Danıştay danistay 2022/2807 E. 2025/2018 K.

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2022/2807
Karar No : 2025/2018

DAVACI : ... Başkanlığı / ...
VEKİLLERİ : Av. ...

DAVALI : ... Başkanlığı / ...
VEKİLİ : Av. ...

DAVANIN_KONUSU: Davacı tarafından;
1- 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının,
2- 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının,
yetki yönünden hukuka aykırı olduğu iddiasıyla iptali istenilmektedir.

DAVACININ_İDDİALARI : Davacı tarafından, subjektif ehliyetinin bulunduğu, "veri koruma görevlisi" kavramının 6698 sayılı Kişisel Verileri Koruma Kanunu ve diğer mevzuatta bulunmadığı, kanuni dayanağı bulunmayan, uygulamadaki yeri henüz belirlenmemiş olan veri koruma görevlisi kavramının düzenleyici işlem ile getirilmesinin hukuka aykırı olduğu, dava konusu Tebliğ ile veri koruma görevlisi kavramının hukuk sistemimize girdiği, dava konusu Belgelendirme Programının “Öğrenme Çıktıları” başlıklı 6.5. maddesi incelendiğinde, veri koruma görevlisi olarak ifade edilen kişilerin kişisel verilerin korunması hukuku ve Kişisel Verilerin Korunması Kanunu'na uyum alanında danışmanlık faaliyeti vermek üzere yetiştirilmeye çalışıldığının anlaşıldığı, Avukatlık Kanunu'nun 35. maddesinin avukatın tekel hakkını düzenlediği, hukuki konularda danışmanlık yapmanın sadece avukatların yapabileceği iş ve işlemlerden olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin Kurum tarafından yayınlanan düzenleyici işlem niteliğinde Tebliğ ve Program ile hukukçu bile olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu ileri sürülerek dava konusu düzenleyici işlemlerin iptali istenilmektedir.

DAVALININ_SAVUNMASI: Davalı idare tarafından, usul yönünden, menfaat ihlali şartı gerçekleşmeyen davacı Türkiye Barolar Birliği Başkanlığı'nın dava açma ehliyeti bulunmadığı; esas yönünden, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, maddi kazanç sağlamaya yönelik olduğu, Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek amacıyla verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyonun sağlanmasının amaçlandığı, Kurum tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlisi programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ" hazırlandığı, Tebliğ ile eğitim ve sertifikanın doğru ve güvenilir kaynaklardan alınması ve kişisel verilerin korunmasına dair eğitim ve sertifika faaliyetlerinin Kurum tarafından regüle edilmesinin amaçlandığı, Tebliğ kapsamında belgelendirilmek üzere akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşuna müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, veri koruma görevlisi veya veri koruma görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla “Veri Koruma Görevlisi Belgelendirme Programı” hazırlandığı, dava konusu düzenlemelerin dayanağının 6698 sayılı Kanun’un 22/1-e maddesinde yer alan “Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak” düzenlemesi ile Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’nin 7/ı maddesinde yer alan “Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek” düzenlemesi olduğu, Tebliğ kapsamında yapılacak sertifikalandırma sonucunda kazanılacak unvanın Avrupa Birliği Genel Veri Koruma Tüzüğünde düzenlenen Data Protection Officer (DPO) unvanı ile benzer işleve sahip olacağı algısının yanlış olduğu, Avrupa Birliği Genel Veri Koruma Tüzüğünde veri sorumluları ve veri işleyenlerin veri koruma mevzuatı kapsamındaki yükümlülüklerini gereği gibi yerine getirebilmek için bu konuda yetkinliğe sahip bir kişiyi DPO olarak veri koruma mevzuatına uyum ile ilgili süreçlere dahil etme zorunlulukları olduğu, DPO olabilmek için bir sertifikasyon mekanizması kapsamında sertifika sahibi olunması zorunluluğu bulunmadığı, 6698 sayılı Kanun'da ise veri sorumluları ve veri işleyenler bakımından Kanuna ve ikincil mevzuata uyum çalışmaları kapsamında zorunlu olarak herhangi bir kişiyi istihdam etme veya hizmet alımı zorunluluğuna ilişkin düzenleme bulunmadığı, dava konusu Tebliğ ile düzenleme altına alınan sertifikasyon mekanizmasının da DPO’dan tamamen farklılık arz ettiği ve gönüllülük esasına dayandığı, veri sorumlusu ve veri işleyen tarafından veri koruma görevlisi istihdam edilmesinin veya bu kişilerden hizmet satın alınmasının tamamen isteğe bağlı olduğu, veri koruma görevlisinin yalnızca kişisel verilerin korunması mevzuatı açısında yeterli bilgiye sahip olduğu kabul edilen ve bu kapsamda yetkinliği gösterir bir sertifikaya sahip olan kişi olduğu, Tebliğ ile veri koruma görevlilerine herhangi bir yetki verilmediği, görev tanımı yapılmadığı, Tebliğde, veri koruma görevlisi