Esas No: 2016/125
Karar No: 2017/143
Karar Tarihi: 28/09/2017
AYM 2016/125 Esas 2017/143 Karar Sayılı Norm Denetimi İlamı
Esas Sayısı : 2016/125
Karar Sayısı : 2017/143
Karar Tarihi : 28.9.2017
R.G. Tarih – Sayı : 23.1.2018 – 30310
İPTAL DAVASINI AÇAN: Türkiye Büyük Millet Meclisi üyeleri Engin ALTAY, Levent GÖK, Özgür ÖZEL ile birlikte 124 milletvekili
İPTAL DAVASININ KONUSU: 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun;
A. 4. maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “…veya işlendikleri amaç için gerekli olan…” ibaresinin,
B. 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f) bentlerinin,
C. 6. maddesinin;
1. (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık ve kıyafeti…” ibarelerinin,
2. (3) numaralı fıkrasının,
D. 7. maddesinin (2) numaralı fıkrasının,
E. 8. maddesinin (3) numaralı fıkrasının,
F. 9. maddesinin (6) numaralı fıkrasının,
G. 13. maddesinin (2) numaralı fıkrasının ikinci cümlesinin,
H. 15. maddesinin (3) numaralı fıkrasında yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresinin,
I. 16. maddesinin (2) numaralı fıkrasının ikinci cümlesinin,
İ. 24. maddesinin (3) numaralı fıkrasının (b) bendinde yer alan “…Kurulca gerekli görülenlerin…” ibaresinin,
J. 28. maddesinin (1) numaralı fıkrasının (a) ve (ç) bentlerinin,
K. 30. maddesinin (7) numaralı fıkrası ile değiştirilen 11.10.2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesinin,
Anayasa’nın 2., 5., 10., 13., 17., 20., 24., 25., 41., 56. ve 90. maddelerine aykırılığı ileri sürülerek iptallerine ve yürürlüklerinin durdurulmasına karar verilmesi talebidir.
I. İPTALİ İSTENEN KANUN HÜKÜMLERİ
İptali istenen kuralların yer aldığı 6698 sayılı Kanun’un;
1. 4. maddesi şöyledir:
“Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
2. 5. maddesi şöyledir:
“Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
3. 6. maddesi şöyledir:
“Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebiveya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
4. 7. maddesi şöyledir:
“Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”
5. 8. maddesi şöyledir:
“Kişisel verilerin aktarılması
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
6. 9. maddesi şöyledir:
“Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
7. 13. maddesi şöyledir:
“Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.”
8. 15. maddesi şöyledir:
“Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.”
9. 16. maddesi şöyledir:
“Veri Sorumluları Sicili
MADDE 16- (1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
b) Kişisel verilerin hangi amaçla işleneceği.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.”
10. 24. maddesi şöyledir:
“Başkan
MADDE 24- (1) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.
(2) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
(3) Başkanın görevleri şunlardır:
a) Kurul toplantılarını idare etmek.
b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek.
c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.
ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.
d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.
e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.
f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.
g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.
ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek.
h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.
(4) Kurum Başkanının yokluğunda İkinci Başkan, Başkana vekalet eder.”
11. 28. maddesi şöyledir:
“İstisnalar
MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.”
12. 30. maddesi şöyledir:
“Değiştirilen ve eklenen hükümler
MADDE 30- (1) (10/12/2003 tarihli ve 5018 sayılı Kanun ile ilgili olup yerine işlenmiştir.)
(2) ila (5) - (26/9/2004 tarihli ve 5237 sayılı Kanun ile ilgili olup yerine işlenmiştir.)
(6) (7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile ilgili olup yerine işlenmiştir.)
(7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir.
‘MADDE 47- (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.
(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.’”
II. İLK İNCELEME
1. Anayasa Mahkemesi İçtüzüğü hükümleri uyarınca Zühtü ARSLAN, Burhan ÜSTÜN, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ, Osman Alifeyyaz PAKSÜT, Recep KÖMÜRCÜ, Alparslan ALTAN, Nuri NECİPOĞLU, Hicabi DURSUN, Celal Mümtaz AKINCI, Erdal TERCAN, Muammer TOPAL, M. Emin KUZ, Hasan Tahsin GÖKCAN, Kadir ÖZKAYA ve Rıdvan GÜLEÇ’in katılımlarıyla 22.6.2016 tarihinde yapılan ilk inceleme toplantısında dosyada eksiklik bulunmadığından işin esasının incelenmesine, yürürlüğü durdurma talebinin esas inceleme aşamasında karara bağlanmasına OYBİRLİĞİYLE karar verilmiştir.
III. ESASIN İNCELENMESİ
2. Dava dilekçesi ve ekleri, Raportör Berrak YILMAZ tarafından hazırlanan işin esasına ilişkin rapor, dava konusu kanun hükümleri, dayanılan ve ilgili görülen Anayasa kuralları ve bunların gerekçeleri ile diğer yasama belgeleri okunup incelendikten sonra gereği görüşülüp düşünüldü:
A. Kanun’un 4. Maddesinin (2) Numaralı Fıkrasının (d) Bendinde Yer Alan “…veya işlendikleri amaç için gerekli olan…” İbaresinin İncelenmesi
1. İptal Talebinin Gerekçesi
3. Dava dilekçesinde özetle, dava konusu kuralın yer aldığı maddenin esas itibarıyla kişisel verilerin işlenmesindeki güvenceleri düzenlediği, bu güvencelerden en önemlisinin kişisel verilerin muhafaza süresi olduğu, işlendiği amaç için gerekli olan süre şeklindeki dava konusu kuralın ise belirsiz, subjektif, geniş ve yorumlayana göre değişebilecek nitelikte olduğundan kişisel verileri işleyen gerçek veya tüzel kişilerin ne kadar süre ile kişisel verileri muhafaza edebileceğinin belirli olmadığı, kişilerin hukuk güvenliğini tehdit ettiği ve Avrupa Konseyi tarafından hazırlanarak 1981 tarihinde imzaya açılan 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme’de (108 sayılı Sözleşme) yer alan esaslarla uyumlu olmadığı belirtilerek kuralın Anayasa’nın 2. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
4. 6216 sayılı Anayasa Mahkemesinin Kuruluşu ve Yargılama Usulleri Hakkında Kanun’un 43. maddesi uyarınca kural, ilgisi nedeniyle Anayasa’nın 20. maddesi yönünden de incelenmiştir.
5. Dava konusu kuralın yer aldığı fıkrada, kişisel verilerin işlenmesinde uyulması zorunlu ilkeler düzenlenmektedir. Fıkranın (d) bendinde bu ilkelerden biri olarak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi öngörülmektedir. Fıkrada yer alan “…veya işlendikleri amaç için gerekli olan …” ibaresi dava konusu kuralı oluşturmaktadır.
6. Anayasa’nın 2. maddesinde belirtilen hukuk devleti; eylem ve işlemleri hukuka uygun, insan haklarına saygılı, bu hak ve özgürlükleri koruyup güçlendiren, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek sürdüren, Anayasa’ya aykırı durum ve tutumlardan kaçınan, Anayasa ve hukukun üstün kurallarıyla kendini bağlı sayan, yargı denetimine açık olan devlettir.
7. Hukuk devletinin temel ilkelerinden biri de “belirlilik”tir. Bu ilkeye göre yasal düzenlemelerin hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir olması, ayrıca kamu otoritelerinin keyfî uygulamalarına karşı koruyucu önlem içermesi gereklidir. Belirlilik ilkesi, hukuksal güvenlikle bağlantılı olup bu ilke gereği birey hangi somut eylem ve olguya hangi hukuksal yaptırımın veya sonucun bağlandığını, bunların hangi müdahale yetkisini doğurduğunu bilmelidir. Birey ancak bu durumda kendisine düşen yükümlülükleri öngörebilir ve davranışlarını belirler. Hukuk güvenliği; normların öngörülebilir olmasını, bireylerin tüm eylem ve işlemlerinde devlete güven duyabilmesini, devletin de yasal düzenlemelerde bu güven duygusunu zedeleyici yöntemlerden kaçınmasını gerekli kılar.
8. Anayasa’nın 20. maddesinin birinci fıkrasında, “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” denilerek özel hayatın gizliliği hakkı güvence altına alınmıştır. Maddenin üçüncü fıkrasında ise herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı ifade edilmiştir. Maddede ayrıca kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir.
9. 6698 sayılı Kanun’un 3. maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Anayasa Mahkemesinin kararlarında da belirtildiği üzere ”... Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir (E. 2013/122, K. 2014/74, 9.4.2014; E. 2014/149, K. 2014/151, 2.10.2014; E. 2013/84, K. 2014/183, 4.12.2014; E. 2014/74, K. 2014/201, 25.12.2014; E. 2014/180, K. 2015/30, 19.3.2015; E. 2015/32, K. 2015/102, 12.11.2015).
10. Kişisel veri kavramı tarafı olduğumuz Avrupa İnsan Hakları Sözleşmesi’nde (AİHS) açık bir şekilde düzenlenmemekle birlikte, AİHS’nin uygulanmasına ilişkin Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarında 108 sayılı Sözleşme’ye atıfta bulunulmakta ve bu verilerin özel yaşamın gizliliğinin bir parçası olduğu kabul edilmektedir. AİHM kararlarında kişilere ait “görüntü”, “fotoğraf”, “parmak izi”, “DNA profili”, “hücre örnekleri”, “ev adresi” ve “yaş, doğum tarihi ve fiziksel özellikler” kişisel veri kapsamında değerlendirilmektedir (Peck/Birleşik Krallık, B. No: 44647/98, 28.01.2003; Sciacca/İtalya, B. No: 50774/99, 11.01.2005; S. ve Marper/Birleşik Krallık(Büyük Daire), B. No: 30562/04, 30566/04, 04.12.2008; Alkaya/Türkiye, B. No: 42811/06, 09.10.2012; K.U./Finlandiya, B. No: 2872/02, 02.12.2008).
11. Kişisel verilerin korunmasında hâkim olan temel ilkeler dava konusu kuralın da yer aldığı 6698 sayılı Kanun’un 4. maddesinde belirtilmiştir. Maddede, kişisel verilerin işlenmesinde uyulması zorunlu bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayılmıştır.
12. 108 sayılı Sözleşme’nin verilerin niteliğini düzenleyen 5. maddesinin (e) bendinde de otomatik işleme konu olan kişisel verilerin “Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliklerini belirlemeye imkân veren bir biçimde” saklanacağı belirtilmiştir.
13. AİHM kararlarında da kişisel verilerin gerekenden uzun süre tutulması ihlal nedeni olarak kabul edilmiştir. Mahkeme şüphelilerin parmak izi, DNA profili ve hücre örneklerinin ulusal bir veri tabanına aktarılmasına ilişkin başvuruda, kayıt altına alınabilir herhangi bir suç dolayısıyla bir kişinin parmak izi ve DNA örneklerinin belirsiz bir süre saklanmasına izin veren uygulamayı AİHS’nin 8. maddesine aykırı bulmuştur (S. ve Marper/Birleşik Krallık ((Büyük Daire), B. No: 30562/04, 30566/04, 04.12.2008).
14. Dava konusu kuralın yer aldığı madde gerekçesinde, kişisel verilerin ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesinin zorunlu olduğu, buna göre veri sorumlularının ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacağı yoksa verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebileceği, bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda o verinin silineceği veya anonim hâle getirileceği, gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacağı, veri sorumlularının Kanun’un 16. maddesi uyarınca Veri Sorumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorunda oldukları ifade edilmektedir.
15. Kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi kişisel verilerin korunmasının en önemli ilkelerinden biridir. Zira kişisel verilerin korunması hakkı, herhangi bir kişinin kendisiyle ilgili olarak toplanan kişisel verilerin toplanma amacına ulaşıldıktan sonra bilgisi dışında muhafaza edilmeyeceği veya başka bir amaç için kullanılmayacağı güvencesine sahip olması hâlinde söz konusu olabilir. Kişinin kişisel verilerinin hayatı boyunca bir yerlerde kayıtlı tutulacağını ve başka bir amaçla kullanılabileceğini düşünmesi kişisel verilerin korunması hakkını zedeler. Bu bağlamda dava konusu kuralla kanun koyucunun, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmemesi durumunda bu verilerin ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilmesi suretiyle kişisel verilerin süresiz bir şekilde muhafaza edilmesi ihtimalini ortadan kaldırmaya yönelik bir düzenleme yapmayı ve kanunda muhafaza süresi belirtilmeyen kişisel verilerle ilgili olarak kişilere güvence sağlamayı amaçladığı anlaşılmaktadır.
16. Çok geniş bir kavramı ifade eden kişisel veriler çok farklı amaçlarla ve farklı şekillerde işlenebileceğinden kanun koyucu tarafından her bir kişisel veri için önceden muhafaza edilme süresi öngörülmesi mümkün olamayabilir. Diğer taraftan 6698 sayılı Kanun’un bireylere veri sorumlusuna başvuru hakkının düzenlendiği 11. maddesine göre veri sahipleri her zaman kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme hakkına sahip olduğu gibi kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7. maddesine göre öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına da sahiptir.
17. Ayrıca 6698 sayılı Kanun’un 16. maddesine göre Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından kamuya açık olarak tutulan Veri Sorumluları Sicili’ne kişisel verileri işleyen gerçek ve tüzel kişiler tarafından veri işlenmeye başlanmadan önce bulunulması gereken kayıt başvurusunda yapılan bildirimde kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin de belirtilmesi gerekir. Kanun’un anılan hükümleri ve 108 sayılı Sözleşme’nin 5. maddesinin (e) bendindeki süreye yönelik düzenleme dikkate alındığında, muhafaza süresi mevzuatta öngörülmeyen kişisel verilerle ilgili olarak kişilere güvence sağlamaya yönelik dava konusu kuralın belirsiz ve subjektif bir niteliğe sahip olduğu söylenemez. Dolayısıyla kuralda kişisel verilerin korunmasıyla ilgili uluslararası hukukta da temel ilkelerden biri olarak kabul edilen verilerin amacın gerektirdiğinden daha uzun süre tutulmama ilkesine aykırı bir yön bulunmamaktadır.
18. Açıklanan nedenlerle kural Anayasa’nın 2. ve 20. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
19. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
B. Kanun’un 5. Maddesinin (2) Numaralı Fıkrasının (c), (ç), (e) ve (f) Bentlerinin İncelenmesi
1. İptal Taleplerinin Gerekçesi
20. Dava dilekçesinde özetle, dava konusu kuralların yer aldığı maddede kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği kuralının istisnalarının düzenlendiği, istisnaların sınırları belirlenmiş bir şekilde tadadi olarak sayılması gerektiği ancak dava konusu kurallarla istisnaların esas düzenleme hâline gelerek Kanun’un uygulanmasında açık rızanın aranmasına gerek duyulmasının neredeyse imkânsız hâle getirildiği, kişisel verilerin korunmasına ilişkin anayasal güvencenin yaşama geçirilebilmesi için bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz konusu haklarını kullanabilmelerine elverişli olması gerektiği ancak dava konusu kuralların kapsam ve sınırlarının belirsiz olduğu, özellikle “meşru menfaat” kavramının kapsamının belli olmadığı, temel hak ve özgürlüklere ilişkin sınırlamanın Anayasa’ya uygun olabilmesi için temel hakların sınırlandırılmasına ilişkin ilkelere aykırı olmaması ve bu bağlamda kamu yararı ile özel hayatın gizliliği hakkı arasında adil bir denge kurması gerektiği, dava konusu kuralların ise bireylerin özel yaşamına doğrudan bir müdahale niteliğinde olduğu, kişisel verilerin korunması hakkını ölçüsüzce sınırlandırdığı ve hakkın özüne zarar verdiği, kanun koyucunun takdir yetkisini adalet, hakkaniyet ve kamu yararı ölçütlerini göz önünde tutarak kullanması gerektiği, kuralların kamu yararı amacı taşımadığı belirtilerek Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
21. Dava konusu kuralların yer aldığı maddede kişisel verilerin işlenme şartları düzenlenmiştir. Maddenin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmış, ikinci fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hâller belirtilmiştir. Bunlar (2) numaralı fıkranın (a) bendinde, kanunlarda açıkça öngörülmesi; (b) bendinde, fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; (c) bendinde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; (ç) bendinde, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; (d) bendinde, ilgili kişinin kendisi tarafından alenileştirilmiş olması; (e) bendinde, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve (f) bendinde, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması şeklinde belirlenmiştir. Dava konusu kurallar Kanun’un 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f) bentleridir.
22. Anayasa’nın 2. maddesindeki hukuk devleti ilkesinin gereği olarak kanunlar kamu yararı amacını gerçekleştirmek üzere çıkarılmalıdır. Anayasa Mahkemesi’nin kimi kararlarında kamu yararı kavramından ne anlaşılması gerektiği ortaya konulmuştur. Buna göre kamu yararı kavramı genel bir ifadeyle bireysel, özel çıkarlardan ayrı ve bunlara üstün olan toplumsal yararı ifade etmektedir. Bu bağlamda kanun koyucu, sosyal yaşamı düzenlemek için kamu yararı amacıyla kimi kurallar koyabilir. Kamu yararı düşüncesi olmaksızın yalnız özel çıkarlar için veya yalnız belli kişilerin yararına olarak kanun hükmü konulamaz. Böyle bir durumun açık bir biçimde ve kesin olarak saptanması hâlinde söz konusu kanun hükmü Anayasa’nın 2. maddesine aykırı düşer. Açıklanan ayrık hâl dışında bir kanun hükmünün ülke gereksinimlerine uygun olup olmadığı, hangi araç ve yöntemlerle kamu yararının sağlanabileceği bir siyasi tercih sorunu olarak kanun koyucunun takdirinde olduğundan bu kapsamda kamu yararı değerlendirmesi yapmak anayasa yargısıyla bağdaşmaz.
23. Anayasa’nın 20. maddesinin birinci fıkrasında özel hayatın gizliliği hakkı güvence altına alınmıştır. Ancak aynı maddenin ikinci fıkrasında millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biriyle özel hayatın gizliliğinin sınırlanmasına olanak tanınmıştır. Anayasa Mahkemesi kararlarında da vurgulandığı üzere özel sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün doğasından kaynaklanan sınırlarının bulunduğu, ayrıca Anayasa"nın başka maddelerinde yer alan hak ve özgürlükler ile devlete yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği kabul edilmektedir.
24. Anayasa’nın 20. maddesinin üçüncü fıkrasında ise “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü yer almaktadır.
25. 108 sayılı Sözleşme’nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği belirtilmektedir.
26. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesinde“Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” denilmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve kişisel verilerin korunması hakları, yalnızca kanunla ve demokratik bir toplumda gerekli olduğu ölçüde sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.
27. Temel hak ve özgürlükler özlerine dokunulmaksızın yalnızca Anayasa’da öngörülen sebeplerle ve ancak kanunla sınırlanabilir. Dokunulamayacak “öz”, her temel hak ve özgürlük açısından farklılık göstermekle birlikte kanunla getirilen sınırlamanın hakkın özüne dokunmadığının kabulü için temel hakların kullanılmasını ciddi surette güçleştirip amacına ulaşmasına engel olmaması ve etkisini ortadan kaldırıcı bir nitelik taşımaması gerekir.
28. Temel hak ve özgürlüklerin özlerine dokunulmaksızın yapılan sınırlamaların ise demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine aykırı olamayacağı belirtilmiştir. Öze dokunma yasağını ihlal etmeyen müdahaleler yönünden gözetilmesi öngörülen “demokratik toplum düzeninin gerekleri” kavramı, öncelikle ilgili hak yönünden getirilen sınırlamaların zorunlu ve istisnai tedbir niteliğinde olmalarını gerektirmektedir. “Demokratik toplum düzeninin gerekleri”nden olma, bir sınırlamanın demokratik bir toplumda zorlayıcı bir toplumsal ihtiyacın karşılanması amacına yönelik olmasını ifade etmektedir.
29. Anayasa’nın 13. maddesinde ifade edilen “ölçülülük ilkesi”, temel hak ve özgürlüklerin sınırlandırılmasına ilişkin başvurularda dikkate alınması gereken bir diğer ilkedir. Demokratik toplum düzeninin gerekleri ve ölçülülük ilkeleri, iki ayrı kriter olarak düzenlenmiş olmakla birlikte bu iki kriter arasında sıkı bir ilişki vardır. Temel hak ve özgürlüklere yönelik herhangi bir sınırlamanın başvurulabilecek en son çare ya da alınabilecek en son önlem olarak temel haklara en az müdahaleye olanak veren ölçülü bir sınırlama niteliğinde olup olmadığının incelenmesi gerekir.
30. Demokratik toplum kişilerin temel hak ve özgürlüklerinin en geniş şekilde güvence altına alındığı bir düzeni gerektirir. Demokrasilerde devlete düşen görev temel hak ve özgürlükleri korumak ve geliştirmek, bunların etkili şekilde kullanılmasını sağlayacak tedbirleri almaktır. Bu kapsamda devlet, özellikle temel hak ve özgürlükleri ortadan kaldıracak veya bunlara ölçüsüz müdahale teşkil edecek tutumlardan kaçınmalı ve başkalarından gelebilecek tehditlere karşı bireyleri korumalıdır.
31. Özel hayatın gizliliği ve kişisel verilerin korunması hakkı, temel hak ve özgürlükler arasında önemli bir yer alır. Özel hayatın gizliliğinin korunması, bu hayatın başkalarının gözleri önüne serilmemesi demektir. Kişinin özel hayatının, yalnız kendisi veya kendisinin bilmesini istediği kimseler tarafından bilinmesini isteme hakkı, kişinin temel haklarından biridir ve bu niteliği nedeniyle insan haklarına ilişkin beyanname ve sözleşmelerde yer almış; demokratik ülkelerin mevzuatında açıkça belirlenen istisnalar dışında devlete, topluma ve diğer kişilere karşı korunmuştur. Kişisel verilerin korunması hakkı ise özel hayatın gizliliği hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvencenin yaşama geçirilebilmesi için bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz konusu haklarını kullanabilmelerine elverişli olması gerekir. Ancak böyle bir düzenleme ile kişilerin özel hayatlarını ilgilendiren veri ve bilgilerin resmî makamların keyfî müdahalelerine karşı korunması mümkün olabilir.
32. 6698 sayılı Kanun’un 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Maddenin dava konusu kuralın yer aldığı (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
33. 6698 sayılı Kanun’un 3. maddesinde açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Madde gerekçesinde açık rızanın 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi (95/46/EC sayılı Direktif) dikkate alınarak tanımlandığı ifade edildikten sonra açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine özgürce, konuyla ilgili yeterli bilgi sahibi olarak tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerektiği ifade edilmiştir.
34. 95/46/EC sayılı Direktif’in 2. maddesinin (h) bendine göre “veri öznesinin rızası”, “kendisine dair kişisel verilerin işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan sonra alınan rızayı” ifade etmektedir. Avrupa Birliği tarafından 95/46/EC sayılı Direktif’in yerini almak üzere 2016 yılında kabul edilen ve 2018 yılında yürürlüğe girecek olan 2016/679 sayılı Genel Veri Koruma Yönetmeliği’nin 4. maddesinin (11) numaralı bendinde de veri sahibinin rızası “veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge” şeklinde tanımlanmaktadır.
