Danıştay danistay 2022/948 E. 2025/2027 K.

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2022/948
Karar No : 2025/2027

DAVACI : ... Barosu Başkanlığı / ...


DAVALI : ... Başkanlığı / ...
VEKİLİ : Huk. Müş. Av. ...

DAVANIN_KONUSU: Davacı tarafından;
1- 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının,
2- 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının,
yetki yönünden hukuka aykırı olduğu iddiasıyla iptali istenilmektedir.

DAVACININ_İDDİALARI : Davacı tarafından, subjektif ehliyetinin bulunduğu, veri koruma görevlisinin kişisel verilerin korunması hukuku ve Kişisel Verilerin Korunması Kanunu'na uyum alanında danışmanlık faaliyeti vermek üzere düzenlendiği, Avukatlık Kanunu'nun 35. maddesinin avukatın tekel hakkını düzenlediği, hukuki konularda danışmanlık yapmanın sadece avukatların yapabileceği iş ve işlemlerden olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin Kurum tarafından yayınlanan düzenleyici işlem niteliğinde Tebliğ ve Program ile hukukçu bile olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu ileri sürülerek dava konusu düzenleyici işlemlerin iptali istenilmektedir.

DAVALININ_SAVUNMASI: Davalı idare tarafından, usul yönünden, menfaat ihlali şartı gerçekleşmeyen davacı Baronun dava açma ehliyeti bulunmadığı; esas yönünden, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, maddi kazanç sağlamaya yönelik olduğu, Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek amacıyla verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyonun sağlanmasının amaçlandığı, Kurum tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlisi programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ" hazırlandığı, Tebliğ ile eğitim ve sertifikanın doğru ve güvenilir kaynaklardan alınması ve kişisel verilerin korunmasına dair eğitim ve sertifika faaliyetlerinin Kurum tarafından regüle edilmesinin amaçlandığı, Tebliğ kapsamında belgelendirilmek üzere akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşuna müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, veri koruma görevlisi veya veri koruma görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla “Veri Koruma Görevlisi Belgelendirme Programı” hazırlandığı, dava konusu düzenlemelerin dayanağının 6698 sayılı Kanun’un 22/1-e maddesinde yer alan “Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak” düzenlemesi ile Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’nin 7/ı maddesinde yer alan “Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek” düzenlemesi olduğu, Tebliğ kapsamında yapılacak sertifikalandırma sonucunda kazanılacak unvanın Avrupa Birliği Genel Veri Koruma Tüzüğünde düzenlenen Data Protection Officer (DPO) unvanı ile benzer işleve sahip olacağı algısının yanlış olduğu, Avrupa Birliği Genel Veri Koruma Tüzüğünde veri sorumluları ve veri işleyenlerin veri koruma mevzuatı kapsamındaki yükümlülüklerini gereği gibi yerine getirebilmek için bu konuda yetkinliğe sahip bir kişiyi DPO olarak veri koruma mevzuatına uyum ile ilgili süreçlere dahil etme zorunlulukları olduğu, DPO olabilmek için bir sertifikasyon mekanizması kapsamında sertifika sahibi olunması zorunluluğu bulunmadığı, 6698 sayılı Kanun'da ise veri sorumluları ve veri işleyenler bakımından Kanuna ve ikincil mevzuata uyum çalışmaları kapsamında zorunlu olarak herhangi bir kişiyi istihdam etme veya hizmet alımı zorunluluğuna ilişkin düzenleme bulunmadığı, dava konusu Tebliğ ile düzenleme altına alınan sertifikasyon mekanizmasının da DPO’dan tamamen farklılık arz ettiği ve gönüllülük esasına dayandığı, veri sorumlusu ve veri işleyen tarafından veri koruma görevlisi istihdam edilmesinin veya bu kişilerden hizmet satın alınmasının tamamen isteğe bağlı olduğu, veri koruma görevlisinin yalnızca kişisel verilerin korunması mevzuatı açısında yeterli bilgiye sahip olduğu kabul edilen ve bu kapsamda yetkinliği gösterir bir sertifikaya sahip olan kişi olduğu, Tebliğ ile veri koruma görevlilerine herhangi bir yetki verilmediği, görev tanımı yapılmadığı, Tebliğde, veri koruma görevlisi unvanına sahip olacak kişilerin Avrupa Birliği Genel Veri Tüzüğünde düzenlenen DPO'ların ülkemiz hukukundaki karşılığı olarak düzenlenmediği, uyum çalışmalarında veri sorumlusu veya veri işleyeni bünyesinde faaliyet gösterebilmek için veri koruma görevlisi unvanını taşıma zorunluluğu bulunmadığı, davacının iddia ettiği gibi Avrupa Birliği Genel Veri Tüzüğünde yer alan DPO'ya benzer görev ve yetkileri haiz veri koruma görevlisi şeklinde 6698 sayılı Kanun'da yer almayan yeni bir unvanın ihdas edilmesinin söz konusu olmadığı, 6698 sayılı Kanun'un amacının, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, kişisel verilerin işleme şartlarının ve veri sorumlusunun yükümlülüklerinin, bu yükümlülüklere uyulmaması halinde uygulanacak idari yaptırımın düzenlendiği, veri sorumlusunun/veri işleyenenin, veri koruma görevlisi istihdam etmesi halinde Kanun'a ve mevzuata uyma zorunluluğunun ortadan kalkmadığı, veri sorumlusunun/veri işleyenin, veri koruma görevlisinden yardım almasının kendi inisiyatiflerinde olduğu, alınan bu yardımın danışmanlık olarak kabul edilemeyeceği, kişisel verilerin korunması mevzuatı kapsamında yeterli bilgiye sahip olduğu anlamına geleceği, veri koruma görevlisinden yardım alan veri sorumlusu/veri işleyenin, edinilen bilgilerin uygulamaya konulması noktasında bu bilgilerin doğruluğunu ve hukuka uygunluğunu her daim gözetmesi gerektiği, veri güvenliğine ilişkin ilkeler ile usul ve esaslara uyumu sağlayacak uygulamalar, hukuk alanında ve yazılım, bilgisayar teknolojileri, iktisadi ve idari bilimler veya veri sorumlusunun faaliyet gösterdiği diğer alanlarda bilgi sahibi olunması suretiyle hayata geçirilebileceği, hukuki analiz, inceleme ve değerlendirmelere ilave olarak diğer uzmanlık alanlarına yönelik de çalışmaların yapılması gerektiği, uluslararası alanda da benzer bir yaklaşımın benimsendiği, alan sınırlaması olmaksızın 4 yıllık lisans eğitimi veren fakültelerden mezun olan herkese Tebliğin gerekliliklerini yerine getirmek kaydıyla veri koruma görevlisi unvanının tanınmasının Avukatlık Kanunu’nun 35. maddesine aykırılık teşkil etmediği, Kişisel Verileri Koruma Kurumu bünyesinde istihdam edilen kişisel verileri koruma uzmanlarının da çeşitli fakültelerden mezun olanlar arasından atanmasının mümkün olduğu, kişisel verilerin korunması hukukunun multidisipliner bir alan olduğu belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ: ...