unvanına sahip olacak kişilerin Avrupa Birliği Genel Veri Tüzüğünde düzenlenen DPO'ların ülkemiz hukukundaki karşılığı olarak düzenlenmediği, uyum çalışmalarında veri sorumlusu veya veri işleyeni bünyesinde faaliyet gösterebilmek için veri koruma görevlisi unvanını taşıma zorunluluğu bulunmadığı, davacının iddia ettiği gibi Avrupa Birliği Genel Veri Tüzüğünde yer alan DPO'ya benzer görev ve yetkileri haiz veri koruma görevlisi şeklinde 6698 sayılı Kanun'da yer almayan yeni bir unvanın ihdas edilmesinin söz konusu olmadığı, 6698 sayılı Kanun'un amacının, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, kişisel verilerin işleme şartlarının ve veri sorumlusunun yükümlülüklerinin, bu yükümlülüklere uyulmaması halinde uygulanacak idari yaptırımın düzenlendiği, veri sorumlusunun/veri işleyenenin, veri koruma görevlisi istihdam etmesi halinde Kanun'a ve mevzuata uyma zorunluluğunun ortadan kalkmadığı, veri sorumlusunun/veri işleyenin, veri koruma görevlisinden yardım almasının kendi inisiyatiflerinde olduğu, alınan bu yardımın danışmanlık olarak kabul edilemeyeceği, kişisel verilerin korunması mevzuatı kapsamında yeterli bilgiye sahip olduğu anlamına geleceği, veri koruma görevlisinden yardım alan veri sorumlusu/veri işleyenin, edinilen bilgilerin uygulamaya konulması noktasında bu bilgilerin doğruluğunu ve hukuka uygunluğunu her daim gözetmesi gerektiği, veri güvenliğine ilişkin ilkeler ile usul ve esaslara uyumu sağlayacak uygulamalar, hukuk alanında ve yazılım, bilgisayar teknolojileri, iktisadi ve idari bilimler veya veri sorumlusunun faaliyet gösterdiği diğer alanlarda bilgi sahibi olunması suretiyle hayata geçirilebileceği, hukuki analiz, inceleme ve değerlendirmelere ilave olarak diğer uzmanlık alanlarına yönelik de çalışmaların yapılması gerektiği, uluslararası alanda da benzer bir yaklaşımın benimsendiği, alan sınırlaması olmaksızın 4 yıllık lisans eğitimi veren fakültelerden mezun olan herkese Tebliğin gerekliliklerini yerine getirmek kaydıyla veri koruma görevlisi unvanının tanınmasının Avukatlık Kanunu’nun 35. maddesine aykırılık teşkil etmediği, Kişisel Verileri Koruma Kurumu bünyesinde istihdam edilen kişisel verileri koruma uzmanlarının da çeşitli fakültelerden mezun olanlar arasından atanmasının mümkün olduğu, kişisel verilerin korunması hukukunun multidisipliner bir alan olduğu belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ: ...
DÜŞÜNCESİ : Dava konusu düzenlemelerin iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI: ...
DÜŞÜNCESİ :Dava, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ve 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının; veri koruma görevlisinin temel olarak Kişisel Verilerin Korunması Hukuku’na uyumu izlediği, veri sorumlusu bünyesindeki uyum çalışmalarını gözlemlediği, gereken konu ve durumlarda veri sorumlusuna Kişisel Verilerin Korunması Hukuku kapsamında danışmanlık yaptığı, tavsiye verdiği, gerektiğinde verisi işlenen ilgili kişilerle denetim makamı ve veri sorumlusu arasında aracı bir görev gördüğü, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, Avukatlık Kanunu’nun 35. maddesi uyarınca bu alanda hizmet verme ve kanun işleri ile hukuki konularda mütalaada bulunma yetkisinin yalnız baroda kayıtlı avukatlara ait olduğu ileri sürülerek, tamamının iptali istenilmektedir.
2577 sayılı Kanun'un 2. maddesinde yer alan ve iptal davasının sübjektif ehliyet koşulu olan "menfaat ihlali", içtihatlarda, dava konusu işlemle davacı arasında kurulan kişisel, meşru ve güncel bir menfaat ilişkisi olarak tanımlanmaktadır. Menfaatin kişisel olması, idari işlemin mutlaka davacı hakkında tesis edilmiş olması sonucunu doğurmamaktadır. Sözü edilen menfaat ilişkisinin varlığı ve sınırları davacının gerçek kişi, tüzel kişi, belde sakini olması gibi hususlar dikkate alınmak suretiyle ve uyuşmazlığın niteliği de göz önünde tutularak belirlenmektedir.
1136 sayılı Avukatlık Kanunu'nun 76. maddesinde, Baroların, avukatlık mesleğini geliştirmek, meslek mensuplarının birbirleri ve iş sahipleri ile olan ilişkilerinde dürüstlüğü ve güveni sağlamak, meslek düzenini, ahlâkını, saygınlığını, hukukun üstünlüğünü, insan haklarını savunmak ve korumak, avukatların ortak ihtiyaçlarını karşılamak amacıyla tüm çalışmaları yürüten, tüzel kişiliği bulunan, çalışmalarını demokratik ilkelere göre sürdüren kamu kurumu niteliğinde meslek kuruluşları olduğu belirtilmiş; 110. maddesinin birinci fıkrası 17. bendinde de, hukukun üstünlüğünü ve insan haklarını savunmak ve korumak, bu kavramlara işlerlik kazandırmak, Barolar Birliğinin görevleri arasında sayılmıştır.