35. 95/46/EC sayılı Direktif’in 7. maddesinin devamında açık rıza kuralının istisnaları düzenlenmiştir. Buna göre kişisel verilerin işlenmesi, bir sözleşme yapmadan önce veri öznesinin talebi üzerine önlem almak için ya da veri öznesinin taraf olduğu bir sözleşmenin yerine getirilmesi için gerekliyse veya işlenme denetleyicinin konusu olan bir yasal yükümlülüğe uyum için gerekirse veya işlenme, veri öznesinin hayati menfaatlerini korumak için gerekliyse veya işlenme, verilerin açıklandığı üçüncü bir şahıs veya denetleyiciye yetki veren kamu makamının uygulamasında veya kamu menfaatine yapılan bir görevin yerine getirilmesi için gerekliyse veya işlenme, bu tür menfaatlerin 1. maddenin (1) numaralı fıkrası kapsamında koruma gerektiren veri öznesinin temel hak ve özgürlükleriyle ilgili menfaatleri çiğnemesi haricinde verilerin açıklandığı üçüncü şahıs veya şahıslar tarafından ya da denetleyici tarafından takip edilen meşru menfaatlerin amaçları için gerekliyse veri öznesinin açık rızası aranmayabilecektir.
36. Dava konusu kurallarla, ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği hâllerden bir kısmı düzenlenmektedir. Buna göre ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hâller “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”; “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”; “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ile “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde öngörülmüştür.
37. Dava konusu kuralların yer aldığı madde gerekçesinde, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği hâller örnekler verilmek suretiyle detaylı olarak açıklanmıştır.
38. Fıkranın (c) bendiyle ilgili olarak madde gerekçesinde bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebileceği, örneğin yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınabileceği, bir bankayla kredi sözleşmesi yapılması sırasında bankanın o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesinin bu kapsamda değerlendirileceği belirtilmiştir.
39. Fıkranın (ç) bendiyle ilgili olarak madde gerekçesinde veri sorumlusunun, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebileceği, örneğin bir şirketin çalışanına maaş ödeyebilmesi için banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesinin bu bendin verdiği yetkiye istinaden olacağı ifade edilmiştir.
40. Fıkranın (e) bendiyle ilgili olarak madde gerekçesinde bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel verilerin işlenebileceği, bu bağlamda bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanmasının veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutmasının hukuka uygun sayılacağı belirtilmiştir.
41. Fıkranın (f) bendiyle ilgili olarak madde gerekçesinde ise ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel verilerin işlenebileceği, örneğin bir şirket sahibinin çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebileceği, burada işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almalarının veri sorumlusu statüsündeki şirket sahibinin “meşru menfaati” cümlesinden olduğu, kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerektiği açıklanmıştır.
42. Dava konusu kuralların, kişisel verilerin korunmasına yönelik bir sınırlandırma getirdiği açıktır. Dava konusu kurallarla ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu bir kısım hâller düzenlenmek suretiyle kişisel verilerin korunması hakkına müdahalede bulunulmuş ise de açık rıza olmaksızın işlenebilecek kişisel veriler, ilgilinin her türlü kişisel verisi olmayıp dava konusu kurallarda açıkça düzenlenen şartlardan birinin gerçekleşmesi durumu ile sınırlıdır. Bu bağlamda açık rıza kavramına getirilen istisnaların esas düzenleme hâline getirildiği veya açık rızaya gerek duyulmasını imkânsız hâle getirdiği söylenemez. Ayrıca dava konusu kuralların, kişisel verilerin işlenmesini, bir işlemin yapılması, bir hakkın tesisi, kullanılması veya korunması veya veri sorumlusunun meşru menfaatleri için gerekli veya zorunlu olması durumlarıyla sınırlı tuttuğu dikkate alındığında getirilen sınırlamaların kişisel verilerin korunması hakkının kullanılmasını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlamadığı da açıktır. Bir başka deyişle dava konusu kurallar, maddede belirtilen konularda gereklilik veya zorunluluk hâllerinde ortaya çıkacak bir ihtiyacın karşılanmasını sağlamaya yönelik olup hakkın özüne dokunmamaktadır. Bu nedenle değerlendirilmesi gereken hususlar söz konusu sınırlamanın demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine uygun olup olmadığıdır.
43. Kanun koyucunun kurallarla zorunlu ve gerekli olan hâllerle sınırlı olarak belirtilen konularda ilgili kişinin açık rızası olmaksızın kişisel verilerinin işlenebilmesine olanak sağlamak suretiyle toplumsal yaşamda belirtilen konularda ortaya çıkabilecek gecikme, aksaklık veya düzensizlikler ile hak ve menfaat kayıplarının engellenmesini sağlamayı amaçladığı anlaşılmaktadır. Kurallarla söz konusu verileri işleme yetkisinin amacı ve faaliyet alanı belirlenmiş ve bu şekilde kamu yararı ile özel hayatın gizliliği ve kişisel verilerin korunması hakları arasında adil bir denge kurulmuştur. Ayrıca kurallarla belirtilen konularda söz konusu kişisel verilerin işlenmesi durumunda ise 6698 sayılı Kanun’dan kaynaklanan kişisel verilerin işlenmesine ilişkin tüm ilke, yükümlülük ve sorumluluklara ilişkin düzenlemeler geçerliliğini korumaktadır. Bu durumda kişisel verilerin işlenmesinde 6698 sayılı Kanun’da yer alan kişisel verilerin korunmasıyla ilgili olarak kişisel verilerin işlenmesinde uyulması zorunlu kurallar, kişisel verilerin işlenme şartları, veri sorumlusunun aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler ile veri sorumlusuna başvuru ve Kurula şikâyete ilişkin hükümler uygulanacaktır.
44. Öte yandan 6698 sayılı Kanun’un 17. maddesinde kişisel verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. maddeleri hükümlerinin uygulanacağı ve Kanun’un 7. maddesi hükmüne aykırı olarak kişisel verileri silmeyen veya anonim hâle getirmeyenlerin 5237 sayılı Kanun’un 138. maddesine göre cezalandırılacağı hükme bağlanmıştır. 5237 sayılı Kanun’un 136. maddesi uyarınca da kişisel verileri hukuka aykırı olarak başkasına vermek, yaymak veya ele geçirmek suç olarak düzenlenmiştir. Dolayısıyla dava konusu kural kapsamında elde edilecek bilgilerin amacı dışında kullanılmasını önleyecek ve kişilerin özel hayatına dair bilgilerin ve kişisel verilerin ifşa edilmesini önleyecek yasal güvencenin sağlandığı görülmektedir.
45. Bu bağlamda Kanun’da sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer verildiği ve yeterli korumanın sağlandığı da dikkate alındığında dava konusu kurallarla getirilen sınırlamaların özel hayatın gizliliği ve kişisel verilerin korunması hakkının özünü zedelemediği gibi amaç ile araç arasında makul denge kurduğu da açıktır. Dolayısıyla anılan kurallar, demokratik toplum düzeninin gereklerine aykırılık teşkil etmediği gibi özel hayatın gizliliği ve kişisel verilerin korunması hakkına ölçüsüz bir müdahale de teşkil etmemektedir.
46. Anayasa’nın 20. maddesi, kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvenceyi kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği şeklinde belirtmiştir. Dolayısıyla bu hakkı ilgilendiren yasal düzenlemelerin çerçevesi çizilmiş; açık, anlaşılabilir, kişilerin söz konusu haklarını kullanabilmelerine elverişli ve özel hayatlarını ilgilendiren veri, bilgi ve belgelerin resmî makamların keyfî müdahalelerine karşı korunmasını mümkün hâle getirmesi gerekmektedir. Bu bağlamda dava konusu kurallar madde gerekçeleriyle birlikte değerlendirildiğinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hâllerin kapsam, amaç ve sınırlarının Kanun’da açıkça yer alması karşısında kuralların belirsiz olduğu söylenemez.
47. Ayrıca dava dilekçesinde “meşru menfaat” kavramının belirsiz olduğu ifade edilmiştir. Ancak bu kavramın çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerekçede ifade edilen temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi çerçevesinde değerlendirilmesi gereken bir kavram olarak anlaşılması gerektiği dikkate alındığında belirsiz olduğu söylenemez.
48. Açıklanan nedenlerle kurallar Anayasa’nın 2., 13. ve 20. maddelerine aykırı değildir. İptal taleplerinin reddi gerekir.
49. Kuralların Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
C. Kanun’un 6. Maddesinin (1) Numaralı Fıkrasında Yer Alan “…mezhebi...”, “…kılık ve kıyafeti,…” İbareleri ile (3) Numaralı Fıkrasının İncelenmesi
1. “…mezhebi...” ve “…kılık ve kıyafeti,…” İbarelerinin İncelenmesi
a. İptal Taleplerinin Gerekçesi
50. Dava dilekçesinde özetle, dava konusu “mezhebi” ile “kılık ve kıyafeti” ibarelerinin, Anayasa Mahkemesi kararları, 108 sayılı Sözleşme, Ekonomik Kalkınma ve İşbirliği Örgütü (OECD) tarafından yayımlanan Kişisel Verilerin Korunması Rehber İlkeler ile 95/46/EC sayılı Direktif’te tanımlanan kişisel veri kavramlarıyla uyumlu olmadığı, uluslararası insan hakları hukuku ile bağdaşmayacak nitelikte olduğu, mezhep, kılık ve kıyafete ilişkin verilerin toplanmasının Her Türlü Irk Ayrımcılığının Tasfiye Edilmesine Dair Uluslararası Sözleşme’de sağlanan güvencelere aykırı olduğu, kanun koyucunun takdir yetkisinin aşıldığı ve yerleşik fişleme tarihi tartışmalarının olduğu ülkemizde bireyler bakımından güvence değil risk oluşturduğu, toplumsal cinsiyet ayrımcılığına neden olacak nitelikte olduğundan eşitlik ilkesine aykırılık teşkil ettiği, kişinin sahip olduğu din ve vicdan özgürlüğü ile düşünce ve ifade özgürlüğünü ihlal ettiği belirtilerek dava konusu ibarelerin Anayasa’nın 2., 10., 20., 24., 25. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
51. Dava konusu ibarelerin yer aldığı fıkrada özel nitelikli kişisel veriler düzenlenmiştir. Fıkrada kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin özel nitelikli kişisel veri olduğu belirtilmektedir. Fıkrada yer alan “...mezhebi...” ve “...kılık ve kıyafeti...” ibareleri dava konusu kuralları oluşturmaktadır.
52. Anayasa’nın 2. maddesinde hukuk devleti ilkesi, 20. maddesinde ise kişisel verilerin korunması hakkı düzenlenmiştir.
53. Dava konusu kuralla, kişilerin mezhebine, kılık ve kıyafetine ilişkin verileri özel nitelikli kişisel veriler olarak kabul edilmektedir. Mezhep bir dinin görüş, yorum ve anlayış farklılıkları sebebiyle ortaya çıkan kollarından her biri; kılık ve kıyafet ise bir kimsenin giyinişi, dış görünüşü, üst başı, giysisi şeklinde ifade edilmektedir.
54. 6698 sayılı Kanun’un 6. maddesinin (2) numaralı fıkrası gereğince özel nitelikli kişisel verilerin kural olarak ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Bu kuralın istisnaları ise maddenin (3) numaralı fıkrasında düzenlenmiştir. Maddenin (4) numaralı fıkrasına göre ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.
55. Dava konusu kuralların yer aldığı maddenin gerekçesinde bazı kişisel verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabileceğinden bu tür verilerin özel nitelikli (hassas) veri olarak kabul edildiği ifade edilmiştir. Bu bağlamda kişilerin dinî görüş, yorum ve anlayış farklılıklarını ortaya koyan verileri ile dinî inancıyla bağlantılı kılık ve kıyafetine ilişkin verilerin özel nitelikli kişisel veriler olduğu kuşkusuzdur.
56. Nitekim 108 sayılı Sözleşme’nin 6. maddesi ile 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Yönetmeliği’nin 9. maddesinde “dini veya diğer inançları ortaya koyan kişisel nitelikteki veriler” özel veri kategorileri arasında belirtilmiştir.
