Danıştay danistay 2022/870 E. 2025/2028 K.

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2022/870
Karar No : 2025/2028

DAVACI : ... Barosu Başkanlığı

DAVALI : ... Başkanlığı / ...
VEKİLİ : Hukuk Müşaviri Av. ...

DAVANIN_KONUSU: Davacı tarafından;
1- 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının,
2- 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının,
yetki yönünden hukuka aykırı olduğu iddiasıyla iptali istenilmektedir.

DAVACININ_İDDİALARI : Davacı tarafından, veri koruma görevlisinin kişisel verilerin korunması hukuku ve Kişisel Verilerin Korunması Kanunu'na uyum alanında danışmanlık faaliyeti vermek üzere düzenlendiği, Avukatlık Kanunu'nun 35. maddesinin avukatın tekel hakkını düzenlediği, hukuki konularda danışmanlık yapmanın sadece avukatların yapabileceği iş ve işlemlerden olduğu, Kişisel Verilerin Korunması Kanunu kapsamında yapılacak olan danışmanlık hizmetlerinin hukuki iş niteliğinde olduğu, hukuki konularda mütalaa verildiği, hukuk alanında danışmanlık hizmeti verildiği, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin Kurum tarafından yayınlanan düzenleyici işlem niteliğinde Tebliğ ve Program ile hukukçu bile olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu ileri sürülerek dava konusu düzenleyici işlemlerin iptali istenilmektedir.

DAVALININ_SAVUNMASI: Davalı idare tarafından, usul yönünden, menfaat ihlali şartı gerçekleşmeyen davacı Baronun dava açma ehliyeti bulunmadığı; esas yönünden, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, maddi kazanç sağlamaya yönelik olduğu, Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek amacıyla verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyonun sağlanmasının amaçlandığı, Kurum tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlisi programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ" hazırlandığı, Tebliğ ile eğitim ve sertifikanın doğru ve güvenilir kaynaklardan alınması ve kişisel verilerin korunmasına dair eğitim ve sertifika faaliyetlerinin Kurum tarafından regüle edilmesinin amaçlandığı, Tebliğ kapsamında belgelendirilmek üzere akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşuna müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, veri koruma görevlisi veya veri koruma görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla “Veri Koruma Görevlisi Belgelendirme Programı” hazırlandığı, dava konusu düzenlemelerin dayanağının 6698 sayılı Kanun’un 22/1-e maddesinde yer alan “Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak” düzenlemesi ile Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’nin 7/ı maddesinde yer alan “Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek” düzenlemesi olduğu, Tebliğ kapsamında yapılacak sertifikalandırma sonucunda kazanılacak unvanın Avrupa Birliği Genel Veri Koruma Tüzüğünde düzenlenen Data Protection Officer (DPO) unvanı ile benzer işleve sahip olacağı algısının yanlış olduğu, Avrupa Birliği Genel Veri Koruma Tüzüğünde veri sorumluları ve veri işleyenlerin veri koruma mevzuatı kapsamındaki yükümlülüklerini gereği gibi yerine getirebilmek için bu konuda yetkinliğe sahip bir kişiyi DPO olarak veri koruma mevzuatına uyum ile ilgili süreçlere dahil etme zorunlulukları olduğu, DPO olabilmek için bir sertifikasyon mekanizması kapsamında sertifika sahibi olunması zorunluluğu bulunmadığı, 6698 sayılı Kanun'da ise veri sorumluları ve veri işleyenler bakımından Kanuna ve ikincil mevzuata uyum çalışmaları kapsamında zorunlu olarak herhangi bir kişiyi istihdam etme veya hizmet alımı zorunluluğuna ilişkin düzenleme bulunmadığı, dava konusu Tebliğ ile düzenleme altına alınan sertifikasyon mekanizmasının da DPO’dan tamamen farklılık arz ettiği ve gönüllülük esasına dayandığı, veri sorumlusu ve veri işleyen tarafından veri koruma görevlisi