Mevcut düzenlemeler uyarınca barolar birliğinin ve baroların; mesleki bir örgüt olmanın ötesinde hukukun üstünlüğünü, insan haklarını savunmak ve korumak görevlerini de üstlendiği ve diğer meslek örgütlerinden farklı bir konuma sahip olduğu dikkate alındığında, dava konusu idari işlemin, hukukun üstünlüğünü, hukuk devleti ilkesini, genel kamu yararını, Anayasa ile koruma altına alınan eşitlik, kişinin dokunulmazlığı, özel hayatın gizliliği, kanunsuz suç ve ceza olamayacağı gibi temel insan haklarının ihlal edilip edilmediği, yargı kararlarının uygulanmaması veya geçersiz kılınması gibi hukuk devleti ilkesini zedeleyen bir durumun olup olmadığına bakılarak, menfaat ilgisinin kurulması dolayısıyla kamu kurumu niteliğinde bir meslek kuruluşunun genel nitelikteki düzenleyici işlemlere karşı, kuruluş yasalarında gösterilen amaçları doğrultusunda dava açma ehliyeti bulunduğu kanaatine varılmaktadır.
Anayasanın 20. maddesinde kişinin temel haklarından biri olan özel hayatın gizliliği güvence altına alınmıştır. Anılan maddeye eklenen ilave fıkra ile; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsayacağı, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği, hükmüne yer verilmiştir.
07/04/2016 tarihli Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla hazırlanmış olup, bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuş, Kurumun karar organı olan Kurulun görev ve yetkileri belirlenmiş, Kurulun görev ve yetkilerinin belirlendiği 22. maddesinin birinci fıkrası a) bendinde, Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. e)bendinde, Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. g) bendinde, Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, görevleri yer almış ve bu Kanunun uygulanmasına ilişkin yönetmeliklerin Kurum tarafından yürürlüğe konulacağı hükme bağlanmıştır.
Kişisel Verileri Koruma Kurulu Çalışma Usul Ve Esaslarına Dair Yönetmelik, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 22 nci ve 23 üncü maddesine dayanılarak hazırlanmış, 7. madddesinde; ç) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak, g) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, ğ) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, ı) Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek, görevlerine yer verilmiş, 18. maddesinde de, (1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye, uygulamayı düzenlemeye ve yönlendirmeye Kurulun yetkili olduğu kurala bağlanmıştır.
Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin, Kişisel Verileri Koruma Kurulunun görev ve yetkilerinin düzenlendiği 7. maddesinin birinci fıkrasının g) bendinde, Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, ğ) bendinde, Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak, ı) bendinde, Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek, görevleri sayılmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 22. maddesinin birinci fıkrasının (e) bendi ve Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7. maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18. maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmış dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğde, (TS) EN ISO/IEC 17024 nolu standardına uygun olarak Veri Koruma Görevlisi Programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esaslar belirlenmiştir.
Öte yandan Avrupa Parlamentosu ve Avrupa Konseyi “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif”i kabul etmiş, Direktifin temel amacı, Avrupa Birliği üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması olarak açıklanmıştır. Bu kapsamda AB üyesi ülkeler, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerini bu Direktifi esas alarak yapmışlar, 6698 sayılı Kanun da temel olarak bu Direktif esas alınarak hazırlanmıştır.
Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılan Tüzük 2016 yılında kabul edilmiş olup, 95/46 sayılı Direktif’i ilga ederek yürürlüğe girmiştir.
4 Mayıs 2016 tarihinde Avrupa Birliği (AB) Resmi Gazetesi’nde 25 Mayıs 2018 tarihinde uygulanmaya başlayan 27 Nisan 2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü(Genel Veri Koruma Tüzüğü) yayımlanmış, Veri Koruma Görevlisi başlıklı 4.Kesimin 37. maddesinde, veri koruma görevlisinin belirlenmesi gereken durumlar; 38.maddesinde, veri koruma görevlisinin konumu, 39.maddesinde, veri koruma görevlisinin görevleri ise asgari olarak; "(a) Veri sorumlusu veya veri işleyen ile işlemeyi gerçekleştiren çalışanlara, bu Tüzük ve Birlik ya da Üye Devletlerin diğer veri koruma hükümleri uyarınca yükümlülükleri hususunda bilgi verilmesi ve onlara tavsiyede bulunulması; (b) sorumlulukların tahsisi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dâhil olmak üzere, bu Tüzük’e, diğer Birlik veya Üye Devletlerin veri koruma hükümlerine ve veri sorumlusu veya veri işleyenin kişisel verilerin korunmasına ilişkin politikalarına uyumun izlenmesi; (c) talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyelerde bulunulması ve 35. madde uyarınca bu değerlendirmenin ifasının izlenmesi; (d) denetim makamıyla iş birliği yapılması; (e) 36. maddede atıfta bulunulan ön istişare de dâhil olmak üzere, işlemeye ilişkin konularda denetim makamı için bir temas noktası olarak hareket edilmesi ve uygun olduğu hâllerde, diğer her türlü konu ile ilgili olarak istişarede bulunulması, 2. Veri koruma görevlisi, görevlerini yerine getirirken, işlemenin mahiyeti, kapsamı, bağlamı ve amaçlarını dikkate alarak, işleme faaliyetleri ile ilişkili riski gerektiği şekilde göz önünde bulundurur." kuralı ile düzenlenmiştir.