57. Kanun koyucunun dava konusu kurallarla, kişilerin mezhebi ile kılık ve kıyafetiyle ilgili verileri daha özel bir korumaya tabi olması gereken verilerden kabul etmek suretiyle bu tür verileri diğer verilerden ayırdığı ve işlenmesini daha özel koşullara bağladığı anlaşılmaktadır. Dolayısıyla dava konusu kuralların amacının bu verilerin toplanmasına yasal dayanak sağlamak değil kişisel veri olduğunda şüphe olmayan bu verileri özel koruma altına almaya yönelik olduğu açıktır. Bu bağlamda kişilerin mezhebi ve kılık ve kıyafetiyle ilgili verileri daha özel bir koruma altına almak kanun koyucunun takdir yetkisi kapsamında olup kuralların Anayasa’ya aykırı bir yönü bulunmamaktadır.
58. Öte yandan kişilerin ayrımcılığa uğramasına neden olabilecek alanlarda bilgilerin toplanmasının, farklı grupların özel ihtiyaçlarının tespit edilmesi ve ayrımcılıkla mücadelede oluşan boşluk ve eksikliklerin tespit edilmesi ve giderilmesi bakımından önemli olduğu da bir gerçektir. Bu kapsamda hak sahiplerine yönelik politika ve hizmet geliştirmek için bazı verilerin toplanması gerekli olabilir. Bu durumlarda mezhep ve kılık kıyafet ile ilgili verilerin işlenmesine olanak sağlayacak kanunların amaç, kapsam ve sınırlarının Anayasa’da güvence altına alınan din ve vicdan özgürlüğü, düşünce ve ifade özgürlüğü ve kişisel verilerin korunmasına ilişkin hükümlerde düzenlenen hakların özüne dokunmaması gerekir. Bu husus ise özellikle kanun koyucunun kişilerin mezhebi ve kılık ve kıyafet ile ilgili verilerin işlenmesine kişilerin açık rızası olmaksızın imkân verdiği yasal düzenlemeler yapılırken göz önüne alınmalıdır. Bu bağlamda her ne kadar dava dilekçesinde dava konusu kuralların söz konusu özgürlükleri ihlal ettiği ifade edilmişse de kanun koyucunun salt kişilerin mezhebi ve kılık ve kıyafeti ile ilgili kişisel verileri özel nitelikli kişisel veri kabul etmek suretiyle daha özel bir koruma altına almayı amaçladığı dikkate alındığında dava konusu kuralın bu hak veya özgürlükleri ve dolayısıyla Anayasa’yı ihlal ettiği söylenemez.
59. Açıklanan nedenlerle kural Anayasa’nın 2. ve 20. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
60. Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
61. Kuralın Anayasa’nın 10., 24., 25. ve 90. maddeleriyle ilgisi görülmemiştir.
2. (3) Numaralı Fıkranın İncelenmesi
a. İptal Talebinin Gerekçesi
62. Dava dilekçesinde özetle, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla kişilerin cinsel hayatlarına ve sağlığına ilişkin verilerin açık rıza olmaksızın işlenebilmesinin kabul edilemez olduğu, özellikle cinsel hayatın bireyin özel yaşamının en mahrem yönünü oluşturduğu, kişilerin cinsel hayatlarına ve sağlığına ilişkin verilerin toplanmasında hiçbir ayırt edici ölçütün bulunmadığı, kuralın kişilerin sağlık hakkına erişimden çeşitli endişelerle kaçınmalarına neden olabileceği ve bu durumun aynı zamanda kişilerin yaşam hakkına, maddi ve manevi varlıklarını geliştirmesine de müdahale anlamına geldiği, sağlıkla ilgili kişisel verilerin neredeyse hiçbir sınırlamaya tabi tutulmadan toplanması, işlenmesi ve aktarılmasının insan haklarına saygılı bir devlet olma yükümlülüğü ile bağdaşmadığı, yeterli tedbirlerin niteliğine ve kapsamına yer vermeyerek etkin korumanın sağlanmadığı ve belirsizliğe neden olunduğu, demokratik bir toplumda kişilerin özel hayatının gizliliği hakkını bütünüyle ortadan kaldıracak bir müdahale niteliğinde olan kuralın kişilerin sağlıkları ile ilgili bilgilerin korunmasına yönelik uluslararası normlara aykırı olduğu, verileri işleyecek yetkili kurum ve kuruluşlar ibaresinin geniş bir kapsama sahip olduğu belirtilerek kuralın Anayasa’nın 2., 10., 17., 20., 24., 25., 56. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
63. 6216 sayılı Kanun’un 43. maddesi uyarınca kural ilgisi nedeniyle Anayasa’nın 5. ve 13. maddeleri yönünden de incelenmiştir.
64. Dava konusu kuralın yer aldığı maddede özel nitelikli kişisel veriler sayılarak bu verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu belirtilmiştir. Dava konusu kural ise birinci fıkrada sayılan cinsel hayat ve sağlık dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, cinsel hayata ve sağlığa ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği öngörülmektedir.
65. Anayasa’nın 2. maddesinde belirtilen sosyal hukuk devleti; insan hak ve hürriyetlerine saygı gösteren, kişilerin huzur, refah ve mutluluk içinde yaşamalarını güvence altına alan, kişi ile toplum arasında denge kuran, güçsüzleri güçlüler karşısında koruyarak sosyal adaleti gerçekleştiren, bu bağlamda sağlık hizmetlerinden bireylerin yeteri kadar yararlanmasını sağlayan devlettir. Devlet, herkesin sağlık hizmetlerinden yararlanması için gerekli tedbirleri almalı; kişilerin sağlık hizmetlerinden yararlanmasını sağlamalıdır. Devletin bu alandaki görevlerini yerine getirirken uygulayacağı sınırlamalar, Anayasa’nın 13. maddesinin öngördüğü üzere Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırıolmamalıdır.
66. Anayasa’nın 17. maddesinde “Herkes, yaşama, maddî ve manevî varlığını koruma ve geliştirme hakkına sahiptir.” denilmektedir. Kişinin yaşama hakkı ile maddi ve manevi varlığını koruma hakkı; birbirleriyle sıkı bağlantıları olan, devredilmez ve vazgeçilmez haklarındandır.
67. Anayasa’nın 56. maddesinin birinci fıkrasında herkesin sağlıklı ve dengeli bir çevrede yaşam hakkına sahip olduğu hüküm altına alınmış, üçüncü fıkrasında ise devlete herkesin hayatını, beden ve ruh sağlığı içinde sürdürmesini sağlamak amacıyla sağlık kuruluşlarını tek elden planlayıp hizmet vermesini düzenlemek ödevi verilmiştir. Sağlık hakkı, insanların sağlıklarının korunması, hastalandıklarında iyileşmeleri, tıbbi bakım görebilmeleri ve tedavi edilebilmeleri için devletin sağladığı her türlü imkândan yararlanma hakkıdır. Sağlık hakkı, insanların doğuştan kazandıkları vazgeçilemez ve devredilemez haklardan biridir. Yine devlet, kişilerin yaşam hakkını güvence altına almakla yükümlüdür. Aynı maddede “Herkes, yaşama, maddî ve manevî varlığını koruma ve geliştirme hakkına sahiptir.” denilmektedir.
68. Anayasa"nın 5. maddesi de insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamayı devletin temel amaç ve görevleri arasında saymıştır. Devlet, kişilerin sağlık hakkından tam anlamıyla yararlanabilmeleri ve sağlıklı bir yaşam sürdürebilmeleri amacıyla yasal, idari, mali, yargısal ve diğer önlemleri almak zorundadır. Bu nedenle Anayasa, kişiler için bir hak olan sağlık hizmetinin yerine getirilmesinde sosyal hukuk devleti olmanın gereği olarak devlete pozitif yükümlülük getirmektedir.
69. Anayasa, sosyal hukuk devleti olmanın gereği olarak sağlık hizmetlerinin sunumunda yüklediği pozitif yükümlülük kapsamında devleti, bu haklardan yararlanmayı artıracak önlemleri almakla mükellef kılmıştır. Bu nedenle Anayasa’nın 17. ve 56. maddelerinde öngörülen kişilerin yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkı ile sağlık hakkından yararlanma konusunda en geniş ölçekli uygulamaların gerçekleştirilmesi gerekir. Zira sağlık hizmeti doğrudan yaşama hakkı ile ilgili olması nedeniyle diğer kamu hizmetlerinden farklı olup bu hizmetin temel hedefi olan insan sağlığı ve yaşamı, mahiyeti itibarıyla ertelenemez ve ikame edilemez bir özelliğe sahiptir. Kişiler için bir hak olan bu hizmetten yararlanmayı kolaylaştırıcı düzenlemeler yapılması ve bu hizmetin daha iyi bir şekilde gerçekleştirilmesi için gerekli tedbirlerin alınması devletinAnayasa’dan kaynaklanan bir ödevidir. Dolayısıyla Anayasa’da devlete verilen görevlerin gereği olarak kişilerin sağlıklı bir şekilde yaşam sürdürmeleri için genel sağlığın korunması amacıyla düzenlenen dava konusu kurallar demokratik toplum düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
70. Anayasa’nın 20. maddesinin birinci fıkrasında “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” denilerek özel hayatın gizliliği güvence altına alınmıştır. Maddenin üçüncü fıkrasında ise herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı ifade edilmiştir. Maddede ayrıca kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir. Kişisel verilerin korunması hakkı, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Ancak bu hak sınırsız olmayıp düzenlendiği maddede özel sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün doğasından kaynaklanan bazı sınırlarının bulunduğu, ayrıca Anayasa"nın başka maddelerinde yer alan hak ve özgürlükler ile Devlete yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği kabul edilmektedir.
71. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesi uyarınca, temel hak ve özgürlüklere yapılacak müdahaleler, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz. Ölçülülük ilkesi, yasal sınırlamanın öngörülen amaç için zorunlu ve amaca ulaşmaya elverişli olmasını, ayrıca amaç ve araç arasında hakkaniyete uygun bir dengenin bulunması gereğini ifade eder.
72. 108 sayılı Sözleşme’nin 9. maddesinde de bazı durumlarda kişisel verilerin korunmasına sınırlamalar getirilebilmesi öngörülmüştür. Ayrıca 95/46/EC sayılı Direktif’in 8. maddesinin (1) numaralı fıkrasında beş kategoride yer alan özel nitelikli kişisel verilerin işlenmesi kural olarak yasaklanmış ancak maddenin (2) numaralı fıkrasında bunun istisnaları düzenlenerek veri işlemenin önleyici hekimlik, tıbbi teşhis, tıbbi yardım veya bakım veya sağlık hizmetlerinin idarî olarak yürütülmesi için gerekli olması ve bu verilerin ya sağlık personeli veya sağlık personeli gibi sır saklamaya tabi kişiler tarafından işlenmesinin mümkün olduğu ifade edilmiştir. Maddede ayrıca bu istisnaların yanında üye devletlerin uygun önlemleri almak koşuluyla kamu yararı için başka bazı istisnalar da belirleyebileceği belirtilmiştir.