DÜŞÜNCESİ : Dava konusu düzenlemelerin iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI: ...
DÜŞÜNCESİ :Dava, 6.12.2021 tarih ve 31681 sayılı Resmi Gazetede yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğin ve 25.11.2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının iptali istemiyle açılmıştır.
Dava konusu düzenlemenin 1136 sayılı Avukatlık Kanunun 35'inci maddesine aykırı olduğu avukatlık mesleğinin hak ve menfaatlerini ilgilendirdiği iddialarıyla açılan davada davalı idarenin davacının menfaat ihlali şartının gerçekleşmediği iddiası yerinde görülmeyerek, işin esasının incelenmesine geçilmiştir.
T.C. Anayasasının 20'nci maddesinin 3'üncü fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmü yer almıştır.
Öte yandan, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla yürürlüğe konulan 6698 sayılı Kişisel Verilerin Korunması Kanununun 3'üncü maddesinde, bu Kanunun uygulanmasında, "açık rıza" ibaresinin, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı; "kişisel verilerin işlenmesi" ibaresinin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi; "veri sorumlusu" ibaresinin, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade edeceği belirtilmiş; aynı Kanunun 4'üncü maddesinde de, kişiler verilerin işlenmesi ile ilgili genel ilkelere yer verilmiş; 12'nci maddesinde de, veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri sayılmıştır.
6698 sayılı Kanunla verilen görevleri yerine getirmek üzere kurulan Kişisel Verileri Koruma Kurumunun karar organı olan Kişisel Verileri Koruma Kurulu, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak, özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, görev ve yetkisine sahiptir.
6698 sayılı Kanunun 25'inci maddesinin 5'inci fıkrasına dayanılarak hazırlanan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7'nci maddesinde de, Kişisel Verileri Koruma Kurulunun görev ve yetkileri
belirlenmiş, 18'inci maddesinde ise, Kurumun hizmet birimleri arasında yer alan Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığının, kişisel verilerin korunması ile ilgili standartların belirlenmesi, yetkilendirme ve sertifika işlemlerini yürütmekle görevli olduğu belirtilmiştir.
Yukarıda yer verilen mevzuat hükümlerine dayanılarak (TS) EN ISO/IEC 17024 standarda uygun olarak Veri Koruma Görevlisi Programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla Personel Sertifikasyon Mekanizmasına ilişkin Usul ve Esaslar Hakkında Tebliğ 6.12.2021 tarih ve 31681 sayılı Resmi Gazetede yayımlanarak aynı gün yürürlüğe girmiştir. Bu kapsamda Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu'na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili esasları belirlemek üzere Veri Koruma Görevlisi Belgelendirme Programı düzenlemiştir.
6698 sayılı Kanunla kişisel verilerin hangi kurula tabi olarak, hangi şartta işlenebileceği hususları düzenlenmiş, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları getirilerek bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi sağlanmış; kişisel verilerin hukuka aykırı olarak işlenmesini, erişimini önleme ve bunların hukuka uygun olarak muhafazasının sağlama sorumluluğunu kapsayan veri güvenliğini koruma görevi veri sorumlusuna verilmiştir.
Dava konusu tebliğ ile kişisel verilerin korunması amacıyla "Veri Koruma Görevlisi" meslek tanımı yapılarak, veri koruma görevlisinin istihdamı öngörülmekte ve bunu sağlamak üzere sertifikasyon, sınav ve eğitim programı düzenlenmektedir.Veri sorumlularının kişisel verilerin kaydedilmesinden veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu, veri güvenliği sağlama hususundaki yetki ve sorumluluklarına ilişkin düzenlemeler, birlikte değerlendiğinde, veri sorumlularının görev alanına hangi katkıyı sağladığı anlaşılmayan veri koruma görevlisi meslek tanımının görev, yetki ve sorumluluk alanının üst norm ile belirlenmesi gerekirken soyut ve belirsiz bir kavram olarak tebliğ ile düzenlenmesinde ve buna dayanılarak hazırlanan Veri Koruma Görevlisi Belgelendirme programında "hukuki güvenlik" ve "hukuki belirlilik" ilkelerine uyarlık bulunmamaktadır.
Diğer yandan; 25/05/2018 tarihinde yürürlüğe giren Avrupa Birliği Veri Koruma Tüzüğü (GVKT) de veri Koruma Görevlisi kavramının (Data Proceksion Officer) olarak düzenleme altına alındığı, ülkemizde kişisel verilerin korunması alanındaki mevzuatın Avrupa Birliği standartları ile uyumlu hale getirilmesi amacıyla gerçek kişilerin kişisel verilerinin işlenmesi ile korunmasına ilişkin kurallar ile kişisel verilerin serbest dolaşımına ilişkin kuralların belirlendiği adı geçen tüzükle uyumun sağlanmaya çalışıldığının anlaşıldığı, (GVKT) de veri kişisel verilerin işlemesine ilişkin amaç ve yöntemleri belirlemede yetkinliği olan koruma hukuku ve uygulamalarına ilişkin uzmanlık bilgisine sahip olan, birlik ve üye devletlerin diğer veri koruma hükümlerine uyumunun izlenmesi gibi görev, yetki ve sorumluluk alanı belirlenen Veri Koruma Görevlisi'nin dava konusu düzenlemede ilgili tüzükte yer alan Veri Koruma Görevlisi tanımı kapsamında bulunmadığı da dikkate alındığında, düzenlemenin Avrupa Birliği mevzuatı ile uyumlu olmadığı da görüldüğünden kamu yararına uygunluk görülmemiştir.
Veri Koruma Görevlisi Belgelendirme Programı incelendiğinde veri koruma görevlisi olabilmek için herhangi bir üniversitenin dört yıllık lisans eğitim veren fakültelerinden mezun olmak yeterli iken, uluslararası mevzuatta dahil veri koruma mevzuatına hakim olacağının kabul edildiği sertifikasyon süreci ile bu yetkinliğin sağlanması mümkün görülmediğinde, kendi içerisindeki çelişki nedeniyle de hukuka uyarlık görülmemiştir.
Açıklanan nedenlerle, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile 25.11.2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararıyla yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının iptali yönünde karar verilmesinin uygun olduğu düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE :
MADDİ OLAY:
Davacı tarafından, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının ve 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının tamamının iptali istemiyle bakılmakta olan davanın açıldığı anlaşılmıştır.