6698 sayılı Yasanın 3. maddesinde yalnızca “Veri sorumlusu” ve "veri işleyen" kavramlarına yer verilmiş, veri sorumlusunun yetkilendirdiği “veri koruma görevlisi” adı altında ilgili mevzuata uyumu konusunda sorumlu ya da yardımcı olacak bir gerçek kişiden bahsedilmemiş, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak ifade edilmiş ve temsilcisine yer verilmiştir. Ayrıca 30 Aralık 2017 tarihinde yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ise veri sorumlularının belirli hallerde bir veri sorumlusu temsilcisi ve/veya irtibat kişisi atamasını öngörmüştür.
Dava konusu Tebliğde; Kişisel Verileri Koruma Kurulu tarafından usul ve esasları belirlenen eğitim programını tamamlayanlara Kişisel Verileri Koruma Kurumu tarafından verilen belge, sertifika olarak açıklanırken, sertifika almak isteyen gerçek kişi personel olarak adlandırılmış, Program; Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği döküman, olarak ifade edilmiştir. Tebliğin 4. maddesinin i) bendinde; Sertifikasyon: Kanun ve ilgili mevzuat çerçevesinde, sertifika almak için gereken şartları taşıyan ve sınavda başarılı olanların belgelendirilmesi işlemi, n) bendinde; Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişi, 6. maddesinin 1. fıkrasında; katılım belgesini alan kişilerden sınavda başarılı olanların veri koruma görevlisi unvanını kullanmaya hak kazanacakları, kurala bağlanmıştır. Veri koruma görevlisi sertifikası sınavlarına başvuru koşullarının düzenlendiği 11. maddesinde de; (1) Sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlar veya geçerli bir veri koruma görevlisi sertifikasına sahip olanlar arasından programda belirlenen şartları haiz olanlar veri koruma görevlisi sertifikası sınavına başvurmaya hak kazanacakları sertifikasyon faaliyetinin veri koruma görevlisi için düzenlendiği belirtilmiştir.
Veri Koruma Görevlisi (Data Protection Officer), Avrupa Birliğ'nde 25 Mayıs 2018'de yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR) kapsamında ve 37-39. maddelerinde düzenlenmiş olup, GDPR, bir takım kriterleri karşılayan veri sorumlularına veri koruma görevlisi atama yükümlülüğü getirmiş ve kişisel verilerin korunması alanında önemli bir yere sahip olan veri koruma görevlisi; mesleki nitelikler ve özellikle veri koruma hukukuna ve uygulamalarına ilişkin uzmanlık bilgisi ile 39. maddede atıfta bulunulan görevleri yerine getirme kabiliyetine dayalı olarak belirlenen, veri sorumlusunun veya veri işleyenin bir çalışanı olabilen veya görevlerini bir hizmet sözleşmesine dayalı olarak yerine getirebilen olarak belirtilmiş, veri sorumlusu ve veri işleyenin, veri koruma görevlisinin kişisel verilerin korunmasına ilişkin tüm konulara uygun bir şekilde ve zamanında müdahil olmasını sağlayacağı, veri sorumlusu ve veri işleyenin, 39. maddede atıfta bulunulan görevlerin ifasında veri koruma görevlisine, bu görevlerin yerine getirilmesi, kişisel verilere ve işleme faaliyetlerine erişim sağlaması ve uzmanlık bilgisini muhafaza etmesi için gerekli kaynakları sağlamak suretiyle destek vereceği, veri sorumlusu ve veri işleyenin, veri koruma görevlisinin bu görevlerin yerine getirilmesi ile ilgili olarak hiçbir talimat almamasını sağlayacağı, veri koruma görevlisinin, görevlerini yerine getirmesi nedeniyle veri sorumlusu veya veri işleyen tarafından işten çıkarılamayacağı ya da cezalandırılamayacağı, veri sorumlusu veya veri işleyen ile işlemeyi gerçekleştiren çalışanlara, bu Tüzük ve Birlik ya da Üye Devletlerin diğer veri koruma hükümleri uyarınca yükümlülükleri hususunda bilgi vermesi ve onlara tavsiyede bulunması, sorumlulukların tahsisi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dâhil olmak üzere, bu Tüzük’e, diğer Birlik veya Üye Devletlerin veri koruma hükümlerine ve veri sorumlusu veya veri işleyenin kişisel verilerin korunmasına ilişkin politikalarına uyumun izlenmesi, talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyelerde bulunması ve 35. madde uyarınca bu değerlendirmenin ifasının izlenmesi, denetim makamıyla iş birliği yapması, 36. maddede atıfta bulunulan ön istişare de dâhil olmak üzere, işlemeye ilişkin konularda denetim makamı için bir temas noktası olarak hareket etmesi ve uygun olduğu hâllerde, diğer her türlü konu ile ilgili olarak istişarede bulunması ve veri koruma görevlisinin, görevlerini yerine getirirken, işlemenin mahiyeti, kapsamı, bağlamı ve amaçlarını dikkate alarak, işleme faaliyetleri ile ilişkili riski gerektiği şekilde göz önünde bulunduracağı, kurala bağlanmıştır. Dolayısıyla Genel Veri Koruma Tüzüğü(GDPR)’de, veri koruma görevlisi; veri sorumlusunun kişisel veri koruma mevzuatına uyumun sağlanmasıyla görevli, önemli yetkileri olan, veri sorumlusundan bağımsız hareket eden ve doğrudan üst düzey yönetime raporlama yapan ve özellikle veri koruma mevzuatı ve uygulamaları konusunda uzman bilgisine sahip olması gereken kişi olarak nitelendirilmiştir.