istihdam edilmesinin veya bu kişilerden hizmet satın alınmasının tamamen isteğe bağlı olduğu, veri koruma görevlisinin yalnızca kişisel verilerin korunması mevzuatı açısında yeterli bilgiye sahip olduğu kabul edilen ve bu kapsamda yetkinliği gösterir bir sertifikaya sahip olan kişi olduğu, Tebliğ ile veri koruma görevlilerine herhangi bir yetki verilmediği, görev tanımı yapılmadığı, Tebliğde, veri koruma görevlisi unvanına sahip olacak kişilerin Avrupa Birliği Genel Veri Tüzüğünde düzenlenen DPO'ların ülkemiz hukukundaki karşılığı olarak düzenlenmediği, uyum çalışmalarında veri sorumlusu veya veri işleyeni bünyesinde faaliyet gösterebilmek için veri koruma görevlisi unvanını taşıma zorunluluğu bulunmadığı, davacının iddia ettiği gibi Avrupa Birliği Genel Veri Tüzüğünde yer alan DPO'ya benzer görev ve yetkileri haiz veri koruma görevlisi şeklinde 6698 sayılı Kanun'da yer almayan yeni bir unvanın ihdas edilmesinin söz konusu olmadığı, 6698 sayılı Kanun'un amacının, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, kişisel verilerin işleme şartlarının ve veri sorumlusunun yükümlülüklerinin, bu yükümlülüklere uyulmaması halinde uygulanacak idari yaptırımın düzenlendiği, veri sorumlusunun/veri işleyenenin, veri koruma görevlisi istihdam etmesi halinde Kanun'a ve mevzuata uyma zorunluluğunun ortadan kalkmadığı, veri sorumlusunun/veri işleyenin, veri koruma görevlisinden yardım almasının kendi inisiyatiflerinde olduğu, alınan bu yardımın danışmanlık olarak kabul edilemeyeceği, kişisel verilerin korunması mevzuatı kapsamında yeterli bilgiye sahip olduğu anlamına geleceği, veri koruma görevlisinden yardım alan veri sorumlusu/veri işleyenin, edinilen bilgilerin uygulamaya konulması noktasında bu bilgilerin doğruluğunu ve hukuka uygunluğunu her daim gözetmesi gerektiği, veri güvenliğine ilişkin ilkeler ile usul ve esaslara uyumu sağlayacak uygulamalar, hukuk alanında ve yazılım, bilgisayar teknolojileri, iktisadi ve idari bilimler veya veri sorumlusunun faaliyet gösterdiği diğer alanlarda bilgi sahibi olunması suretiyle hayata geçirilebileceği, hukuki analiz, inceleme ve değerlendirmelere ilave olarak diğer uzmanlık alanlarına yönelik de çalışmaların yapılması gerektiği, uluslararası alanda da benzer bir yaklaşımın benimsendiği, alan sınırlaması olmaksızın 4 yıllık lisans eğitimi veren fakültelerden mezun olan herkese Tebliğin gerekliliklerini yerine getirmek kaydıyla veri koruma görevlisi unvanının tanınmasının Avukatlık Kanunu’nun 35. maddesine aykırılık teşkil etmediği, Kişisel Verileri Koruma Kurumu bünyesinde istihdam edilen kişisel verileri koruma uzmanlarının da çeşitli fakültelerden mezun olanlar arasından atanmasının mümkün olduğu, kişisel verilerin korunması hukukunun multidisipliner bir alan olduğu belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ: ...
DÜŞÜNCESİ : Dava konusu düzenlemelerin iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI: ...
DÜŞÜNCESİ :06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in ve 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının iptali istenilmektedir.
1136 sayılı Avukatlık Kanunu'nun 76. maddesinde, Baroların, avukatlık mesleğini geliştirmek, meslek mensuplarının birbirleri ve iş sahipleri ile olan ilişkilerinde dürüstlüğü ve güveni sağlamak, meslek düzenini, ahlâkını, saygınlığını, hukukun üstünlüğünü, insan haklarını savunmak ve korumak, avukatların ortak ihtiyaçlarını karşılamak amacıyla tüm çalışmaları yürüten, tüzel kişiliği bulunan, çalışmalarını demokratik ilkelere göre sürdüren kamu kurumu niteliğinde meslek kuruluşları olduğu belirtilmiş; 95. maddesinin 2. fıkrasının 21. bendinde de, hukukun üstünlüğünü ve insan haklarını savunmak, korumak ve bu kavramlara işlerlik kazandırmak, Baro Yönetim Kurulunun başlıca görevleri arasında sayılmıştır.