USUL YÖNÜNDEN:
Davalı idare tarafından; davacı Baro'nun dava konusu Tebliğin ve Programın iptali istemiyle dava açma ehliyetinin bulunmadığı ileri sürülmüştür.
1136 sayılı Avukatlık Kanunu'nun 76. maddesinde; Baroların, avukatlık mesleğini geliştirmek, meslek mensuplarının birbirleri ve iş sahipleri ile olan ilişkilerinde dürüstlüğü ve güveni sağlamak, meslek düzenini, ahlâkını, saygınlığını, hukukun üstünlüğünü, insan haklarını savunmak ve korumak, avukatların ortak ihtiyaçlarını karşılamak amacıyla tüm çalışmaları yürüten, tüzel kişiliği bulunan, çalışmalarını demokratik ilkelere göre sürdüren kamu kurumu niteliğinde meslek kuruluşları olduğu belirtilmiştir.
Dava konusu Tebliğ ile Belgelendirme Programında, bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından,"veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) ve kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden kazanılacak "veri koruma görevlisi" unvanına dair usul ve esaslar yer almaktadır.
Davacı tarafından, dava konusu düzenlemelerin; Avukatlık Kanunu'nun 35. maddesinde düzenlenen avukatın tekel hakkına aykırılık teşkil ettiği, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin dava konusu Tebliğ ve Program ile hukukçu olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu savıyla açılan davanın, bu özelliği itibarıyla Baro üyelerinin ortak çıkarlarının ve meslek düzeninin korunması ile ilgili bulunduğu açıktır.
Bu nedenle, hukukun üstünlüğünü ve üyelerinin ortak çıkarlarını koruma görevi ve yükümlülüğü bulunan davacı Baro Başkanlığının, dava konusu düzenlemelerin değinilen niteliği gereği dava açma ehliyeti bulunmakta olup, davalı idarenin aksi yöndeki itirazının yerinde olmadığı sonucuna varılmaktadır.