Bu itibarla, hukuki niteliği itibariyle Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında düzenlenen Veri Koruma Görevlisinin (Data Protection Officer) 6698 sayılı Yasada da yer bulmadığı, Yasada yalnızca veri sorumlusu kavramına yer verildiği, “veri koruma görevlisi” adı altında bir statüden bahsedilmediği gibi Veri Sorumluları Sicili Hakkında Yönetmelikte de yalnızca veri sorumlularının belirli hallerde Kurum ve ilgili kişiler nezdinde gerekli iletişimi sağlayacak veri sorumlusu temsilcisi/irtibat kişisi atamasının öngörüldüğü dikkate alındığında, dayanağı yasal düzenlemelerde yeri olmayan “veri koruma görevlisi” unvanının, kişisel verilerin korunması alanında unvan ve yetki karışıklığına yol açacağı, kamu yararını ve hukuki güvenlik ilkesini ihlal edeceği kanaatine varılmaktadır. Davalı idarenin, veri sorumlusunun veya veri işleyenin bünyesinde istihdam edilecek bu kişilerin, kişisel verilerin mevzuata uygun bir şekilde işlenmesinde veri sorumlularının yükümlülüklerini yerine getirmeleri bakımından kolaylaştırıcı rolü olan bir mekanizma olduğu, veri sorumluları tarafından kişisel veri ihlallerini engellemek amacıyla çok boyutlu tedbirlerin alınması gerektiği savunmasına karşın, 6698 sayılı Kanuna ve ilgili ikincil mevzuata uyum çalışmalarında veri sorumlusu veya veri işleyen bünyesinde faaliyet gösterebilmek için veri koruma görevlisi unvanın taşıma zorunluluğunun bulunmadığı açıklamasının birbiriyle çeliştiği, dava konusu düzenleme veri koruma görevlisinin sertifikasyonuna ilişkin usul ve esasları açıklığa kavuşturma amacıyla yapıldığına göre, veri sorumlusu ya da işleyen yönünden sertifika programına dahil olup sertifika alan veri koruma görevlisini istihdam etme sorumluluğu bulunmamakta, gönüllülük esas ise mevzuata uygun bir işleyişin nasıl sağlanacağının açıklanması gerekmektedir.
Yasal dayanak esas alınarak bir görev tanımı yapılmaksızın, sorumluluk ve yükümlülükleri ve yetkileri belirlenmeyen veri koruma görevlisi için bir sertifika programının düzenlenmesi ve sonrasında elde edilecek belgeye istinaden gerçekleştirilecek faaliyetin sınırlarının ortaya koyulmadığı görülmekte olup, veri koruma görevlisi adıyla yapılan görev tanımının Tüzükte düzenlenen veri koruma görevlisinden farklı olduğu, ancak çalışma biçiminin tam olarak ortaya konulamadığı, görevlerinin belirlenmediği, yasal dayanağının bulunmadığı ve eksik olan düzenlemenin hukuki belirlilik ilkesine aykırılık oluşturduğu sonucuna varılmaktadır.
Dava konusu Kurul kararıyla 25/11/2021 tarihinde 2021/1178 sayısı ile "Veri Koruma Görevlisi Belgelendirme Programı" adıyla Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu'na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden değerlendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla hazırlanmıştır. Bu Program 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanmış olan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğin kapsamını esas almış olmakla, her ne kadar Kurul kararı Tebliğin yayım tarihinden önce ise de, metnin Kurumun internet sayfasında yayımlanarak ilanının daha sonra gerçekleştiği anlaşılmaktadır.
Dava konusu Program, dayanağı Tebliğin uygulanmasını sağlamaya yönelik olarak ilan edilmiş olup, dayanağı düzenlemede hukuka uyarlık bulunmamış olması nedeniyle yasal dayanağının kalmadığı sonucuna varılmaktadır.
Açıklanan nedenlerle, dava konusu Tebliğ ve 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile kabul edilen Veri Koruma Görevlisi Belgelendirme Programının iptali gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince duruşma için taraflara önceden bildirilen 15/04/2025 tarihinde, davacı Türkiye Barolar Birliği Başkanlığı'nı temsilen Av.... ve Av....'nin geldiği, davalı idare Kişisel Verileri Koruma Kurumu'nu temsilen Av....'ın geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı.Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE :
MADDİ OLAY:
Davacı tarafından, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının ve 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının iptali istemiyle bakılmakta olan davanın açıldığı anlaşılmıştır.

USUL YÖNÜNDEN:
Davalı idare tarafından; davacı Türkiye Barolar Birliği Başkanlığı'nın dava konusu Tebliğin ve Programın iptali istemiyle dava açma ehliyetinin bulunmadığı ileri sürülmüştür.