2577 sayılı Kanun'un 2. maddesinde yer alan ve iptal davasının sübjektif ehliyet koşulu olan "menfaat ihlali", içtihatlarda, dava konusu işlemle davacı arasında kurulan kişisel, meşru ve güncel bir menfaat ilişkisi olarak tanımlanmaktadır. Menfaatin kişisel olması, idari işlemin mutlaka davacı hakkında tesis edilmiş olması sonucunu doğurmamaktadır. Sözü edilen menfaat ilişkisinin varlığı ve sınırları davacının gerçek kişi, tüzel kişi, belde sakini olması gibi hususlar dikkate alınmak suretiyle ve uyuşmazlığın niteliği de göz önünde tutularak belirlenmektedir.
Davacı kamu kurumu niteliğinde bir meslek kuruluşudur. Kamu kurumu niteliğindeki meslek kuruluşlarının genel nitelikteki düzenleyici işlemlere karşı, kuruluş yasalarında gösterilen amaçları doğrultusunda dava açma ehliyeti bulunmaktadır.
Mevcut düzenlemeler uyarınca baroların; mesleki bir örgüt olmanın ötesinde hukukun üstünlüğünü, insan haklarını savunmak ve korumak görevlerini de üstlendiği ve diğer meslek örgütlerinden farklı bir konuma sahip olduğu açıktır.
Bu itibarla, Baroların dava açma ehliyetinin bulunup bulunmadığı saptanırken, iptal davasının genel amacının yanı sıra dava konusu idari işlemin, hukukun üstünlüğünü, hukuk devleti ilkesini, genel kamu yararını, Anayasa ile koruma altına alınan eşitlik, kişinin dokunulmazlığı, özel hayatın gizliliği, kanunsuz suç ve ceza olamayacağı gibi temel insan haklarını ihlal edip etmediğine ve yargı kararlarının uygulanmaması veya geçersiz kılınması gibi hukuk devleti ilkesini zedeleyen bir durumun olup olmadığına bakılarak menfaat ilgisinin kurulması gerekmektedir.
Dava konusu düzenlemenin de, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 22. maddesinin birinci fıkrasının (e) bendi ve Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7. maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18. maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlandığı, Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesinin 3. fıkrasında düzenlenmiş kişisel verilerin korunmasına ilişkin esas ve usullere yönelik alt düzenleyici işlem niteliğinde olduğu, kişisel verilerin korunması alanında veri koruma görevlisi istihdamına ilişkin yeni hükümler getirdiği anlaşılmaktadır.
Dava konusu düzenleyici işlemlerin, başta Anayasa olmak üzere kişisel verilerin korunmasına ilişkin temel düzenlemelere ve Avukatlık Kanunu’nun 35. maddesine aykırı olduğu ileri sürülerek iptali istemiyle açılan dava, Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesinin 3. fıkrasında yer alan kişisel verilerin korunmasına yönelik temel hak ve özgürlüklere ilişkin olduğu ve kamu yararını ilgilendirdiği için hukukun üstünlüğünü koruma görevi ve yükümlülüğü bulunan davacı Baro Başkanlığının dava açma ehliyeti bulunduğundan, davalı yanın bu yöndeki itirazı yerinde görülmemiş ve işin esasına geçilmiştir:
Türkiye Cumhuriyeti Anayasası’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesinin 3. fıkrasında, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü bulunmaktadır.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu da, 7.4.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
6698 sayılı Kanun’un 19. maddesinde, bu Kanunla verilen görevleri yerine getirmek üzere idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulduğu belirtilmiş ve 22. maddesinin (a) bendinde, “Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak”, (e) bendinde de, “Kişisel Verileri Koruma Kurulunun; görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak” Kurulun görev ve yetkileri arasında sayılmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 22. maddesinin birinci fıkrasının (e) bendi ve Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7. maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18. maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmış dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ de, (TS) EN ISO/IEC 17024 nolu standardına uygun olarak Veri Koruma Görevlisi Programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemiş ve bu kapsamda Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşuna müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilme yöntemi ile ilgili bütün esaslar da “Veri Koruma Görevlisi Belgelendirme Programı” ile tespit edilmiştir.
Öte yandan, kişisel verilerin korunması alanında personel sertifikasyon mekanizmasına ilişkin usul ve esaslar, Avrupa Birliği Genel Veri Koruma Tüzüğünde de düzenlenmiş ve genel olarak sertifikasyon mekanizması, AB tarafından kullanılmaya teşvik edilen bir sistem olmuştur.