73. Dava konusu kuralın ilk cümlesinde, cinsel hayat ve sağlık dışındaki özel nitelikli kişisel verilerin kanunlarda öngörülen hâllerde kişilerin açık rızası olmaksızın da işlenebileceği belirtilmiştir. Bunlar ise kanun koyucunun takdir yetkisi kapsamında Kanun’un 6. maddesinin (1) numaralı fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak ifade edilmiştir. Anayasa’nın 20. maddesinde de belirtildiği üzere kişisel veriler ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Dolayısıyla kişisel verilerin işlenmesine kanunda açıkça imkân tanınan durumlarda kişinin açık rızasına ayrıca ihtiyaç bulunmamaktadır. Bu yönüyle kural Anayasa hükmünün tekrarı niteliğinde olup söz konusu kişisel verilerin, ilgilinin açık rızası olmaksızın işlenebileceği halleri doğrudan düzenlememekte, “kanunlarda öngörülen hallere” atıfta bulunmaktadır. Kişisel verilerin ilgili kişilerin açık rızası olmaksızın işlenebileceği halleri düzenleyen kanunların iptalleri talebiyle Anayasa Mahkemesine başvurulması durumunda ise söz konusu düzenlemelerin Anayasa’ya aykırı olup olmadıklarının inceleneceği ve bu kapsamda Anayasa’nın 13. maddesi hükmünün de gözetileceği tabiîdir. Bu nedenle, Anayasanın 20. maddesinde yer alan düzenlemeye uygun olarak kişisel verilerin “kanunlarda öngörülen hallerde” ilgili kişinin açık rızasının aranmaksızın işlenebileceğinin belirtildiği kuralda Anayasa’ya aykırılık bulunmamaktadır.
74. Dava konusu kuralın ikinci cümlesinde ise sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmektedir. Dava konusu kuralla kişisel verilerin korunması hakkı, Anayasa’nın 17. ve 56. maddelerinden kaynaklanan sebeplerle ve maddede sayma yöntemiyle belirtilen amaçlarla sınırlandığı anlaşılmaktadır.
75. Cinsel hayata ve sağlığa ilişkin kişisel verilerin işlenmesi bakımından kural ilgilinin açık rızasının bulunmasıdır. Dava konusu kuralla bu kişisel verilerin ilgilinin açık rızası olmaksızın işlenebileceği hâller belirtilmek suretiyle bu kurala istisna getirilmiştir. Özel nitelikli kişisel veri olduğunda kuşku olmayan sağlık ve cinsel hayata ilişkin verilerin söz konusu durumlarda ilgilinin açık rızası aranmaksızın işlenebileceğini düzenleyen kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına bir müdahale söz konusu ise de kuralla kişisel verilerin işlenmesinin amaç bakımından sınırlandığı dikkate alındığında, getirilen sınırlamanın mezkûr hakların kullanılmasını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığı söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle değerlendirilmesi gereken husus, bu müdahalenin demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
76. Kanun koyucunun dava konusu kuralla, halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi suretiyle kamu sağlığının korunmasını; sağlık hizmetleri ile bu hizmetlerin finansmanının planlanması ve yönetimi suretiyle teşhis, tedavi ve rehabilite edici sağlık hizmetlerinin yürütülmesi, eğitim ve araştırma faaliyetlerinin geliştirilmesi, insan gücü ve maddi kaynaklarda tasarruf sağlanması ve verimin artırılmasını amaçladığı anlaşılmaktadır. Dolayısıyla Anayasa’da devlete verilen görevlerin gereği olarak kişilerin sağlıklı bir şekilde yaşam sürdürmeleri için genel sağlığın korunması amacıyla düzenlenen dava konusu kural demokratik toplum düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
77. Öte yandan ilgilinin kişisel verilerinin açık rızası olmaksızın kamu yararı amacıyla işlenebileceği hâllerin kapsam, amaç ve sınırların kanunda açıkça yer alması ve maddenin (4) numaralı fıkrasında belirtildiği gibi özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınacağı dikkate alındığında dava konusu kuralın belirsiz olduğu da söylenemez.
78. Ayrıca dava konusu kuralda belirtilen sebeplerle kişisel verilerin işlenmesi ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yapılabilecektir. Sır saklama yükümlülüğü altında olan kişiler ise avukat, hekim veya mali müşavir gibi kendi kanunlarında görevleri dolayısıyla edindikleri bilgileri zamanla sınırlı olmaksızın açığa vurmaları yasak olan ve bu yasağın ihlali hâlinde hukuki ve cezai sorumluluğu olan kişilerdir.
79. 6698 sayılı Kanun’da kişisel verilerin işlenmesinde uyulması zorunlu ilke ve kurallar, kişisel verilerin işlenme şartları, veri sorumlusunun aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler ile veri sorumlusuna başvuru ve Kurula şikâyete ilişkin ayrıntılı düzenlemeler yapılmıştır. Kanun’un 17. maddesinde ise kişisel verilere ilişkin suçlar bakımından 5237 sayılı Kanun’un 135 ila 140. maddeleri hükümlerinin uygulanacağı ve Kanun’un 7. maddesi hükmüne aykırı olarak kişisel verileri silmeyen veya anonim hâle getirmeyenlerin 5237 sayılı Kanun’un 138. maddesine göre cezalandırılacağı hükme bağlanmıştır. 5237 sayılı Kanun’un 136. maddesi uyarınca da kişisel verileri hukuka aykırı olarak başkasına vermek, yaymak veya ele geçirmek suç olarak düzenlenmiştir.
80. 6698 sayılı Kanun, 5237 sayılı Kanun ve ilgili diğer kanunlarda yer alan düzenlemeler birlikte değerlendirildiğinde dava konusu kural kapsamında işlenecek verilerin amacı dışında kullanılmasını ve kişilerin özel hayatına dair bilgilerin ve kişisel verilerin ifşa edilmesini önleyecek yasal güvencenin sağlandığı görülmektedir. Bu bağlamda dava konusu kuralda kişisel verilerin korunması hakkına sınırlama yapılırken Kanun’da sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere de yer verildiği, böylece hem özel hayatın gizliliği ve kişisel verilerin korunması haklarının özünün zedelenmesinin önlendiği hem de bu haklar ile toplum sağlığının korunmasına yönelik önlemler arasındaki makul dengenin kurulduğu görülmektedir. Dolayısıyla dava konusu kuralla kişisel verilerin korunmasını isteme hakkının özüne dokunan ya da bu hakkı ölçüsüz şekilde sınırlandıran bir husus bulunmadığı gibi kuralın demokratik toplum düzeninin gereklerine aykırılık teşkil ettiği de söylenemez.
81. Açıklanan nedenlerle kurallar 2., 5., 13., 17., 20. ve 56. maddelerine aykırı değildir. İptal taleplerinin reddi gerekir.
82. Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
83. Kuralların Anayasa’nın 10., 24., 25. ve 90. maddeleriyle ilgisi görülmemiştir.
D. Kanun’un 7. Maddesinin (2) Numaralı Fıkrasının İncelenmesi
1. İptal Talebinin Gerekçesi
84. Dava dilekçesinde özetle, 6698 sayılı Kanun’un kişisel veriler alanına ilişkin genel kanun niteliğinde olduğu, kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle gelmesi hakkında bu Kanun hükümlerinin esas alınması gerektiği, bu hususlara ilişkin diğer kanunlarda yer alan hükümleri saklı tutan dava konusu kuralın çok geniş kapsamlı olduğu, bireylerin hangi kişisel verilerinin hangi kanunda hangi düzenleme ile silineceği veya ne kadar sürede silineceğini bilemeyeceği, kişisel verilerin yok edilme ve anonim hâle getirilmesi şartlarının belirsiz olduğu, kamu yararı ve ölçülülük ilkesinin gözetilmediği belirtilerek kuralın Anayasa’nın 2. maddesine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
85. Dava konusu kuralın yer aldığı maddede kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi düzenlenmiştir. Maddede, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği hükme bağlanmaktadır. Dava konusu kuralda ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu belirtilmektedir.
86. Hukuk devleti ilkesinin gereği olarak kanunlar kamu yararı amacını gerçekleştirmek üzere çıkarılmalıdır. Anayasa Mahkemesi kararlarında ifade edildiği gibi kamu yararı düşüncesi olmaksızın yalnız özel çıkarlar için veya yalnız belli kişilerin yararına olarak kanun hükmü konulamaz. Böyle bir durumun açık bir biçimde ve kesin olarak saptanması hâlinde söz konusu kanun hükmü Anayasa’nın 2. maddesine aykırı düşer. Açıklanan ayrık hâl dışında bir kanun hükmünün ülke gereksinimlerine uygun olup olmadığı ve hangi araç ve yöntemlerle kamu yararının sağlanabileceği bir siyasi tercih sorunu olarak kanun koyucunun takdirinde olduğundan bu kapsamda kamu yararı değerlendirmesi yapmak anayasa yargısıyla bağdaşmaz.
87. Kanun koyucu, takdir yetkisi içerisindeki düzenlemeleri yaparken hukuk devleti ilkesinin bir gereği olan ölçülülük ilkesiyle de bağlıdır. Bu ilke ise “elverişlilik”, “gereklilik” ve “orantılılık” olmak üzere üç alt ilkeden oluşmaktadır. “Elverişlilik” getirilen kuralın ulaşılmak istenen amaç için elverişli olmasını, “gereklilik” getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını, “orantılılık” ise getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçüyü ifade etmektedir. Bir kuralda öngörülen düzenleme ile ulaşılmak istenen amaç arasında da “ölçülülükilkesi” gereğince makul bir dengenin bulunması zorunludur.
88. Dava konusu kuralla maddenin gerekçesinde de ifade edildiği gibi kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda hüküm bulunması hâlinde bunların öncelikle uygulanması amaçlanmaktadır.
89. Genel kanun niteliğindeki 6698 sayılı Kanun’da kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin her durumun öngörülmesi ve düzenlenmesi mümkün olamayacağı gibi daha sonra ortaya çıkabilecek özel durumlara ilişkin hususların özel kanunlarda daha detaylı düzenlenmesi de gerekebilir. Bu durumda aynı konuyla ilgili olarak genel kanunda ve özel kanunda hüküm bulunması hâlinde özel kanun hükmü uygulanacağından kuralın belirsiz olduğu söylenemez. Ayrıca dava konusu kuralın bazı özel durumlara ilişkin hususların daha ayrıntılı şekilde düzenlenmesini sağlamaya yönelik kamu yararı amacıyla düzenlendiği açıktır. Dava konusu kuralın ulaşılmak istenen amaç için elverişli ve gerekli olduğu, amaç ve araç arasında makul ve uygun bir ilişki kurduğu ve orantılı olduğu anlaşıldığından kuralda ölçülülük ilkesine aykırı bir yön de bulunmamaktadır.
90. Öte yandan özel hayatın gizliliği ve kişisel verilerin korunmasını isteme hakkı Anayasa’nın 20. maddesinde güvence altına alınmıştır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin kanun koyucu tarafından özel kanunlarda yapılacak diğer düzenlemelerin de kişisel verilerin korunmasını düzenleyen Anayasa’nın 20. maddesine aykırı olmaması gerektiği hususunda şüphe yoktur. Bu bağlamda diğer kanunlarda yer alacak hükümlerin bireylerin kişisel verilerinin ne kadar sürede ve ne şekilde silineceği, bu verilerin yok edilme ve anonim hâle getirilmesi şartlarını ölçülülük ve belirlilik ilkesi çerçevesinde kamu yararını gözeterek düzenlenmesi gerektiği açıktır. Dolayısıyla Anayasa’nın 20. maddesinde düzenlenen ilke ve esaslara aykırı olmayacak şekilde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanun hükümlerini saklı tutan dava konusu kuralın Anayasa’ya aykırı bir yönü bulunmamaktadır.
91. Açıklanan nedenlerle kural Anayasa’nın 2. maddesine aykırı değildir. İptal talebinin reddi gerekir.
E. Kanun’un 8. Maddesinin (3) Numaralı Fıkrasının İncelenmesi
1. İptal Talebinin Gerekçesi
92. Dava dilekçesinde özetle 6698 sayılı Kanun’un kişisel veriler alanına ilişkin genel kanun niteliğinde olduğu, kişisel verilerin aktarılması hakkında bu Kanun hükümlerinin esas olması gerektiği, dolayısıyla bu hususa ilişkin diğer kanunlarda yer alan hükümleri saklı tutan dava konusu kuralın, bireylerin hangi kişisel verilerinin hangi kanundaki hangi düzenleme ile aktarıldığını bilmesini imkânsız kıldığı ve bireyler bakımından belirsizlik yarattığı, kamu yararı ve ölçülülük ilkesini gözetmediği belirtilerek kuralın Anayasa’nın 2. maddesine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
93. Dava konusu kuralın yer aldığı maddede kişisel verilerin aktarılması düzenlenmiştir. Buna göre kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak kişisel verilerin 5. maddenin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde ilgili kişinin açık rızası aranmaksızın aktarılması mümkündür. Dava konusu kuralla ise kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu belirtilmektedir.