1136 sayılı Avukatlık Kanunu'nun 76. maddesinde; Baroların, avukatlık mesleğini geliştirmek, meslek mensuplarının birbirleri ve iş sahipleri ile olan ilişkilerinde dürüstlüğü ve güveni sağlamak, meslek düzenini, ahlâkını, saygınlığını, hukukun üstünlüğünü, insan haklarını savunmak ve korumak, avukatların ortak ihtiyaçlarını karşılamak amacıyla tüm çalışmaları yürüten, tüzel kişiliği bulunan, çalışmalarını demokratik ilkelere göre sürdüren kamu kurumu niteliğinde meslek kuruluşları olduğu belirtilmiştir.
Yine aynı Kanun'un 109. maddesinde, Türkiye Barolar Birliği'nin bütün baroların katılmasıyla oluşan, tüzel kişiliğe sahip, kamu kurumu niteliğinde bir meslek kuruluşu olduğu belirtilmiş; Türkiye Barolar Birliği'nin görevlerinin sayıldığı 110. maddesinin 3. bendinde, Birliğin, baro mensuplarının genel menfaatlerini korumakla görevli olduğu ifade edilmiş; yasak faaliyetlerin düzenlendiği 111. maddenin birinci fıkrasında ise Anayasa'nın 135. maddesine paralel biçimde Türkiye Barolar Birliği'nin kuruluş amaçları dışında faaliyette bulunamayacağı hükmüne yer verilmiştir.
2577 sayılı Kanun'un 2. maddesinde yer alan ve iptal davasının sübjektif ehliyet koşulu olan "menfaat ihlali", içtihatlarda, dava konusu işlemle davacı arasında kurulan kişisel, meşru ve güncel bir menfaat ilişkisi olarak tanımlanmaktadır. Menfaatin kişisel olması, idari işlemin mutlaka davacı hakkında tesis edilmiş olması sonucunu doğurmamaktadır. Sözü edilen menfaat ilişkisinin varlığı ve sınırları davacının gerçek kişi, tüzel kişi, belde sakini olması gibi hususlar dikkate alınmak suretiyle ve her olayda yargı yerince uyuşmazlığın niteliği de göz önünde tutularak belirlenmektedir.
Davacı, kamu kurumu niteliğinde bir meslek üst kuruluşudur.
Kamu kurumu niteliğindeki meslek kuruluşlarının genel nitelikteki düzenleyici işlemlere karşı, kural olarak kuruluş yasalarında gösterilen amaçları doğrultusunda dava açma ehliyeti bulunmaktadır. Nitekim, konuyla ilgili yasal düzenlemelerde de, bu kuruluşların amaçları dışında faaliyette bulunamayacakları açık bir biçimde yer almıştır.
Danıştay kararları ışığında konuya bakıldığında; Avukatlık Kanunu'nda yapılan değişiklikten sonra açılan davalarda dava açma ehliyetinin bulunup bulunmadığı saptanırken, iptal davasının genel amacının yanı sıra dava konusu idari işlemin, hukukun üstünlüğünü, hukuk devleti ilkesini, genel kamu yararını, Anayasa ile koruma altına alınan eşitlik, kişinin dokunulmazlığı, özel hayatın gizliliği, kanunsuz suç ve ceza olamayacağı gibi temel insan haklarını ihlal edip etmediğine ve yargı kararlarının uygulanmaması veya geçersiz kılınması gibi hukuk devleti ilkesini zedeleyen bir durumun olayda söz konusu olup olmadığına bakılarak menfaat ilgisinin olaya özgü, ancak daha geniş yorumlandığı görülmektedir.
Dava konusu Tebliğ ile Belgelendirme Programında, bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından,"veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) ve kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden kazanılacak "veri koruma görevlisi" unvanına dair usul ve esaslar yer almaktadır.
Davacı tarafından, dava konusu düzenlemelerin; Avukatlık Kanunu'nun 35. maddesinde düzenlenen avukatın tekel hakkına aykırılık teşkil ettiği, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin dava konusu Tebliğ ve Program ile hukukçu olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu savıyla açılan davanın, avukatlık mesleğinin ortak çıkarlarının ve meslek düzeninin korunmasına dair alana ilişkin olduğu, bu özelliği itibarıyla genel kamu yararı ile ilgili bulunduğu açıktır.
Bu nedenle, hukukun üstünlüğünü ve üyelerinin ortak çıkarlarını koruma görevi ve yükümlülüğü bulunan davacı Birliğin, dava konusu düzenlemelerin değinilen niteliği gereği dava açma ehliyeti bulunmakta olup, davalı idarenin aksi yöndeki itirazının yerinde olmadığı sonucuna varılmaktadır.

ESAS YÖNÜNDEN;
İlgili Mevzuat:
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1.maddesinde, "(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."; "Tanımlar" başlıklı 3.maddesinde, "(1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."; "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir."; "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesinde, "(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir."; "Veri Sorumluları Sicili" başlıklı 16. maddesinin 1. fıkrasında, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur."; 2. fıkrasında, "(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir."; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek..." düzenlemeleri yer almıştır.
Anılan Kanuna dayanılarak hazırlanan ve 30/12/2017 tarihli ve 30286 sayılı Resmi Gazete'de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin "Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri " başlıklı 11. maddesinde, " (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur... (5) Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir." düzenlemesi yer almaktadır.
