kanun’un 6. maddesinin üçüncü fıkrasında yer alan “yetkili kurum ve kuruluşlar” ifadesi ile kastedilmek istenen otoritelerin Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu olduğu hususunun Kanun'un gerekçesinde de yer aldığı, bahsi geçen düzenlemeler göz önünde bulundurulduğunda yasal yetki ve görevler çerçevesinde kişisel sağlık verilerini işleyen ve Bakanlığa aktaran hekimler açısından “özel hayatın gizliliğini ihlal” veya “verileri hukuka aykırı olarak verme veya ele geçirme” suçlarının unsurlarının oluşmayacağı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin üçüncü fıkrasında, sağlık ve cinsel hayata ilişkin kişisel verilerin hangi hallerde ilgilinin açık rızası aranmaksızın işlenebileceğinin belirtildiği, dava konusu işlemin bu yasal düzenlemeye uygun olduğu, veri işleme sürecinin nasıl ilerleyeceği ve veri güvenliğine ilişkin hususların 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelikte düzenlendiği, anılan düzenlemeler gereğince veri işleme sırasında Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Veri Güvenliği Rehberinin esas alındığı, Bakanlığın kişisel sağlık verilerini işlemesinin kamu sağlığını koruma amacı güttüğü, bunun Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesine aykırılık teşkil etmediği belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HAKİMİ : ...
DÜŞÜNCESİ : Dava konusu düzenlemenin iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI : ...
DÜŞÜNCESİ : Dava, Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istemiyle açılmıştır.
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 1. fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı belirtilmiş, aynı maddenin 3. fıkrasında, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği hükmüne,
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde;
"(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmüne yer verilmiş, 8. maddesinde ise; yeterli önlemler alınmak kaydıyla, 6.maddenin 3. fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği belirtilmiştir.
3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun Ek 11. maddesinin 3. fıkrasında ise; Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşlarının iki defa uyarılacağı, uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verileceği hükme bağlanmıştır.
10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde;
"1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." kuralına yer verilmiştir.
Diğer yandan 3359 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan ve 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik'in 5. maddesinde kişisel verilerin işlenme süreci ve devamında sağlık hizmeti sunumunda görevli kişilerin ve Bakanlık birimlerinin verilere erişimine ilişkin kurallar düzenlenmiş, 21. maddesinin 3. fıkrasında ise; merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Kanun'un Ek 11. maddesinin 3. fıkrasına göre işlem tesis edileceği kuralına yer verilmiştir.
Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi Entegrasyonu" konulu 07/07/2020 tarih ve 1157 sayılı Genel Yazısı ile; 1 Temmuz 2020 tarihi itibarıyla illerde hizmet veren özel muayenehaneler, özel diş muayenehaneleri, özel ağız diş sağlığı poliklinikleri ve özel ağız diş sağlığı merkezlerinden MBYS sistemine entegre olanların sisteme devamı ve yaptıkları iş ve işlemlere ait sağlıklı veri gönderilmesinin sağlanması, sisteme entegre olmayanların 1 Eylül 2020 tarihine kadar MBYS'ye entegre olmaları ve sağlıklı veri gönderilmesinin sağlanması hususunda 81 il valiliği talimatlandırılmıştır.