Öncelikle 6698 sayılı Yasanın 3. maddesinin (ı) bendinde yalnızca “Veri sorumlusu” kavramına yer verilmiş ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği belirtilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlusu dışında “veri koruma görevlisi” adı altında birinin atanmasını düzenlemediği gibi, veri sorumlularının da ilgili mevzuata uyumu konusunda sorumlu ya da yardımcı olacak birini atamasını da düzenlememektedir.
Öte yandan 30 Aralık 2017 tarihinde yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ise veri sorumlularının belirli hallerde bir veri sorumlusu temsilcisi ve/veya irtibat kişisi atamasını öngördüğü anlaşılmaktadır.
Görüleceği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda “veri koruma görevlisi” adı altında bir ünvana yer verilmemekte, alt düzenleyici işlem niteliğindeki Veri Sorumluları Sicili Hakkında Yönetmelikte ise, veri sorumlularının belirli hallerde Kurum ve ilgili kisiler nezdinde gerekli iletisimi saglayacak veri sorumlusu temsilcisi/irtibat kisisi atamasını öngörmektedir. Dolayısıyla dayanağı yasal düzenlemelerde yer almayan buna karşın kişisel verilerin korunması alanında önemli bir yere sahip olacak “veri koruma görevlisi” kavramının, iptali istenen dava konusu alt düzenleyici işlemler ile ihdas edilmesi, üst hukuk normlarında düzenlenmemiş kaynağını Yasadan almayan bir yetki kullanılmak suretiyle personel sertifikasyonu mekanizmasında yeni bir ünvana yer verilmek suretiyle düzenlemeye gidildiği için hukuka aykırılık teşkil edecektir.
Bunun yanı sıra Veri Koruma Görevlisi (Data Protection Officer), Avrupa Birligi'nde 25 Mayis 2018'de yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR) kapsamında ve anılan Tüzüğün 37-39. maddelerinde düzenlenen bir kavramdır. Bu düzenlemenin amacı da, veri sorumlularinin kişisel verilerin korunması mevzuatına uyması konusunda sorumlu olacak bir kisinin atamasını sağlamaktır. GDPR, bir takım kriterleri karşılayan veri sorumlularına veri koruma görevlisi atama yükümlülügü getirmekte ve kişisel verilerin korunması alanında önemli bir yere sahip olan veri koruma görevlisinin görev ve yükümlülüklerini detaylı olarak ele almaktadir.
GDPR’da düzenlenen veri koruma görevlisine baktığımızda, veri sorumlusunun kişisel veri koruma mevzuatına uyumunun sağlanmasıyla görevli, önemli yetkileri olan, veri sorumlusundan bağımsız hareket eden ve doğrudan üst düzey yönetime raporlama yapan ve özellikle veri koruma mevzuatı ve uygulamaları konusunda uzman bilgisine sahip olması gereken kişidir.
Öte yandan, Veri Sorumluları Sicili Hakkındaki Yönetmelik çerçevesinde düzenlenen veri sorumlusu temsilcisi/irtibat kişisinin görevleri ise, veri sorumlusu ile Kurum ve/veya ilgili kişiler arasında bir iletişim kurmaktan ibarettir. Bu kişilerin veri sorumlusunun veri koruma mevzuatına genel olarak uyumunu sağlamak gibi bir görevleri bulunmamaktadır.
Bu itibarla, dava konusu düzenlemeler ile getirilmiş “veri koruma görevlisi” ünvanının, hukuki niteliği itibariyle Avrupa Birliği Genel Veri Koruma Tüzügü ("GDPR") kapsamında düzenlenen Veri Koruma Görevlisi (Data Protection Officer) olmadığı, 6698 sayılı Yasada da yalnızca veri sorumlusu kavramına yer verildiği, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında düzenlenen veri koruma görevlisine eşdeğer bir ünvana yer verilmediği, “veri koruma görevlisi” adı altında birinin atanmasını düzenlemediği gibi Veri Sorumluları Sicili Hakkında Yönetmeliğin de yalnızca veri sorumlularının belirli hallerde Kurum ve ilgili kişiler nezdinde gerekli iletişimi saglayacak veri sorumlusu temsilcisi/irtibat kişisi atamasını öngördüğü, bu kişilerin de GDPR kapsamındaki veri koruma görevlisine benzer önemli görev ve yetkileri bulunmadığı dikkate alınacak olursa, dayanağı yasal düzenlemelerde yeri olmayan “veri koruma görevlisi” ünvanının, Avrupa Birliği mevzuatına uyum sürecinde hem Avrupa Birliği mevzuatında uyumsuzluğa ve hem de temel hak ve özgürlüklerin korunmasını ilgilendiren kişisel verilerin korunması alanında ünvan ve yetki karışıklığına yol açacağı, kamu yararını ve hukuki güvenlik ilkesini ihlal edeceği ortadadır.