ESAS YÖNÜNDEN;
İlgili Mevzuat:
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1.maddesinde, "(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."; "Tanımlar" başlıklı 3.maddesinde, "(1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."; "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir."; "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesinde, "(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir."; "Veri Sorumluları Sicili" başlıklı 16. maddesinin 1. fıkrasında, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur."; 2. fıkrasında, "(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir."; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek..." düzenlemeleri yer almıştır.
Anılan Kanuna dayanılarak hazırlanan ve 30/12/2017 tarihli ve 30286 sayılı Resmi Gazete'de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin "Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri " başlıklı 11. maddesinde, " (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur... (5) Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir." düzenlemesi yer almaktadır.
06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır."; "Tanımlar" başlıklı 4. maddesinin 1. fıkrasında, "(1) Bu Tebliğin uygulanmasında;...ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,...n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,... ifade eder."; "Veri koruma görevlisi" başlıklı 6. maddesinde, "(1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar. (2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir. (3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir." düzenlemesi yer almıştır.
Kişisel Verileri Koruma Kurulu'nun 25/11/2021 tarih ve 2021/1178 sayılı kararıyla yürürlüğe konulan ve davalı Kurumun resmi internet sayfasında 07/12/2021 tarihinde yayımlanan dava konusu "Veri Koruma Görevlisi Belgelendirme Programı"nın "Amaç" başlıklı 1. maddesinde, "Bu programın amacı, 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında belgelendirilmek üzere TS EN ISO/IEC 17024 standardına göre akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu’na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesidir."; "Kapsam" başlıklı 2. maddesinde, "Bu program, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ çerçevesinde yapılacak belgelendirme faaliyetlerini kapsar.
"; "Tanımlar" başlıklı 3. maddesinde, "...Veri Koruma Görevlisi (VKG): Sınavda başarılı olarak Veri Koruma Görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi
ifade eder."; "İş ve Görev Tanımı" başlıklı 4. maddesinde, "Katılım belgesine sahip kişilerden sınavda başarılı olanlar Veri Koruma Görevlisi sertifikası almaya hak kazanırlar. Veri Koruma Görevlilerinin sertifikalandırıldıkları işbu program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir."; "Öğrenme Çıktıları" başlıklı 6.5. maddesinde, "6.5.1. Kanunun amacını ve kapsamı bilir. 6.5.2. Kanunda yer alan temel kavramlara hâkimdir. 6.5.3. Kanunda yer alan genel/temel ilkeler ile kişisel veri işleme şartlarına hâkimdir. 6.5.4. Kişisel verilerin korunması alanında uluslararası mevzuatı bilir. 6.5.5. Silme, yok etme ve anonim hale getirme kavramlarının neler olduğunu ve hangi durumlarda uygulanması gerektiğini bilir. 6.5.6. Kişisel verilerin yurt içinde ve yurt dışına aktarım konusuna hâkimdir. 6.5.7. Aydınlatma yükümlülüğüne dair bilgi sahibidir. 6.5.8. İlgili kişinin hakları, veri sorumlusuna başvuru ve Kurula şikâyet konularına hâkimdir. 6.5.9. Veri güvenliğine ilişkin teknik ve idari tedbirler ve veri ihlal bildirim süreçleri hakkında neler yapılması gerektiğini bilir. 6.5.10. Veri Sorumluları Siciline Kayıt noktasında bilgi sahibidir. 6.5.11. Yaptırımlar, Kurumun yapısı, Kurul, tam ve kısmi istisnalar hakkında bilgi sahibidir." düzenlemesine yer verilmiştir.