Konu ile ilgili olarak Bakanlığa yapılan muhtelif başvurular üzerine; Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve 420 sayılı Genel Yazısı ile, yukarıda içeriğine yer verilen 1157 sayılı Genel Yazı ilgi tutularak;
-Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik'in 27. maddesinin 8. fıkrasının Kişisel Verileri Koruma Kurulundan görüş alınmamış olması sebebiyle usul yönünden yürütülmesinin durdurulduğu, Sağlık Bakanlığının, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik olmak üzere mevzuatla verilen yetki ve görevler çerçevesinde hareket ettiği,
-6698 sayılı Kişisel Verileri Koruma Kanunu'nun 6. maddesinin 3. maddesi kapsamında yetkili otorite Sağlık Bakanlığı olduğundan kişisel sağlık verileri işleyen ve Bakanlığa aktaran hekimler açısından özel hayatın gizliliğini ihlal veya verileri hukuka aykırı olarak verme ya da ele geçirme suçlarının oluşmayacağı,
-Anılan Kanun'un 6. maddesinde belirtildiği üzere ilgilinin açık rızası aranmaksızın; teşhis ve tedavileri özel sağlık kuruluşlarında yürütülen hastalara ilişkin bilgilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, herkesin bedeni, zihni ve sosyal bakımdan tam bir iyilik hali içinde hayatını sürdürmesinin sağlanması, halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi için çalışmalar yapmak, teşhis, tedavi, ve rehabilite edici sağlık hizmetlerini yürütmek, uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesini önlemek amacıyla toplandığı,
-Veri işleme sürecinin nasıl işleyeceğinin 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik'in 5. maddesinde düzenlendiği,
-Kişisel sağlık verilerinin, kamu sağlığının korunması kapsamında kanunda öngörülen koşullara uygun olarak işlenmesi nedeniyle Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesine aykırı bir yön bulunmadığı belirtilerek,
Bu yazıyı uygulamayanlar hakkında 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun ek 11. maddesi hükümleri çerçevesinde işlem yapılması gerektiği hususunda 81 il valiliği talimatlandırılmıştır.
Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istemiyle bakılan dava açıldığı anlaşılmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde; sağlık verilerinin özel nitelikli kişisel veri olarak sayıldığı ve işlenmesinin özel kurallara bağlandığı ve ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin rızası aranmaksızın bu verilerin işlenebileceğinin düzenlendiği, maddenin taslak gerekçesinde ise Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirileceğinin belirtildiği, diğer yandan 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinde de, kamu veya özel sağlık kuruluşlarına başvuranların kişisel verilerinin işlenebileceğinin düzenlendiği, Bakanlığın, toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurulacağı, kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceğinin hükme bağlandığı anlaşılmaktadır.
Buna göre, davalı Sağlık Bakanlığının sağlık verilerinin toplanması ve işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu açıktır.
Kamu sağlığının korunması sağlık hizmetlerinin yürütülmesi kapsamında kişisel verilerin kayıt altına alınması konusunda yapılan düzenlemede 6698 sayılı Kanun hükümlerinde aykırılık bulunmadığı ve bu kanun hükümlerini aşan bir kural getirilmediği ve hukuka aykırılık bulunmadığı sonucuna ulaşılmıştır.
Açıklanan nedenlerle, davanın reddi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince duruşma için taraflara önceden bildirilen 16/04/2025 tarihinde, davacıları temsilen Av. ... ile Av. ...'nin ve davalı idareyi temsilen Av. ...'un geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı. Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
Davalı idarenin, dava konusu işlemin idari davaya konu olacak kesin ve yürütülmesi gereken bir işlem olmadığı yönündeki usul itirazı yerinde görülmeyerek işin esasına geçildi.

MADDİ OLAY
Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi Entegrasyonu" konulu 07/07/2020 tarih ve E.1157 sayılı Genel Yazısı'nda -özetle-; 2019 yılı Cumhurbaşkanlığı Yıllık Programı kapsamında Hazine ve Maliye Bakanlığının sorumluluğunda ilgili kamu kurum ve kuruluşlarının katılımı ile Kayıt Dışı Ekonomiyle Mücadele Eylem Planının (2019-2021) hazırlandığı ve uygulamaya konulduğu, Sağlık Bakanlığınca, birinci basamak sağlık kuruluşlarında yapılan muayene, reçete, aşı, izlem vs. sağlık hizmetlerini kayıt altına almak ve takibini yapmak için Muayene Bilgi Yönetim Sistemi (MBYS) geliştirildiği, MBYS'de oluşturulan verilerin Bakanlık merkezi sağlık sistemine gönderildiği, sistemin MEDULA ve ATS (Aşı Takip Sistemi) gibi sistemlerle entegre çalıştığı, MBYS'nin web tabanlı bir uygulama olduğu, yetkilendirme işlemlerinin il sağlık müdürlüklerindeki Halk Sağlığı Yönetim Sistemi (HSYS) il adminleri tarafından yapıldığı yönünde açıklamalara yer verilerek "Özel muayenehanesi olan hekimler ile diş hekimlerinin, özel diş muayenehanesi, özel ağız diş sağlığı polikliniği ve özel ağız diş sağlığı merkezlerinde yapmış olduğu iş ve işlemlerin (tedavi, ameliyat, muayene vb.) Muayene Bilgi Yönetim Sistemine kayıt edilmesine yönelik Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrası hükmü ve Kayıt Dışı Ekonominin Azaltılması Programı başlığı altında yer alan 239. tedbirin Sağlık Bakanlığınca yürütülen 27 nolu eylemi kapsamında; 1 Temmuz 2020 tarihi itibarıyla illerde hizmet veren özel muayenehaneler, özel diş muayenehaneleri, özel ağız diş sağlığı poliklinikleri ve özel ağız diş sağlığı merkezlerinden MBYS sistemine entegre olanların sisteme devamı ve yaptıkları iş ve işlemlere ait sağlıklı veri gönderilmesinin sağlanması, sisteme entegre olmayanların 1 Eylül 2020 tarihine kadar MBYS'ye entegre olmaları ve sağlıklı veri gönderilmesinin sağlanması" hususunda 81 il valiliği talimatlandırılmıştır.
Türk Tabipleri Birliği, Türk Diş Hekimleri Birliği, Türk Plastik, Rekonstrüktif ve Estetik Cerrahi Derneği tarafından Bakanlığa yapılan başvurularda, uygulamanın kişisel verilerin saklanması ve paylaşımına ilişkin yürürlükteki mevzuata ve uluslararası sözleşmelere aykırı olduğu, hasta ve hekim mağduriyetine sebebiyet vereceği, Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrasının Danıştayca yürütmesinin durdurulduğu, buna dayalı olarak özel sağlık kuruluşlarına yükümlülük getirilemeyeceği belirtilerek, MBYS sistemi kapsamında hastalara ilişkin bilgilerin hangi amaçla istenildiği, istenilen verilerin bu amacın gerçekleşmesini ne şekilde sağlayacağı, söz konusu bilgilerin anonimleştirilerek, hastaların kimlik bilgisi olmaksızın verilmesinin amacı sağlamak için yeterli olup olmadığı, veri işleme sürecinin bir bütün olarak nasıl yürütüleceği hususları Bakanlıktan sorulmuştur.
Bunun üzerine, Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nda; 07/07/2020 tarih ve E.1157 sayılı Genel Yazı ilgi tutularak, Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmeliğin 27. maddesinin 8. fıkrasının Kişisel Verileri Koruma Kurulundan görüş alınmamış olması sebebiyle usul yönünden yürütülmesinin durdurulduğu; Bakanlığın, başta 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik olmak üzere mevzuatla verilen yetki ve görevler çerçevesinde hareket ettiği; teşhis ve tedavileri özel sağlık kuruluşlarında yürütülen hastalara ilişkin bilgilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, herkesin bedeni, zihni ve sosyal bakımdan tam bir iyilik hali içinde hayatını sürdürmesinin sağlanması, halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi için çalışmalar yapmak, teşhis, tedavi, ve rehabilite edici sağlık hizmetlerini yürütmek, uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesini önlemek amacıyla toplandığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinin de bu yönde olduğu; veri işleme sürecinin nasıl işleyeceğinin 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. maddesinde düzenlendiği, aynı Yönetmeliğin 6. maddesinde veri güvenliğine ve bilgi güvenliğine ilişkin yükümlülüklerin düzenlendiği, kişisel sağlık verilerinin kamu sağlığının korunması kapsamında işleniyor olması sebebiyle veri işlemenin Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesine de aykırılık teşkil etmediği yönünde açıklamalarda bulunulmuş ve "ilgi Genel Yazı'nın gereğinin yerine getirilmesi ve buna uymayanlar hakkında 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun ek 11. maddesi hükümleri çerçevesinde işlem yapılması gerektiği" hususunda 81 il valiliği talimatlandırılmıştır.