Nitekim Kişisel Verilerin Korunması Kanunu’nun 4. maddesinin 1. bendinde, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” kuralına yer verilmiş, 2. bendinde de, “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” kişisel verilerin işlenmesinde uyulması gerekli ilkeler arasında sayılmış, veri sorumlusunun veri güvenliğine ilişkin hak ve yükümlülükleri de Kanun’un 12. maddesinde düzenlenmiştir.
Görüleceği üzere kişisel verilerin işlenmesi ve kişisel verileri işleyen gerçek ve tüzel kişilere yönelik usul ve esasların düzenlenmesi; Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere kişinin mahremiyet hakkı kapsamında temel hak ve özgürlüklerin korunmasına yöneliktir.
Dava konusu Veri Koruma Görevlisi Belgelendirme Programının 7.2 maddesindeki düzenlemede ise, yurt içindeki üniversitelerin veya diploma denkliği Yükseköğretim Kurulu tarafından onaylanmış olmak kaydıyla yabancı üniversitelerin en az dört yıllık lisans eğitimi veren fakültelerinden mezun olanlardan sınav tarihinden önceki son dört yıl içinde katılım belgesi almış olan veya geçerli bir veri koruma görevlisi sertifikasına sahip olanların Personel Belgelendirme Kuruluşlarınca yapılacak olan sınavlara başvurabileceği belirtilerek veri koruma görevlisi olma imkanı getirilmiş, 4. maddesinde, veri koruma görevlilerinin sertifikalandırıldıkları işbu program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduklarının kabul edileceği belirtilmiş, aynı düzenlemeye Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in 6. maddesinin 2. bendinde de yer verilmiştir.
Gelinen noktada, kişisel verilerin korunması gibi Anayasa ile güvence altına alınmış önemli temel hak ve özgürlükleri, kamu yararını ve kamu güvenliğini doğrudan ilgilendiren veri koruma görevlisi ünvanını kullanmaya hak kazanabilmek için veri koruma mevzuatı ve uygulamaları konusunda herhangi bir uzmanlık dahi aranmamış, veri koruma görevlisinin veri güvenliğine ilişkin hak ve yükümlülüklerinin de ne olduğu üst hukuk normlarıyla tespit edilmemiş, hukuki niteliği belirsiz bir ünvan, dava konusu düzenleyici işlemlerle ihdas edilmiştir.
Özetle; Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatta, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında düzenlenen veri koruma görevlisine eşdeğer bir ünvana yer verilmediği ve dayanağı olan üst hukuk normlarında da düzenlenmediği halde dava konusu düzenleyici işlemler ile ihdas edilen veri koruma görevlisi ünvanının hukuka aykırılık taşıdığı, aynı zamanda Avrupa Birliği mevzuatına uyum sürecinde Avrupa Birliği mevzuatında düzenlenmiş ve önemli bir yere sahip olan “veri koruma görevlisi” adı altındaki aynı ünvan yönünden, kişisel verilerin korunması alanında ünvan ve yetki karışıklığına yol açacağı için hukuki belirlilik ilkesini de ihlal eder nitelikte olduğu sonuca varılmıştır.
Açıklanan nedenlerle, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile Veri Koruma Görevlisi Belgelendirme Programının, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişinin mahremiyet hakkı kapsamında temel hak ve özgürlüklerin korunması ilkesine aykırılığı nedeniyle iptaline karar verilmesi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE :
MADDİ OLAY:
Davacı tarafından, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının ve 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının iptali istemiyle bakılmakta olan davanın açıldığı anlaşılmıştır.