06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır."; "Tanımlar" başlıklı 4. maddesinin 1. fıkrasında "(1) Bu Tebliğin uygulanmasında;...ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,...n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,... ifade eder."; "Veri koruma görevlisi" başlıklı 6. maddesinde, "(1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar. (2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir. (3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir." düzenlemesi yer almıştır.
Kişisel Verileri Koruma Kurulu'nun 25/11/2021 tarih ve 2021/1178 sayılı kararıyla yürürlüğe konulan ve davalı Kurumun resmi internet sayfasında 07/12/2021 tarihinde yayımlanan dava konusu "Veri Koruma Görevlisi Belgelendirme Programı"nın "Amaç" başlıklı 1. maddesinde, "Bu programın amacı, 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında belgelendirilmek üzere TS EN ISO/IEC 17024 standardına göre akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu’na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesidir."; "Kapsam" başlıklı 2. maddesinde, "Bu program, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ çerçevesinde yapılacak belgelendirme faaliyetlerini kapsar.
"; "Tanımlar" başlıklı 3. maddesinde, "...Veri Koruma Görevlisi (VKG): Sınavda başarılı olarak Veri Koruma Görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi
ifade eder."; "İş ve Görev Tanımı" başlıklı 4. maddesinde, "Katılım belgesine sahip kişilerden sınavda başarılı olanlar Veri Koruma Görevlisi sertifikası almaya hak kazanırlar. Veri Koruma Görevlilerinin sertifikalandırıldıkları işbu program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir."; "Öğrenme Çıktıları" başlıklı 6.5. maddesinde, "6.5.1. Kanunun amacını ve kapsamı bilir. 6.5.2. Kanunda yer alan temel kavramlara hâkimdir. 6.5.3. Kanunda yer alan genel/temel ilkeler ile kişisel veri işleme şartlarına hâkimdir. 6.5.4. Kişisel verilerin korunması alanında uluslararası mevzuatı bilir. 6.5.5. Silme, yok etme ve anonim hale getirme kavramlarının neler olduğunu ve hangi durumlarda uygulanması gerektiğini bilir. 6.5.6. Kişisel verilerin yurt içinde ve yurt dışına aktarım konusuna hâkimdir. 6.5.7. Aydınlatma yükümlülüğüne dair bilgi sahibidir. 6.5.8. İlgili kişinin hakları, veri sorumlusuna başvuru ve Kurula şikâyet konularına hâkimdir. 6.5.9. Veri güvenliğine ilişkin teknik ve idari tedbirler ve veri ihlal bildirim süreçleri hakkında neler yapılması gerektiğini bilir. 6.5.10. Veri Sorumluları Siciline Kayıt noktasında bilgi sahibidir. 6.5.11. Yaptırımlar, Kurumun yapısı, Kurul, tam ve kısmi istisnalar hakkında bilgi sahibidir." düzenlemesine yer verilmiştir.

HUKUKİ DEĞERLENDİRME :
İdare Hukukunda "yetki", idareye Anayasa ve yasalarla tanınmış olan karar alma gücünü ifade etmektedir. İdari işlemin en temel unsurunu oluşturan "yetki", yasayla hangi makama verilmiş ise ancak onun tarafından kullanılabilir; ilke olarak "yetkisizlik kural, yetkili olma istisna"dır.
Anayasanın 123. maddesi uyarınca kuruluş ve görevleri yasayla düzenlenmek durumunda olan idare, kendi düzenleme yetkisini de yasalar çerçevesinde ve yasalara uygun olarak kullanmak zorundadır. Bu ilke, Anayasanın 124. maddesinde, "Cumhurbaşkanı, bakanlıklar ve kamu tüzelkişileri, kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla, yönetmelikler çıkarabilirler." hükmüyle ifade edilmiştir. Esasen bu husus, idarenin ikincil (tali) düzenleme yetkisinin doğal sonucudur.
Normlar hiyerarşisi kuramına göre, hukuk düzeni, farklı kademede yer alan Anayasa, kanun, yönetmelik ve diğer düzenleyici işlemlerden oluşan birçok normu içermekte ve her norm geçerliliğini bir üst basamakta yer alan normdan almaktadır. Hukukun genel ilkeleri arasında yer alan normlar hiyerarşisi gereği, kanundan sonra gelen yönetmelik, genelge, tebliğ, talimat gibi düzenlemelerin ancak kanunda verilmiş olan hakkın kullanılmasının açıklanması ile ilgili olacağı, bu metinlerde kanun ile verilmiş olan hakkı genişletici veya daraltıcı mahiyette hükümlere yer verilemeyeceği kabul edilmektedir.
Buna göre, idari teşkilat yapısı içinde yer alan Bakanlıklar ile diğer kamu kurum ve kuruluşları, görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasada belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahiptir.
Bir başka ifadeyle; tebliğ, genelge ve yönerge gibi düzenleyici işlemler; üst normların uygulanmasını göstermek amacıyla ve onlara aykırı hükümler içermemek şartıyla, yine üst normlarda gösterilen usul ve yöntemleri açıklayıcı hükümler taşıyan, yeni bir yöntem ve usul getirmeyen; dayanağı olan mevzuatta yer alan hükümler dışında yeni bir düzenleme içermeyen adsız düzenleyici işlemlerdir.