Ardından davacılar tarafından, Sağlık Bakanlığı Sağlık Hizmetleri Genel Müdürlüğünün "Muayene Bilgi Yönetim Sistemi (MBYS)" konulu 12/03/2021 tarih ve E.64706799-045.03-420 sayılı Genel Yazısı'nın iptali istemiyle görülen dava açılmıştır.

İNCELEME VE GEREKÇE:
İLGİLİ MEVZUAT:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 1. fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; 3. fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun, -işlem tarihindeki haliyle- "Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü;
"Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde,
"(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü;
"Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.
3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin 1. fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiş; -işlem tarihindeki haliyle- ek 11. maddesinin 3. fıkrasında, "Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılır. Uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir." hükmüne yer verilmiştir.
10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.
Bununla birlikte 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, görülen dava devam etmekte iken, 27/02/2024 tarihli Resmî Gazete'de yayımlanan Anayasa Mahkemesinin 26/10/2023 tarih ve E:2018/118, K:2023/180 sayılı kararıyla sağlık hizmetleriyle ilgili olarak kişisel verilerin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içeren kuralın Cumhurbaşkanlığı Kararnamesi ile düzenlenemeyecek yasak alan içinde kaldığı gerekçesiyle konu bakımından yetki yönünden Anayasa'ya aykırı bulunmuş ve maddenin iptaline karar verilmiş; iptal hükmünün ise Anayasanın 153. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 66. maddesinin üçüncü fıkrası gereğince, kararın Resmî Gazete'de yayımlanmasından başlayarak dokuz ay sonra (27/11/2024) yürürlüğe girmesine karar verilmiş ise de; 15/01/2025 tarih ve 32783 sayılı Resmi Gazete'de yayımlanan 7538 sayılı Kanun'un 2. maddesiyle 3359 sayılı Kanun'a eklenen ek 19. maddesinde, "Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Sağlık Bakanlığı, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır; bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." düzenlemesine yer verilmiştir.
3359 sayılı Kanun ve 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan ve 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin "Genel ilke ve esaslar" başlıklı 5. maddesinde, "(1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.
(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir." kuralına;
"Sağlık personelinin verilere erişimi" başlıklı 6. maddesinde, "(1) Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.
(2) e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.
(3) e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;
a) Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
b) Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
c) Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
ç) Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar,
erişilebilir.
(4) Üçüncü fıkrada yer alan erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebilir. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gereklilikler sağlanır.
(5) Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.
(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir." kuralına;
"Bakanlık birimlerinin verilere erişimi" başlıklı 7. maddesinde, "(1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.
(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.
(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir." kuralına;
"Kişisel sağlık verilerinin aktarılması" başlıklı 15. maddesinde, "(1) Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.
(2) Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28 inci maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenir. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilir. Verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilir.
(3) Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir." kuralına;
"Yaptırım" başlıklı 21. maddesinin 3. fıkrasında, "Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir." kuralına yer verilmiştir.

HUKUKİ DEĞERLENDİRME:
Her ne kadar, dava konusu Genel Yazı'nın dayanakları arasında gösterilen 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin Anayasa Mahkemesince iptaline karar verilmiş ise de, dava devam ederken, iptal edilen CBK hükmünün aynı şekilde 3359 sayılı Kanun'a ek 19. madde olarak eklenerek kanunlaştırıldığı görüldüğünden, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendi ile ek 19. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinin yürürlükte olduğu dikkate alındığında, Anayasa Mahkemesince verilen iptal kararının dava konusu düzenlemeyi dayanaksız hale getirdiğinden, bir başka anlatımla dava konusu düzenlemenin hukuki dayanağının kalmadığından söz edilmesinin mümkün olmadığına karar verilerek diğer hususlar yönünden dava konusu düzenleme incelenecektir.