USUL YÖNÜNDEN:
Davalı idare tarafından; davacı Baro'nun dava konusu Tebliğin ve Programın iptali istemiyle dava açma ehliyetinin bulunmadığı ileri sürülmüştür.
1136 sayılı Avukatlık Kanunu'nun 76. maddesinde; Baroların, avukatlık mesleğini geliştirmek, meslek mensuplarının birbirleri ve iş sahipleri ile olan ilişkilerinde dürüstlüğü ve güveni sağlamak, meslek düzenini, ahlâkını, saygınlığını, hukukun üstünlüğünü, insan haklarını savunmak ve korumak, avukatların ortak ihtiyaçlarını karşılamak amacıyla tüm çalışmaları yürüten, tüzel kişiliği bulunan, çalışmalarını demokratik ilkelere göre sürdüren kamu kurumu niteliğinde meslek kuruluşları olduğu belirtilmiştir.
Dava konusu Tebliğ ile Belgelendirme Programında, bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından,"veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) ve kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden kazanılacak "veri koruma görevlisi" unvanına dair usul ve esaslar yer almaktadır.
Davacı tarafından, dava konusu düzenlemelerin; Avukatlık Kanunu'nun 35. maddesinde düzenlenen avukatın tekel hakkına aykırılık teşkil ettiği, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin dava konusu Tebliğ ve Program ile hukukçu olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu savıyla açılan davanın, bu özelliği itibarıyla Baro üyelerinin ortak çıkarlarının ve meslek düzeninin korunması ile ilgili bulunduğu açıktır.
Bu nedenle, hukukun üstünlüğünü ve üyelerinin ortak çıkarlarını koruma görevi ve yükümlülüğü bulunan davacı Baro Başkanlığının, dava konusu düzenlemelerin değinilen niteliği gereği dava açma ehliyeti bulunmakta olup, davalı idarenin aksi yöndeki itirazının yerinde olmadığı sonucuna varılmaktadır.

ESAS YÖNÜNDEN;
İlgili Mevzuat:
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1.maddesinde, "(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."; "Tanımlar" başlıklı 3.maddesinde, "(1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."; "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir."; "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesinde, "(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir."; "Veri Sorumluları Sicili" başlıklı 16. maddesinin 1. fıkrasında, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur."; 2. fıkrasında, "(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir."; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek..." düzenlemeleri yer almıştır.
Anılan Kanuna dayanılarak hazırlanan ve 30/12/2017 tarihli ve 30286 sayılı Resmi Gazete'de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin "Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri " başlıklı 11. maddesinde, " (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur... (5) Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir." düzenlemesi yer almaktadır.
06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır."; "Tanımlar" başlıklı 4. maddesinin 1. fıkrasında, "(1) Bu Tebliğin uygulanmasında;...ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,...n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,... ifade eder."; "Veri koruma görevlisi" başlıklı 6. maddesinde, "(1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar. (2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir. (3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir." düzenlemesi yer almıştır.
Kişisel Verileri Koruma Kurulu'nun 25/11/2021 tarih ve 2021/1178 sayılı kararıyla yürürlüğe konulan ve davalı Kurumun resmi internet sayfasında 07/12/2021 tarihinde yayımlanan dava konusu "Veri Koruma Görevlisi Belgelendirme Programı"nın "Amaç" başlıklı 1. maddesinde, "Bu programın amacı, 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında belgelendirilmek üzere TS EN ISO/IEC 17024 standardına göre akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu’na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesidir."; "Kapsam" başlıklı 2. maddesinde, "Bu program, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ çerçevesinde yapılacak belgelendirme faaliyetlerini kapsar.