94. Kanun"un 7. maddesinin (2) numaralı fıkrasının incelendiği bölümde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olması hakkında kuralın Anayasa"ya uygunluk denetimi kapsamında belirtilen gerekçeler dava konusu kural bakımından da geçerli bulunduğundan aynı gerekçelerle dava konusu kural da Anayasa"nın 2. maddesine aykırı değildir.
95. Açıklanan nedenle kural Anayasa’nın 2. maddesine aykırı değildir. İptal talebinin reddi gerekir.
F. Kanun’un 9. Maddesinin (6) Numaralı Fıkrasının İncelenmesi
1. İptal Talebinin Gerekçesi
96. Dava dilekçesinde özetle 6698 sayılı Kanun’un kişisel veriler alanına ilişkin genel kanun niteliğinde olduğu, kişisel verilerin yurt dışına aktarılması hakkında bu Kanun hükümlerinin esas olması gerektiği, dolayısıyla bu hususa ilişkin diğer kanunlarda yer alan hükümleri saklı tutan dava konusu kuralın bireylerin hangi kişisel verilerinin hangi kanundaki hangi düzenleme ile yurt dışına aktarıldığını bilmesini imkânsız kıldığı ve bireyler bakımından belirsizlik yarattığı, kamu yararı ve ölçülülük ilkesini gözetmediği belirtilerek kuralın Anayasa’nın 2. maddesine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
97. Dava konusu kuralın yer aldığı maddede kişisel verilerin yurt dışına aktarılması düzenlenmiştir. Buna göre kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak kişisel verilerin 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması hâlinde, yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılmasının mümkün olduğu hükme bağlanmakta, dava konusu kuralla ise kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu belirtilmektedir.
98. Kanun"un 7. maddesinin (2) numaralı fıkrasının incelendiği bölümde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olması hakkında kuralın Anayasa"ya uygunluk denetimi kapsamında belirtilen gerekçeler dava konusu kural bakımından da geçerli bulunduğundan aynı gerekçelerle dava konusu kural da Anayasa"nın 2. maddesine aykırı değildir.
99. Açıklanan nedenle kural Anayasa’nın 2. maddesine aykırı değildir. İptal talebinin reddi gerekir.
G. Kanun’un 13. Maddesinin (2) Numaralı Fıkrasının İkinci Cümlesinin İncelenmesi
1. İptal Talebinin Gerekçesi
100. Dava dilekçesinde özetle, hakkında işlenen verilerinin ne olduğunu öğrenebilmesi için kişiden ücret talep edilmesinin, bireyin temel haklarından olan özel hayatın gizliliği hakkından etkin olarak yararlanmasını engellediği, bu hakkı sosyal hukuk devleti ve adalet ilkeleriyle bağdaşmayacak surette sınırlandırdığı, sınırlandırmanın hakkın özüne dokunduğu ve demokratik toplum düzeninin gereklerine aykırı olduğu, yürütmenin şekillendirdiği Kurul tarafından ücretin belirlenmesinin hukuki güvenlik ve belirlilik ilkelerine ve 108 sayılı Sözleşme’deki güvencelere aykırı olduğu belirtilerek kuralın Anayasa’nın 2., 5., 13., 20. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
101. Dava konusu kuralın yer aldığı maddede veri sorumlusuna başvuru usulü belirlenmiştir. Buna göre ilgili kişi, 6698 sayılı Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Dava konusu kuralla ise işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücretinalınabileceği öngörülmektedir.
102. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Ancak bu hak sınırsız olmayıp Anayasa Mahkemesi kararlarında, özel sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğu, ayrıca Anayasa"nın başka maddelerinde yer alan hak ve özgürlükler ile devlete yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği de kabul edilmektedir.
103. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesi uyarınca, temel hak ve özgürlüklerin özlerine dokunulmaksızın yapılacak sınırlamalar, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz. Ölçülülük ilkesi, yasal sınırlamanın öngörülen amaç için zorunlu ve amaca ulaşmaya elverişli olmasını, ayrıca amaç ve araç arasında hakkaniyete uygun bir dengenin bulunması gereğini ifade eder.
104. Dava konusu kuralla 6698 sayılı Kanun’un uygulanmasıyla ilgili taleplerini veri sorumlusuna ileten ilgili kişiden, yapılacak işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücretin alınabileceği öngörülmek suretiyle kişisel veriler erişim hakkına bir sınırlandırma getirildiği açıktır. Kuralla kişilerin kendileri ile ilgili kişisel verilere erişme hakkına müdahalede bulunulmuş ise de kişisel verilere erişimin bir maliyet gerektirmesi hâlinde söz konusu ücretin alınabileceği dikkate alındığında getirilen sınırlamanın Anayasa’nın 20. maddesinde düzenlenen kişisel verilerin korunması hakkının kullanılmasını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığı söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle değerlendirilmesi gereken bu müdahalenin demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
105. 6698 sayılı Kanun kapsamında veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Kanun’un 11. maddesinde ilgili kişinin hakları düzenlenmiştir. Buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 11. maddenin (d) ve (e) bentleri uyarınca yapılan kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini, silinmesini veya yok edilmesi işlemlerini kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
106. Dava konusu kuralda, ilgili kişinin 6698 sayılı Kanun’dan kaynaklanan hakları çerçevesinde başvurduğu veri sorumlusu tarafından talebinin yerine getirilmesinin ayrıca bir maliyet gerektirmesi hâlinde bu maliyetin Kurulca belirlenen tarifeye göre talepte bulunan ilgili tarafından karşılanabileceği öngörülmektedir.
107. Kanun koyucunun kuralla, takdir yetkisi kapsamında ilgililerin isteğine bağlı olarak veri sorumluları tarafından ifa edilecek hizmetlerin ayrıca maliyet gerektirmesi hâlinde bu maliyetin ilgililer tarafından alınabilmesini sağlamayı amaçladığı anlaşılmaktadır. Zira veri sorumlusunun Kanun’da öngörülen ilgili kişinin hakları çerçevesinde yerine getireceği bazı işlemlerin maliyetinin olabileceği, bu hâlde ise söz konusu maliyet karşılanmadan ilgilinin taleplerini yerine getirebilmesinin mümkün olamayacağı açıktır. Veri sorumlusunun verdiği hizmetin ayrıca bir maliyet gerektirmesi hâlinde bu maliyetten sorumlu tutulması beklenemeyeceği gibi Kanun’un 13. maddesinde belirtildiği üzere ancak başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilecektir. Diğer yandan 108 sayılı Sözleşme de bu tür masrafların alınmasına imkân tanımaktadır.
108. Öte yandan işlemin ayrıca bir maliyeti gerektirmesi hâlinde söz konusu ücretin belirsiz olduğu da söylenemez. Zira Kurul tarafından belirlenecek ücretin miktarı yapılan işlemin maliyeti kadardır. Bir işlemin maliyetinin belirlenebilir, ölçülebilir bir değer olması nedeniyle objektif bir kriter olması karşısında söz konusu ücretin Kurul tarafından belirlenecek tarifeye göre alınmasında hukuki güvenlik ve belirlilik ilkelerine aykırı bir yön bulunmamaktadır.
109. Dolayısıyla dava konusu kuralla sınırlama yapılırken Kanun’da sınırlama aracının sınırlama amacına uygun ve orantılı olduğu ve sınırlamayla kişisel verilerin korunması hakkı arasında hakkaniyete uygun bir denge kurulduğundan kuralların makul, ölçülü olduğu ve demokratik toplum düzeninin gereklerine aykırılık teşkil etmediği de açıktır.
110. Açıklanan nedenlerle kural Anayasa’nın 2., 5., 13. ve 20. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
111. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
H. Kanun’un 15. Maddesinin (3) Numaralı Fıkrasında Yer Alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç...” İbaresinin İncelenmesi
1. İptal Talebinin Gerekçesi
112. Dava dilekçesinde özetle, kişisel verilerin korunmasına dair normların kişiyi ve kişisel verileri korumak için oluşturulması gerektiği, devlet sırrı niteliğindeki bilgi ve belgelerin veri sorumlusu tarafından Kişisel Verileri Koruma Kuruluna (Kurul) gönderilmesine veya gerektiğinde yerinde inceleme yapılmasına istisna getiren dava konusu kuralın belirli ve ölçülü olmadığı, idarenin keyfî uygulamalarına sebep verecek nitelikte olduğu, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmesine engel olduğundan kişinin özel hayatının gizliliğine doğrudan müdahalede bulunduğu belirtilerek kuralın Anayasa’nın 2., 13. ve 20. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
113. Dava konusu kuralın yer aldığı maddede Kurul tarafından şikâyet üzerine veya resen incelemenin usul ve esasları düzenlenmektedir. Maddenin (3) numaralı fıkrasında; devlet sırrı niteliğindeki bilgi ve belgeler hariç veri sorumlusunun, Kurulun inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorunda olduğu hüküm altına alınmıştır. Fıkrada yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresi dava konusu kuralı oluşturmaktadır.
114. Kişisel verilerin korunması hakkı sınırsız olmayıp Anayasa Mahkemesi kararlarında, özel sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğu, ayrıca Anayasa"nın başka maddelerinde yer alan hak ve özgürlükler ile devlete yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği de kabul edilmektedir. Dolayısıyla kişisel verilerin korunması hakkının Anayasa"da Devlete bir görev olarak yüklenen millî güvenliğin ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi amaçlarıyla sınırlandırılması mümkündür.
115. Nitekim 108 sayılı Sözleşme’nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği öngörülmüştür.
116. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve kişisel verilerin korunması hakkı, yalnızca kanunla ve Anayasa’da öngörülen sebeplere bağlı olarak sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.
117. 6698 sayılı Kanun’un 13. maddesinde ilgili kişinin veri sorumlusuna başvuru hakkı düzenlenmiş; 14. maddesinde ise söz konusu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemesi hâllerinde ilgili kişinin Kurula şikâyette bulunabileceği hüküm altına alınmıştır. Kanun’un 15. maddesine göre ise Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
118. 5271 sayılı Ceza Muhakemesi Kanunu’nun 47. maddesinin (1) numaralı fıkrasında yer alan “Açıklanması, Devletin dış ilişkilerine, milli savunmasına ve milli güvenliğine zarar verebilecek; anayasal düzeni ve dış ilişkilerinde tehlike yaratabilecek nitelikteki bilgiler, Devlet sırrı sayılır.” hükmü dikkate alındığında dava konusu kuralda yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler”ibaresinin devletin iç ve dış güvenliği ile millî savunmasını sağlamaya ve anayasal düzenini korumaya yönelik bilgi ve belgeleri ifade ettiği anlaşılmaktadır. Bu bağlamda söz konusu ibarenin belirsiz bir kavram olduğu söylenemez.