Yukarıda aktarılan mevzuat incelendiğinde; 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sisteminin kurulacağının ifade edildiği, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği gibi bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceğinin kurala bağlandığı; diğer yandan 3359 sayılı Kanun'un ek 19. maddesinde de, kamu veya özel sağlık kuruluşlarına başvuranların kişisel verilerinin işlenebileceğinin belirtildiği, Bakanlığın, toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı, kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak belirleneceği, Bakanlığın, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurulacağı, kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceğinin hükme bağlandığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde de, sağlık verilerinin özel nitelikli kişisel veri olarak sayıldığı, işlenmesinin özel kurallara bağlandığı ve ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin rızası aranmaksızın bu verilerin işlenebileceğinin düzenlendiği, maddenin gerekçesinde ise Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları verilerin ve kayıtların bu kapsamda değerlendirileceğinin belirtildiği anlaşılmaktadır.
Bu bağlamda, davalı Sağlık Bakanlığının, sağlık verilerinin toplanması ve işlenmesi ile kayıt altına alınması konusunda yetkisinin bulunduğu açıktır.
Davalı idarenin yetkili olduğu hususunun tespitinin ardından dava konusu işlemin esası yönünden değerlendirilmesine gelince; işlemde kişisel verilerin kayıt altına alınması konusunda mevzuatta yer alan hükümlerin bir bütün olarak aktarıldığı, bu sürecin açıklanması niteliğinde bir yazı olduğu ve bu normları aşan veya normlara aykırı yeni bir kural getirilmediği anlaşıldığından dava konusu işlemde hukuka aykırılık bulunmadığı sonucuna varılmıştır.

KARAR SONUCU:
Açıklanan nedenlerle;
1\. DAVANIN REDDİNE,
2\. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davacılar üzerinde bırakılmasına,
3\. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen ... TL vekâlet ücretinin davacılardan alınarak davalı idareye verilmesine,
4\. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra aidiyetlerine göre taraflara iadesine,
5\. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 16/04/2025 tarihinde oy çokluğuyla karar verildi.


(X)-KARŞI OY :
Dava konusu Genel Yazı ile, muayenehaneler ile özel ağız diş sağlığı poliklinikleri ve özel ağız ve diş sağlığı merkezlerinin Muayene Bilgi Yönetim Sistemine (MBYS) entegre olmaları ve yaptıkları tüm iş ve işlemlere ilişkin (tedavi, ameliyat, muayene vb.) kişisel sağlık verilerini Sisteme göndermeleri istenilmektedir.
Kişilerin özel hayatlarını ilgilendiren ve özel (hassas) veri niteliğinde olan sağlık verilerinin Muayene Bilgi Yönetim Sistemine gönderilmesi, kişisel sağlık verilerinin işlenmesi niteliğindedir.
Dava konusu düzenlemede yer alan kişisel sağlık verilerinin Sağlık Bakanlığınca işlenmesi ve aktarılmasının yasal dayanakları arasında 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesi gösterilmektedir.
6698 sayılı Kanun'un ise, kişisel verilerin işlenmesinde uygulanacak yükümlülükler ile usul ve esasların düzenlenmesi amacıyla çıkarıldığı, Sağlık Bakanlığına yetki veren bir Kanun hükmü içermediği, aksine anılan Kanun'un 6. maddesi ile özel nitelikli olan kişisel sağlık verilerinin yetkili kurum ve kuruluşlarca hangi şartlarda işlenebileceğinin hüküm altına alındığı anlaşılmaktadır.
Ayrıca, dava konusu Genel Yazı'da açıkça yer verilmemiş ise de, 3359 sayılı Kanun'un 3. maddesinde sağlık hizmetleriyle ilgili temel esasların sayıldığı (f) bendinde, "Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir." hükmüne yer verildiği görülmektedir. Anılan hükmün genel bir düzenleme niteliğinde olduğu, Sağlık Bakanlığına sistem kurma görevi vermekte ise de, doğrudan kişisel sağlık verilerinin işlenmesi yönünde genel bir yetki vermediği açıktır.
Öyleyse, kişisel sağlık verilerinin Sağlık Bakanlığınca işlenmesine ilişkin dava konusu düzenlemenin asıl yasal dayanağının 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi olduğunun kabulü gerekmektedir.
Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin muhtelif maddelerinin iptali istemiyle açılan davada, Dairemizce verilen yürütmenin durdurulması isteminin reddine ilişkin 05/02/2020 tarih ve E:2019/10346 sayılı karara karşı davacıların Anayasa'ya aykırılık iddialarıyla birlikte itiraz isteminde bulunmaları üzerine, Danıştay İdari Dava Daireleri Kurulunca, dava konusu Yönetmeliğin dayanağının 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi olduğu kabul edilerek, anılan hüküm, Anayasa'ya uygunluğu yönünden incelenmiş ve 14/09/2020 tarih ve E:2020/326 sayılı kararı ile anılan Kararname'nin 378. maddesinin birinci, ikinci (son cümlesi hariç), üçüncü, dördüncü ve altıncı fıkralarının, Anayasa'nın 20. ve 104. maddelerine aykırı olduğu sonucuna ulaşıldığından, iptali istemiyle Anayasa Mahkemesine başvurulmasına karar verilmiştir.
Bunun üzerine, 27/02/2024 tarihli Resmî Gazete'de yayımlanan Anayasa Mahkemesinin 26/10/2023 tarih ve E:2018/118, K:2023/180 sayılı kararıyla, 10/07/2018 tarih ve 30474 sayılı Resmî Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesi, sağlık hizmetleriyle ilgili olarak kişisel verilerin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içeren kuralın Cumhurbaşkanlığı Kararnamesi ile düzenlenemeyecek yasak alan içinde kaldığı gerekçesiyle konu bakımından yetki yönünden Anayasa'ya aykırı bulunmuş ve maddenin iptaline karar verilmiş; iptal hükmünün ise Anayasanın 153. maddesinin üçüncü fıkrası ile 6216 sayılı Kanun'un 66. maddesinin üçüncü fıkrası gereğince, kararın Resmî Gazete'de yayımlanmasından başlayarak dokuz ay sonra yürürlüğe girmesine karar verilmiştir.
Bu durumda, anılan Cumhurbaşkanlığı Kararnamesi hükmünün Anayasa Mahkemesince iptal edilmesi nedeniyle dayanağının ortadan kalktığı görülen dava konusu Genel Yazı'nın hukuka uygun olduğundan bahsedilemeyeceği sonucuna varılmıştır.
Öte yandan, 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin Anayasa Mahkemesince iptaline karar verilmesi üzerine, dava devam ederken, iptal edilen CBK hükmünün aynı şekilde 3359 sayılı Kanun'a ek 19. madde olarak eklendiği görülmekte ise de; dava konusu Genel Yazı'nın tesis edildiği tarihteki haliyle değerlendirilmesi gerektiği ve eklenen Kanun hükmünün geçmişe yürütüleceğine ilişkin bir düzenlemeye yer verilmediğinden, anılan Kanun hükmünün eklenmesinin dava konusu Genel Yazının hukuki dayanağının bulunduğu sonucunu doğurmayacağı açıktır.
Kaldı ki, dava konusu işlemin hukuki dayanağının bulunduğunun kabulü halinde ise, dava konusu işlemin, kapsamdaki sağlık kuruluşları tarafından tutulan sağlık verilerinin ne kadarının sisteme aktarılacağı, veri işleme amacının gerçekleştirilebilmesi için tüm sağlık verilerinin Bakanlığa aktarılmasının gerekip gerekmediği, kimlerin bu verilere erişebileceği, yalnızca sağlık hizmeti sunumunda görevli kişilerin mi veriye erişebileceği, veriye erişebilenlerin ise bu verilerin ne kadarını görebileceği gibi hususlarda açıklık içermediği, dolayısıyla, dava konusu düzenlemeden, verinin işlenmesi amacının gerçekleştirilmesi için gerekli olanla sınırlı kalınıp kalınmadığının, düzenlemenin ölçülü olup olmadığının anlaşılamadığı, bu nedenle belirli, açık ve anlaşılır olmayan düzenlemede bu yönüyle de hukuka uyarlık bulunmamaktadır.
Belirtilen açıklamalar çerçevesinde, dava konusu Genel Yazı'nın iptaline karar verilmesi gerektiği oyuyla aksi yönde oluşan Daire kararına katılmıyoruz.