"; "Tanımlar" başlıklı 3. maddesinde, "...Veri Koruma Görevlisi (VKG): Sınavda başarılı olarak Veri Koruma Görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi
ifade eder."; "İş ve Görev Tanımı" başlıklı 4. maddesinde, "Katılım belgesine sahip kişilerden sınavda başarılı olanlar Veri Koruma Görevlisi sertifikası almaya hak kazanırlar. Veri Koruma Görevlilerinin sertifikalandırıldıkları işbu program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir."; "Öğrenme Çıktıları" başlıklı 6.5. maddesinde, "6.5.1. Kanunun amacını ve kapsamı bilir. 6.5.2. Kanunda yer alan temel kavramlara hâkimdir. 6.5.3. Kanunda yer alan genel/temel ilkeler ile kişisel veri işleme şartlarına hâkimdir. 6.5.4. Kişisel verilerin korunması alanında uluslararası mevzuatı bilir. 6.5.5. Silme, yok etme ve anonim hale getirme kavramlarının neler olduğunu ve hangi durumlarda uygulanması gerektiğini bilir. 6.5.6. Kişisel verilerin yurt içinde ve yurt dışına aktarım konusuna hâkimdir. 6.5.7. Aydınlatma yükümlülüğüne dair bilgi sahibidir. 6.5.8. İlgili kişinin hakları, veri sorumlusuna başvuru ve Kurula şikâyet konularına hâkimdir. 6.5.9. Veri güvenliğine ilişkin teknik ve idari tedbirler ve veri ihlal bildirim süreçleri hakkında neler yapılması gerektiğini bilir. 6.5.10. Veri Sorumluları Siciline Kayıt noktasında bilgi sahibidir. 6.5.11. Yaptırımlar, Kurumun yapısı, Kurul, tam ve kısmi istisnalar hakkında bilgi sahibidir." düzenlemesine yer verilmiştir.

HUKUKİ DEĞERLENDİRME :
İdare Hukukunda "yetki", idareye Anayasa ve yasalarla tanınmış olan karar alma gücünü ifade etmektedir. İdari işlemin en temel unsurunu oluşturan "yetki", yasayla hangi makama verilmiş ise ancak onun tarafından kullanılabilir; ilke olarak "yetkisizlik kural, yetkili olma istisna"dır.
Anayasanın 123. maddesi uyarınca kuruluş ve görevleri yasayla düzenlenmek durumunda olan idare, kendi düzenleme yetkisini de yasalar çerçevesinde ve yasalara uygun olarak kullanmak zorundadır. Bu ilke, Anayasanın 124. maddesinde, "Cumhurbaşkanı, bakanlıklar ve kamu tüzelkişileri, kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla, yönetmelikler çıkarabilirler." hükmüyle ifade edilmiştir. Esasen bu husus, idarenin ikincil (tali) düzenleme yetkisinin doğal sonucudur.
Normlar hiyerarşisi kuramına göre, hukuk düzeni, farklı kademede yer alan Anayasa, kanun, yönetmelik ve diğer düzenleyici işlemlerden oluşan birçok normu içermekte ve her norm geçerliliğini bir üst basamakta yer alan normdan almaktadır. Hukukun genel ilkeleri arasında yer alan normlar hiyerarşisi gereği, kanundan sonra gelen yönetmelik, genelge, tebliğ, talimat gibi düzenlemelerin ancak kanunda verilmiş olan hakkın kullanılmasının açıklanması ile ilgili olacağı, bu metinlerde kanun ile verilmiş olan hakkı genişletici veya daraltıcı mahiyette hükümlere yer verilemeyeceği kabul edilmektedir.
Buna göre, idari teşkilat yapısı içinde yer alan Bakanlıklar ile diğer kamu kurum ve kuruluşları, görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasada belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahiptir.
Bir başka ifadeyle; tebliğ, genelge ve yönerge gibi düzenleyici işlemler; üst normların uygulanmasını göstermek amacıyla ve onlara aykırı hükümler içermemek şartıyla, yine üst normlarda gösterilen usul ve yöntemleri açıklayıcı hükümler taşıyan, yeni bir yöntem ve usul getirmeyen; dayanağı olan mevzuatta yer alan hükümler dışında yeni bir düzenleme içermeyen adsız düzenleyici işlemlerdir.
Uyuşmazlık; amacı, kapsamı, dayanağı ve düzenleme alanına yukarıda yer verilen Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'i ve Veri Koruma Görevlisi Belgelendirme Programı'nı hazırlama, düzenleme ve yürürlüğe koyma konusunda yetki kullanan davalı idarenin bu yetkisinin yasal dayanağının bulunup bulunmadığı noktasındadır.
Dava konusu Tebliğ ile Belgelendirme Programı, bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından, kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri, Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen yetkili personel belgelendirme kuruluşu tarafından yapılacak sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden "veri koruma görevlisi" unvanını kullanmaya hak kazanacaklarını öngörmektedir. Dolayısıyla, her iki dava konusu düzenlemede de "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esaslar yer almaktadır.