HUKUKİ DEĞERLENDİRME :
İdare Hukukunda "yetki", idareye Anayasa ve yasalarla tanınmış olan karar alma gücünü ifade etmektedir. İdari işlemin en temel unsurunu oluşturan "yetki", yasayla hangi makama verilmiş ise ancak onun tarafından kullanılabilir; ilke olarak "yetkisizlik kural, yetkili olma istisna"dır.
Anayasanın 123. maddesi uyarınca kuruluş ve görevleri yasayla düzenlenmek durumunda olan idare, kendi düzenleme yetkisini de yasalar çerçevesinde ve yasalara uygun olarak kullanmak zorundadır. Bu ilke, Anayasanın 124. maddesinde, "Cumhurbaşkanı, bakanlıklar ve kamu tüzelkişileri, kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla, yönetmelikler çıkarabilirler." hükmüyle ifade edilmiştir. Esasen bu husus, idarenin ikincil (tali) düzenleme yetkisinin doğal sonucudur.
Normlar hiyerarşisi kuramına göre, hukuk düzeni, farklı kademede yer alan Anayasa, kanun, yönetmelik ve diğer düzenleyici işlemlerden oluşan birçok normu içermekte ve her norm geçerliliğini bir üst basamakta yer alan normdan almaktadır. Hukukun genel ilkeleri arasında yer alan normlar hiyerarşisi gereği, kanundan sonra gelen yönetmelik, genelge, tebliğ, talimat gibi düzenlemelerin ancak kanunda verilmiş olan hakkın kullanılmasının açıklanması ile ilgili olacağı, bu metinlerde kanun ile verilmiş olan hakkı genişletici veya daraltıcı mahiyette hükümlere yer verilemeyeceği kabul edilmektedir.
Buna göre, idari teşkilat yapısı içinde yer alan Bakanlıklar ile diğer kamu kurum ve kuruluşları, görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasada belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahiptir.
Bir başka ifadeyle; tebliğ, genelge ve yönerge gibi düzenleyici işlemler; üst normların uygulanmasını göstermek amacıyla ve onlara aykırı hükümler içermemek şartıyla, yine üst normlarda gösterilen usul ve yöntemleri açıklayıcı hükümler taşıyan, yeni bir yöntem ve usul getirmeyen; dayanağı olan mevzuatta yer alan hükümler dışında yeni bir düzenleme içermeyen adsız düzenleyici işlemlerdir.
Uyuşmazlık; amacı, kapsamı, dayanağı ve düzenleme alanına yukarıda yer verilen Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'i ve Veri Koruma Görevlisi Belgelendirme Programı'nı hazırlama, düzenleme ve yürürlüğe koyma konusunda yetki kullanan davalı idarenin bu yetkisinin yasal dayanağının bulunup bulunmadığı noktasındadır.
Dava konusu Tebliğ ile Belgelendirme Programı, bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından, kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri, Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen yetkili personel belgelendirme kuruluşu tarafından yapılacak sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden "veri koruma görevlisi" unvanını kullanmaya hak kazanacaklarını öngörmektedir. Dolayısıyla, her iki dava konusu düzenlemede de "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esaslar yer almaktadır.
Oysa, dava konusu düzenlemelerin dayanağı olan 6698 sayılı Kanun'da "veri işleyen" ve "veri sorumlusu" dışında ayrı bir kavram olduğu anlaşılan "veri koruma görevlisi" tanımına yer verilmediği gibi, aynı Kanun'un 22. maddesinde "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna da bir görev verilmediği, anılan Kanun maddesinde yer alan "veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak" şeklindeki bendin, veri işleyen ile veri sorumlusunun "veri koruma görevlisi" istihdamı ya da bunlardan hizmet alımı mecburiyetinin olmaması ve Kanun'da yer almayan veri koruma görevlisinin veri güvenliğine ilişkin bir yükümlülüğünün de bulunmaması karşısında, dava konusu düzenlemelerin yasal dayanağını teşkil edemeyeceği, yine "veri koruma görevlisi"nin veri sorumlusu ya da temsilcisinden farklı bir gerçek kişi olması nedeniyle, dava konusu düzenlemelerin, anılan maddede yer alan "veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak" şeklindeki bendin de kapsamına girdiğinden söz edilemeyeceği, davalı idarece dava konusu düzenlemelerin dayanağı olarak gösterilen "Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak" bendinin ise, Kanunda "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna bir görev verilmemesi ve konunun Kurumun işleyişine de ilişkin bulunmaması karşısında, yine dayanak olarak kabulüne hukuken olanak bulunmadığı sonucuna varılmaktadır.
Bu haliyle, dayanağı 6698 sayılı Kanun'da düzenlenmemiş olan ve davalı Kuruma verilen görev ve yetkiler kapsamında da yer almayan "veri koruma görevlisi" statüsünü ihdas ederek "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esasları kurallaştıran, bu suretle dayanağı Kanun'u, normlar hiyerarşisi, kanuni idare ve idarenin düzenleme yetkisinin taliliği prensiplerini ihlal eden dava konusu düzenlemelerde hukuka uyarlık görülmemektedir.
Öte yandan, davalı idarenin savunma dilekçesinde de ifade edildiği üzere, dava konusu düzenlemelerde "veri koruma görevlisi"nin açık ve net bir görev tanımı yapılmadığından, hukuki belirlilik ilkesinin de ihlal edildiği anlaşılmaktadır.
Bu itibarla, hukuki dayanaktan yoksun bulunan ve hukuki belirsizlik yaratan dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile Veri Koruma Görevlisi Belgelendirme Programı'nın iptaline karar verilmesi gerekmektedir.