Uyuşmazlık; amacı, kapsamı, dayanağı ve düzenleme alanına yukarıda yer verilen Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'i ve Veri Koruma Görevlisi Belgelendirme Programı'nı hazırlama, düzenleme ve yürürlüğe koyma konusunda yetki kullanan davalı idarenin bu yetkisinin yasal dayanağının bulunup bulunmadığı noktasındadır.
Dava konusu Tebliğ ile Belgelendirme Programı, bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından, kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri, Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen yetkili personel belgelendirme kuruluşu tarafından yapılacak sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden "veri koruma görevlisi" unvanını kullanmaya hak kazanacaklarını öngörmektedir. Dolayısıyla, her iki dava konusu düzenlemede de "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esaslar yer almaktadır.
Oysa, dava konusu düzenlemelerin dayanağı olan 6698 sayılı Kanun'da "veri işleyen" ve "veri sorumlusu" dışında ayrı bir kavram olduğu anlaşılan "veri koruma görevlisi" tanımına yer verilmediği gibi, aynı Kanun'un 22. maddesinde "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna da bir görev verilmediği, anılan Kanun maddesinde yer alan "veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak" şeklindeki bendin, veri işleyen ile veri sorumlusunun "veri koruma görevlisi" istihdamı ya da bunlardan hizmet alımı mecburiyetinin olmaması ve Kanun'da yer almayan veri koruma görevlisinin veri güvenliğine ilişkin bir yükümlülüğünün de bulunmaması karşısında, dava konusu düzenlemelerin yasal dayanağını teşkil edemeyeceği, yine "veri koruma görevlisi"nin veri sorumlusu ya da temsilcisinden farklı bir gerçek kişi olması nedeniyle, dava konusu düzenlemelerin, anılan maddede yer alan "veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak" şeklindeki bendin de kapsamına girdiğinden söz edilemeyeceği, davalı idarece dava konusu düzenlemelerin dayanağı olarak gösterilen "Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak" bendinin ise, Kanunda "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna bir görev verilmemesi ve konunun Kurumun işleyişine de ilişkin bulunmaması karşısında, yine dayanak olarak kabulüne hukuken olanak bulunmadığı sonucuna varılmaktadır.
Bu haliyle, dayanağı 6698 sayılı Kanun'da düzenlenmemiş olan ve davalı Kuruma verilen görev ve yetkiler kapsamında da yer almayan "veri koruma görevlisi" statüsünü ihdas ederek "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esasları kurallaştıran, bu suretle dayanağı Kanun'u, normlar hiyerarşisi, kanuni idare ve idarenin düzenleme yetkisinin taliliği prensiplerini ihlal eden dava konusu düzenlemelerde hukuka uyarlık görülmemektedir.
Öte yandan, davalı idarenin savunma dilekçesinde de ifade edildiği üzere, dava konusu düzenlemelerde "veri koruma görevlisi"nin açık ve net bir görev tanımı yapılmadığından, hukuki belirlilik ilkesinin de ihlal edildiği anlaşılmaktadır.
Bu itibarla, hukuki dayanaktan yoksun bulunan ve hukuki belirsizlik yaratan dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile Veri Koruma Görevlisi Belgelendirme Programı'nın iptaline karar verilmesi gerekmektedir.

KARAR SONUCU:
Açıklanan nedenlerle;
1\. 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının İPTALİNE,
2\. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davalı idareden alınarak davacıya verilmesine,
3\. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen ... TL vekâlet ücretinin davalı idareden alınarak davacıya verilmesine,
4\. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
5\. Bu kararın tebliğ tarihini izleyen 30 (otuz gün) içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 15/04/2025 tarihinde oy çokluğuyla karar verildi.


(X) - KARŞI OY :
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
" hükmüne; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. ... e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. ... l) Kanunlarla verilen diğer görevleri yerine getirmek." hükmüne yer verilmiştir.
Kişisel Verileri Koruma Kurumu'nun, kendi görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasa'nın 124. maddesinde belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahip bulunduğu tartışmasızdır.
6698 sayılı Kanun'un 1. maddesinde öngörülen amaç ile Kanun'un 22. maddesiyle Kurula verilen görev ve yetkiler birlikte değerlendirildiğinde; dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in ve Veri Koruma Görevlisi Belgelendirme Programı'nın, anılan Kanunla davalı idareye tanınan kişisel verilerin korunmasına yönelik regülasyon görev ve yetkisi kapsamında düzenlendiği, dolayısıyla dava konusu işlemlerde yetki, şekil ve konu unsuru yönüyle hukuka aykırılık bulunmadığı sonucuna varılmaktadır.
Diğer taraftan, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, dava konusu düzenlemelerin; Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek ve verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyon sağlamak amacıyla çıkarıldığı anlaşıldığından, düzenlemelerde amaç ve sebep unsuru yönleriyle de hukuka aykırılık görülmemektedir.
Bu durumda, davalı idarenin hazırlayıp yürürlüğe koyma yetkisini haiz olduğu dava konusu düzenleyici işlemlere karşı açılan davanın reddine karar verilmesi gerektiği görüşüyle aksi yöndeki çoğunluk kararına katılmıyorum.