Oysa, dava konusu düzenlemelerin dayanağı olan 6698 sayılı Kanun'da "veri işleyen" ve "veri sorumlusu" dışında ayrı bir kavram olduğu anlaşılan "veri koruma görevlisi" tanımına yer verilmediği gibi, aynı Kanun'un 22. maddesinde "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna da bir görev verilmediği, anılan Kanun maddesinde yer alan "veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak" şeklindeki bendin, veri işleyen ile veri sorumlusunun "veri koruma görevlisi" istihdamı ya da bunlardan hizmet alımı mecburiyetinin olmaması ve Kanun'da yer almayan veri koruma görevlisinin veri güvenliğine ilişkin bir yükümlülüğünün de bulunmaması karşısında, dava konusu düzenlemelerin yasal dayanağını teşkil edemeyeceği, yine "veri koruma görevlisi"nin veri sorumlusu ya da temsilcisinden farklı bir gerçek kişi olması nedeniyle, dava konusu düzenlemelerin, anılan maddede yer alan "veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak" şeklindeki bendin de kapsamına girdiğinden söz edilemeyeceği, davalı idarece dava konusu düzenlemelerin dayanağı olarak gösterilen "Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak" bendinin ise, Kanunda "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna bir görev verilmemesi ve konunun Kurumun işleyişine de ilişkin bulunmaması karşısında, yine dayanak olarak kabulüne hukuken olanak bulunmadığı sonucuna varılmaktadır.
Bu haliyle, dayanağı 6698 sayılı Kanun'da düzenlenmemiş olan ve davalı Kuruma verilen görev ve yetkiler kapsamında da yer almayan "veri koruma görevlisi" statüsünü ihdas ederek "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esasları kurallaştıran, bu suretle dayanağı Kanun'u, normlar hiyerarşisi, kanuni idare ve idarenin düzenleme yetkisinin taliliği prensiplerini ihlal eden dava konusu düzenlemelerde hukuka uyarlık görülmemektedir.
Öte yandan, davalı idarenin savunma dilekçesinde de ifade edildiği üzere, dava konusu düzenlemelerde "veri koruma görevlisi"nin açık ve net bir görev tanımı yapılmadığından, hukuki belirlilik ilkesinin de ihlal edildiği anlaşılmaktadır.
Bu itibarla, hukuki dayanaktan yoksun bulunan ve hukuki belirsizlik yaratan dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile Veri Koruma Görevlisi Belgelendirme Programı'nın iptaline karar verilmesi gerekmektedir.

KARAR SONUCU:
Açıklanan nedenlerle;
1\. 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının İPTALİNE,
2\. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davalı idareden alınarak davacıya verilmesine,
3\. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
4\. Bu kararın tebliğ tarihini izleyen 30 (otuz gün) içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 15/04/2025 tarihinde oy çokluğuyla karar verildi.

(X) KARŞI OY :
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
" hükmüne; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. ... e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. ... l) Kanunlarla verilen diğer görevleri yerine getirmek." hükmüne yer verilmiştir.
Kişisel Verileri Koruma Kurumu'nun, kendi görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasa'nın 124. maddesinde belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahip bulunduğu tartışmasızdır.
6698 sayılı Kanun'un 1. maddesinde öngörülen amaç ile Kanun'un 22. maddesiyle Kurula verilen görev ve yetkiler birlikte değerlendirildiğinde; dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in ve Veri Koruma Görevlisi Belgelendirme Programı'nın, anılan Kanunla davalı idareye tanınan kişisel verilerin korunmasına yönelik regülasyon görev ve yetkisi kapsamında düzenlendiği, dolayısıyla dava konusu işlemlerde yetki, şekil ve konu unsuru yönüyle hukuka aykırılık bulunmadığı sonucuna varılmaktadır.
Diğer taraftan, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, dava konusu düzenlemelerin; Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek ve verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyon sağlamak amacıyla çıkarıldığı anlaşıldığından, düzenlemelerde amaç ve sebep unsuru yönleriyle de hukuka aykırılık görülmemektedir.
Bu durumda, davalı idarenin hazırlayıp yürürlüğe koyma yetkisini haiz olduğu dava konusu düzenleyici işlemlere karşı açılan davanın reddine karar verilmesi gerektiği görüşüyle aksi yöndeki çoğunluk kararına katılmıyorum.