119. Kurulun inceleme konusuyla ilgili veri sorumlusundan isteyebileceği bilgi ve belgeler arasında özel hayatın gizliliği kapsamında kalacak kişisel verilerin bulunduğu devlet sırrı niteliğindeki bilgi ve belgeler de bulunabilir. Dava konusu kural söz konusu bilgi ve belgelerin Kurula gönderilmesi veya incelenmesi imkânını ortadan kaldırdığından Kurul tarafından bu bilgi ve belgeler üzerinde ihlal iddiasıyla ilgili inceleme yapılamayacaktır. Bu durum ise Kurulda incelenmekte olan ihlal iddiasıyla ilgili olan kişilerin kendileriyle ilgili kişisel verilere ulaşmasını bir anlamda kısıtlayacağından kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına sınırlama getirildiği açıktır. Ancak bu sınırlamanın; devletin dış ilişkilerine, millî savunmasına, millî güvenliğine, anayasal düzeni ve dış ilişkilerinde tehlike yaratabilecek veya zarar verebilecek nitelikteki bilgi ve belgelerin açıklanmasının önlenmesini sağlamak amacıyla yapıldığı dikkate alındığında demokratik toplum düzeni bakımından alınması gereken tedbirler kapsamında kaldığı kuşkusuzdur.
120. Öte yandan devlet sırrı kavramı altında her türlü kişisel verinin gizli tutulması söz konusu değildir. Zira ceza yargılamasında 5271 sayılı Kanun’un 47. maddesinin (1) numaralı fıkrasındaki “Bir suç olgusuna ilişkin bilgiler, Devlet sırrı olarak mahkemeye karşı gizli tutulamaz.” hükmü ile (2) numaralı fıkrasındaki “Tanıklık konusu bilgilerin Devlet sırrı niteliğini taşıması halinde; tanık, sadece mahkeme hâkimi veya heyeti tarafından zâbıt kâtibi dahi olmaksızın dinlenir. Hâkim veya mahkeme başkanı, daha sonra, bu tanık açıklamalarından, sadece yüklenen suçu açıklığa kavuşturabilecek nitelikte olan bilgileri tutanağa kaydettirir.” hükmü gereğince bir suç olgusuna ilişkin bilgiler devlet sırrı olarak mahkemeye karşı gizli tutulamayacağı gibi tanıklık konusu bilgilerin devlet sırrı niteliği taşıması hâlinde bunların mahkeme hâkimi veya heyeti tarafından dinlenme imkânı da bulunmaktadır.
121. Öte yandan dava konusu kuralla sadece Kurulun inceleme konusuyla ilgili gönderilmesini isteyebileceği veya inceleyebileceği bilgi ve belgelere istisna getirilmiş olup bu istisna dışında kişisel verilerle ilgili olarak 6698 sayılı Kanun’da yer alan kişisel verilerin işlenmesinde uyulması zorunlu ilke ve kurallar, kişisel verilerin işlenme şartları ve veri güvenliğine ilişkin yükümlülükler ile kişisel verilere ilişkin suçlar bakımından 5237 sayılı Kanun’un 135 ila 140. maddeleri hükümlerinin uygulanacağına ilişkin hükümler geçerliliğini korumaktadır.
122. 6698 sayılı Kanun, 5237 sayılı Kanun ve diğer kanunlarda yer alan bu düzenlemeler birlikte değerlendirildiğinde kişilerin özel hayatına dair bilgilerin ve kişisel verilerin korunması hakkında yeterli yasal güvencenin sağlandığı anlaşılmaktadır. Bu bağlamda bir devlet sırrı niteliğindeki bilgi ve belgelerin ifşa edilmesini önlemeye yönelik dava konusu kuralın ulaşılmak istenen amaç için elverişli ve gerekli olduğu, amaç ve araç arasında makul ve uygun bir ilişki kurduğu ve öngörülen amaçla kişisel verilerin korunması hakkına yapılan sınırlamanın orantılı olduğu açıktır. Dolayısıyla dava konusu kuralla kişisel verilerin korunması hakkına sınırlama yapılırken, Kanun’da sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer verildiği, böylece hem özel hayatın gizliliği ve kişisel verilerin korunması haklarının özünün zedelenmesinin önlendiği hem de bu haklar ile ülkede millî güvenliğin sağlanmasına yönelik önlemler arasındaki makul dengenin kurulduğu anlaşıldığından dava konusu kuralın özel hayatın gizliliği ve kişisel verilerin korunması haklarının özünü zedelediğinden söz edilemeyeceği gibi demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı düştüğü de söylenemez.
123. Açıklanan nedenlerle kural Anayasa’nın 2., 13. ve 20. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
I. Kanun’un 16. Maddesinin (2) Numaralı Fıkrasının İkinci Cümlesinin İncelenmesi
1. İptal Talebinin Gerekçesi
124. Dava dilekçesinde özetle, Veri Sorumluları Sicilinin kişisel verilerin kimler ve hangi kuruluşlar tarafından işlendiğini gösteren bir liste olduğu, bu listeye kayıt zorunluluğuna getirilecek istisnanın kişisel verileri işlenen kişiyi korumasız hâle getireceği, bu durumun kişinin maddi ve manevi varlığına doğrudan, ölçüsüz bir müdahale olduğu, hukuk devleti ilkesi ile bağdaşmadığı ve istisnanın uluslararası sözleşmelere aykırı olduğu belirtilerek kuralın Anayasa’nın 2. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
125. Dava konusu kuralın yer aldığı maddede Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacağı ve kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu hüküm altına alınmıştır. Dava konusu kuralla ise işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği öngörülmektedir.
126. Anayasanın 2. maddesinde yer alan hukuk devleti ilkesi gereğince kanun koyucu düzenlemeler yaparken ölçülülük ilkesiyle bağlıdır. Bu ilke ise “elverişlilik”, “gereklilik” ve “orantılılık” olmak üzere üç alt ilkeden oluşmaktadır. “Elverişlilik”, başvurulan önlemin ulaşılmak istenen amaç için elverişli olmasını, “gereklilik” başvurulan önlemin ulaşılmak istenen amaç bakımından gerekli olmasını, “orantılılık” ise başvurulan önlem ve ulaşılmak istenen amaç arasında olması gereken ölçüyü ifade etmektedir. Bir kuralda öngörülen düzenleme ile ulaşılmak istenen amaç arasında da “ölçülülük ilkesi” gereğince makul bir dengenin bulunması zorunludur.
127. 95/46/EC sayılı Direktif de ulusal veri koruma otoritelerine sicillere bildirim yapılması yükümlülüğünü kaldırma veya basitleştirme imkânı tanımaktadır.
128. Dava konusu kuralın yer aldığı 16. maddeye göre kişisel verileri işleyen gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olup kayıt başvurusunda maddede belirtilen hususları içeren bildirimde bulunurlar. Bu bildirim; veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgilerini, kişisel verilerin hangi amaçla işleneceğini, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaları, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel verileri, kişisel veri güvenliğine ilişkin alınan tedbirler ve kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi içerir. Bu bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
129. Veri Sorumluları Siciline kaydolmak zorunda olan gerçek ve tüzel kişiler birbirinden farklı büyüklük ve ölçekte olabileceği gibi bunlar tarafından işlenen verilerle ilgili olarak nitelik, sayı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılması gibi farklı yoğunluk ve önem derecesine sahip durumlar da olabilir. Kanun koyucunun dava konusu kuralla, söz konusu farklılıkları dikkate alarak kişisel verileri işleyen gerçek ve tüzel kişilerin tümünün Veri Sorumluları Siciline kaydolmasına gerek görmediği ve bazılarını Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle yine Kurul tarafından verilecek kararla kayıt zorunluluğundan istisna tutmayı amaçladığı anlaşılmaktadır. Bu bağlamda kanun koyucunun takdir yetkisi kapsamında düzenlediği dava konusu kuralın amaç ve araç arasında makul ve uygun bir ilişki kurduğu ve orantılı olduğu anlaşıldığından ölçülülük ilkesine aykırı bir yönü bulunmamaktadır.
130. Öte yandan dava konusu kuralla sadece Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilmiş olup veri sorumlularının veri güvenliğine ilişkin olarak Kanun’da öngörülen yükümlülüklere istisna getirilmemiştir. Zira Kanun’un 12. maddesinde veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri belirlenmiştir. Buna göre veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde 12. maddenin birinci fıkrasında belirtilen tedbirlerin alınması hususunda bu kişilerle müştereken sorumlu olup kendi kurum veya kuruluşunda bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Ayrıca veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük, veri işleyen kişilerin görevden ayrılmalarından sonra da devam eder. Bu bağlamda veri sorumlularının yükümlülükleri bakımından bunların Sicile kayıtlı olup olmamalarının bir önemi bulunmamakta olup dava konusu kural, ilgili kişinin haklarını korumak üzere oluşturulan icrai mekanizma ve özel tedbirleri ortadan kaldıran veya zedeleyen bir düzenleme şeklinde değerlendirilemez. Dolayısıyla kuralla ulaşılmak istenen amaç arasında makul bir denge kurulduğundan ve veri sorumlularının yükümlülükleri de ortadan kaldırılmadığından kuralın Anayasa’ya aykırı bir yönü bulunmamaktadır.
131. Açıklanan nedenlerle kural Anayasa’nın 2. maddesine aykırı değildir. İptal talebinin reddi gerekir.
132. Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
133. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
İ. Kanun’un 24. Maddesinin (3) Numaralı Fıkrasının (b) Bendinde Yer Alan “Kurulca gerekli görülenlerin...” İbaresinin İncelenmesi
1. İptal Talebinin Gerekçesi
134. Dava dilekçesinde özetle, Kurulun gerek görmemesi hâlinde kararlarının yayımlanmamasına olanak sağlayan kuralın başvurucu kişi ve kamuoyu bakımından belirsizlik yarattığı, Kurula yapılan başvurular arasında ayırım yapıldığı, bu ayrıma dair objektif kriterlerin belirlenmediği belirtilerek kuralın Anayasa’nın 2. maddesine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
135. Dava konusu kuralın yer aldığı maddenin (3) numaralı fıkrasında Başkanın görevleri sayılmıştır. Bu görevlerden biri de fıkranın (b) bendinde “Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek” şeklinde belirlenmiştir. Fıkrada yer alan “Kurulca gerekli görülenlerin” ibaresi, dava konusu kuralı oluşturmaktadır.
136. Anayasa’nın 2. maddesinde yer alan hukuk devletinin önemli bir unsuru olan belirlilik ilkesi bireylerin hukuk kurallarını önceden bilmeleri, davranış ve tutumlarını bu kurallara göre güvenle düzene sokabilmelerini gerektirmekte olup hukuk kurallarının belirliliğinin sağlanması yalnızca kanunla düzenleme yapılması anlamına gelmemektedir. Belirlilik ilkesi, yalnızca yasal belirliliği değil daha geniş anlamda hukuki belirliliği de ifade etmektedir. Yasal dayanağının bulunması ve erişilebilir, bilinebilir ve öngörülebilir olması gibi gereklilikleri karşılaması koşuluyla mahkeme içtihatları ve yürütmenin düzenleyici işlemleri ile de hukuki belirlilik sağlanabilir. Hukuki belirlilik ilkesinde asıl olan, bir hukuk normunun uygulanmasıyla ortaya çıkacak sonuçların o hukuk düzeninde öngörülebilir olmasıdır.
137. Dava konusu kuralda, Kişisel Verileri Koruma Kurulu tarafından verilen kararlardan Kurulca gerekli görülenlerin Başkan tarafından kamuoyuna duyurulması öngörülmektedir. Dolayısıyla Kurul tarafından gerekli görülmeyen kararlar kamuoyuna duyurulmayacaktır.
138. 6698 sayılı Kanun’un Kurulun çalışma esaslarının düzenlendiği 23. maddesinde Kurulun toplantı günlerini ve gündemini Başkanın belirleyeceği, Başkanın gereken hâllerde Kurulu olağanüstü toplantıya çağırabileceği, Kurul toplantılarındaki görüşmelerin gizli olduğu, Kurulda görüşülen işlerin tutanağa bağlanacağı ve Kurulun gerekli gördüğü kararları kamuoyuna duyuracağı, Kurulun çalışma usul ve esasları ile kararların yazımı ve diğer hususların yönetmelikle düzenleneceği hüküm altına alınmıştır. Bu bağlamda Kurulca kamuoyuna duyurulacak kararların söz konusu yönetmelikteki usul ve esaslara göre yapılacak çalışma çerçevesinde belirleneceği dikkate alındığında kuralın belirsiz olduğundan söz edilemez.