KARAR SONUCU:
Açıklanan nedenlerle;
1\. 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının İPTALİNE,
2\. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davalı idareden alınarak davacıya verilmesine,
3\. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
4\. Bu kararın tebliğ tarihini izleyen 30 (otuz gün) içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 15/04/2025 tarihinde oy çokluğuyla karar verildi.


(X) KARŞI OY :
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmüne; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. ... e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. ... l) Kanunlarla verilen diğer görevleri yerine getirmek." hükmüne yer verilmiştir.
Kişisel Verileri Koruma Kurumu'nun, kendi görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasa'nın 124. maddesinde belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahip bulunduğu tartışmasızdır.
6698 sayılı Kanun'un 1. maddesinde öngörülen amaç ile Kanun'un 22. maddesiyle Kurula verilen görev ve yetkiler birlikte değerlendirildiğinde; dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in ve Veri Koruma Görevlisi Belgelendirme Programı'nın, anılan Kanunla davalı idareye tanınan kişisel verilerin korunmasına yönelik regülasyon görev ve yetkisi kapsamında düzenlendiği, dolayısıyla dava konusu işlemlerde yetki, şekil ve konu unsuru yönüyle hukuka aykırılık bulunmadığı sonucuna varılmaktadır.
Diğer taraftan, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, dava konusu düzenlemelerin; Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek ve verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyon sağlamak amacıyla çıkarıldığı anlaşıldığından, düzenlemelerde amaç ve sebep unsuru yönleriyle de hukuka aykırılık görülmemektedir.
Bu durumda, davalı idarenin hazırlayıp yürürlüğe koyma yetkisini haiz olduğu dava konusu düzenleyici işlemlere karşı açılan davanın reddine karar verilmesi gerektiği görüşüyle aksi yöndeki çoğunluk kararına katılmıyorum.