139. Öte yandan dava dilekçesinde Kurula yapılan başvurular arasında ayrım yapıldığı ve bu ayrıma dair objektif kriterlerin belirlenmediği ifade edilmişse de kuralla, verdiği kararların hangilerinin kamuoyuna duyurulacağını belirleme konusunda Kurula yetki verildiği anlaşılmaktadır. Zira Kanun’un 22. maddesinde Kurulun görev ve yetkileri düzenlenmekte olup bu görev ve yetkilerin bir kısmının idari işleyiş ve yönetime ilişkin olması karşısında Kurulca verilen tüm kararların kamuoyuna duyurulmasında kamu yararı olduğu söylenemez. Bu bağlamda kuralın kanun koyucunun takdir yetkisi kapsamında olduğunda kuşku yoktur. Dolayısıyla kuralda hukuk devleti ilkesine aykırı bir yön bulunmamaktadır.
140. Açıklanan nedenlerle kural Anayasa’nın 2. maddesine aykırı değildir. İptal talebinin reddi gerekir.
J. Kanun’un 28. Maddesinin (1) Numaralı Fıkrasının (a) ve (ç) Bentlerinin İncelenmesi
1. (a) Bendinin İncelenmesi
a. İptal Talebinin Gerekçesi
141. Dava dilekçesinde özetle, sadece aynı konutta yaşamanın bir başkasının kişisel alanına müdahale edilebileceği anlamına gelmediği, özel yaşamın sadece aile yaşamı veya konut mahremiyeti olmadığı, kişisel özerkliğin özel yaşama saygı kapsamındaki güvencelerin yorumlanmasında önemli bir ilke olduğu, aynı konutta yaşayan bireyler kapsamında eşler, eşlerin üstsoyu, evlilik birliği içinde veya dışında doğan veya evlat edinilen yahut koruyucu aile olarak bakımı üstlenilen çocukların da olabileceği, özel yaşamın gizliliği konusunda özellikle çocuklar ve korunmasız bireylerin etkili bir şekilde korunma hakkına sahip olduğu, velayet ilişkisinin çocuğun varlığını, onurunu, maddi ve manevi bütünlüğünü ortadan kaldıran bir hukuki müessese olmadığı, çocukların kişisel verilerinin işlenmesi öncesinde yaşları ve gelişim durumlarına göre uygun kapsam ve yöntemlerle bilgilendirilmeleri ve açık rızalarının alınmasının gerektiği belirtilerek kuralın Anayasa’nın 2., 13., 20., 41. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
142. Dava konusu kuralın yer aldığı maddede 6698 sayılı Kanun hükümlerinin uygulanmayacağı hâller hüküm altına alınmıştır. Dava konusu kuralla kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi hâlinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı hüküm altına alınmaktadır.
143. Anayasa’nın 20. maddesinin birinci fıkrasının birinci cümlesinde “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir.” denilmek suretiyle özel hayat ve aile hayatına saygı gösterilmesini isteme hakkı güvence altına alınmıştır.
144. Anayasa’nın 41. maddesinde “Aile, Türk toplumunun temelidir ve eşler arasında eşitliğe dayanır. Devlet, ailenin huzur ve refahı ile özellikle ananın ve çocukların korunması ve aile planlamasının öğretimi ile uygulanmasını sağlamak için gerekli tedbirleri alır, teşkilâtı kurar. Her çocuk, korunma ve bakımdan yararlanma, yüksek yararına açıkça aykırı olmadıkça, ana ve babasıyla kişisel ve doğrudan ilişki kurma ve sürdürme hakkına sahiptir. Devlet, her türlü istismara ve şiddete karşı çocukları koruyucu tedbirleri alır.” denilmektedir.
145. Anayasa’nın 41. maddesinde aile Türk toplumunun temeli olarak tanımlanmış, ailenin birey ve toplum hayatındaki önemine işaret edilmiş ve devlete ailenin korunması için gerekli düzenlemeleri yapması ve teşkilatı kurması konusunda ödevler yüklenmiştir. Böylece aile kurumuna anayasal koruma sağlanmıştır. Bu düzenlemeyle eşler ve çocuklardan oluşan ailenin birlik ve bütünlüğünün korunması amaçlanmaktadır. 41. maddeye 7.5.2010 tarihli ve 5982 sayılı Kanun’la eklenen dördüncü fıkrada da devletin her türlü istismara ve şiddete karşı çocukları koruyucu tedbirleri alacağı belirtilmiştir. Bu düzenlemeyle “Ailenin korunması” şeklindeki madde başlığı “Ailenin korunması ve çocuk hakları” şeklinde değiştirilip maddeye çocukların korunması konusu da eklenerek çocukların temel hakları vurgulanmış ve devletin çocukları koruyucu tedbirleri alacağı belirtilmiştir.
146. Dava konusu kuralla kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi hâlinde 6698 sayılı Kanun’da yer alan kişisel verilerin korunmasına ilişkin hükümlerin uygulanmayacağı düzenlenmiştir. Söz konusu düzenleme ile bir kişinin gerek kendi gerekse aynı konutta birlikte oturduğu aile fertlerine ilişkin kişisel verileri işlemesinin, söz konusu birlikte yaşamanın doğal ve zorunlu bir sonucu olduğu anlaşılmaktadır. Ayrıca dava konusu kuralın söz konusu hakların kullanılmasını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığı da söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle değerlendirilmesi gereken husus bu müdahalenin demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
147. Dava konusu kuralla, kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında kişisel verilerin işlenmesi hâlinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı hüküm altına alınmıştır. 4721 sayılı Türk Medeni Kanunu’na göre eşler ve çocuklardan oluşan aile fertlerinin, kendileriyle veya diğer aile fertleriyle ilgili olarak 4721 sayılı Kanun’da veya diğer kanunlarda belirtilen faaliyet ve yükümlülükleri olabileceği gibi günlük hayatın akışı içinde gerçekleştirilecek faaliyetleri de olabilir. Bu faaliyet ve yükümlülüklerin yerine getirilmesi ise söz konusu aile fertleriyle ilgili bazı kişisel verilerin işlenmesini gerektirebilir. Kanun koyucunun kuralla takdir yetkisi kapsamında gerçek kişilerin kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili söz konusu faaliyet ve yükümlülüklerin sıklık ve yoğunluk derecesini de dikkate alarak bunlarla ilgili veri işleme prosedürünü kolaylaştırmayı amaçladığı anlaşılmaktadır. Aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında tanınan dava konusu istisnanın başta çocuklar olmak üzere aile fertlerinin özerk varlığını, onurunu, maddi ve manevi bütünlüğünü ortadan kaldırmayı amaçlayan ya da bu amaca matuf bir hukuki müessese olmadığı aksine Anayasa’nın 41. maddesi ve başta 4721 sayılı Kanun olmak üzere diğer kanunlardan kaynaklanan aile fertleriyle ilgili hukuki faaliyet ve yükümlüklerin tam ve zamanında yerine getirilebilmesi suretiyle ailenin ve özellikle çocukların korunmasını sağlamaya yönelik olduğu açıktır.
148. Öte yandan anne ve babaların, çocukları üzerinde velayet hakkını yerine getirirken 4721 sayılı Kanun’dan kaynaklanan yükümlülüklere uygun hareket etme zorunluluğu bulunmaktadır. 4721 sayılı Kanun’da çocukların korunması ve yetiştirilmesine ilişkin söz konusu yükümlülüklere aykırı hareketlerin hukuki sonuçlarına ilişkin hükümlere yer verildiği gibi 5395 sayılı Çocuk Koruma Kanunu’nda yer alan ilkeler uyarınca çocuğun haklarının korunması konusunda da ayrıntılı düzenlemeler hüküm altına alınmıştır. Bu bağlamda kuralla sınırlama yapılırken ilgili kanunlarda sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer verildiği de görülmektedir. Dolayısıyla kuralla ulaşılmak istenen amaç arasında makul bir denge kurulduğu de dikkate alındığında kuralın demokratik toplum düzeninin gerekleri ve ölçülülük ilkesine aykırı bir yönü bulunduğu söylenemez.
149. Açıklanan nedenlerle kural Anayasa’nın 2., 13., 20. ve 41. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
150. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
2. (ç) Bendinin İncelenmesi
a. İptal Talebinin Gerekçesi
151. Dava dilekçesinde özetle, önleyici, koruyucu ve istihbari faaliyetlerin geniş ve belirsiz bir kavram olarak idarenin keyfî uygulamalarına yol açabilecek nitelikte olduğu, bu istisnalar kapsamına giren konularda kamu kurumlarının hangi hâllerde veri toplayacağı ve işleyeceğinin sayılması ve sınırlandırılması gerektiği, kuralın kişilerin özel yaşamlarının gizliliği hakkının özüne dokunduğu, hakkın kullanımını olanaksız hâle getirdiği, belirlilik ilkesine aykırı olduğu, sınırları belirsiz şekilde bireylerin özel yaşamlarının gizliliğine doğrudan bir müdahale niteliğinde olduğu belirtilerek kuralın Anayasa’nın 2., 13., 20. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
b. Anayasa’ya Aykırılık Sorunu
152. Dava konusu kuralda 6698 sayılı Kanun hükümlerinin uygulanmayacağı hâllerden biri olarak kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi sayılmaktadır.
153. Kişisel verilerin korunması hakkı sınırsız olmayıp Anayasa Mahkemesi kararlarında, özel sınırlama nedeni öngörülmemiş özgürlüklerin de o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğu, ayrıca Anayasa"nın başka maddelerinde yer alan hak ve özgürlükler ile devlete yüklenen ödevlerin özel sınırlama sebebi gösterilmemiş hak ve özgürlüklere sınır teşkil edebileceği de kabul edilmektedir. Dolayısıyla kişisel verilerin korunması hakkının Anayasa"da Devlete bir görev olarak yüklenen millî güvenliğin ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi amaçlarıyla sınırlandırılması mümkündür.
154. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve kişisel verilerin korunması hakkı, yalnızca kanunla ve demokratik bir toplumda gerekli olduğu ölçüde sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.
155. Nitekim 108 sayılı Sözleşme’nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği belirtilmiştir. AİHM de işe alınırken gizli bir polis dosyasında yer alan daha önceki sendikal faaliyetlerine ilişkin verilerin saklanması ve kullanılması hakkında yapılan bir başvuruda demokratik bir toplumda istihbarat servislerinin varlığının ve verilerin saklanmasının yasalara uygun olabileceğini, meşru menfaat başka bir deyişle suç işlenmesinin önlenmesi ya da ulusal güvenliğin korunması amaçlarını gözetmesi koşuluyla vatandaşların menfaatlerinin önüne geçebileceğini belirterek söz konusu müdahaleyi demokratik bir toplumda ulusal güvenlik gibi devlete geniş bir takdir yetkisi tanıyan bir konuda ağır basan sosyal ihtiyacı da göz önüne alarak AİHS’ne aykırı görmemiştir (Leander/İsveç, B. No: 9248/81, 23.3.1987).
156. Kuralın yer aldığı madde gerekçesinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesinin istisna olarak düzenlendiği; buna göre Millî İstihbarat Teşkilatı ile diğer istihbarat birimlerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği verilerin Kanun kapsamı dışında tutulduğu; aynı şekilde suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birim tarafından yürütülen faaliyetler kapsamında işlenen verilerin de bu istisna kapsamında olduğu, bu konulardaki yetkili birimin millî savunmayı, millî güvenliği kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği verilerin de 6698 sayılı Kanun kapsamı dışında tutulduğu ifade edilmektedir.
157. Kuralla millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak görev ve yetki verilmiş olan kamu kurum ve kuruluşları tarafından yürütülecek önleyici, koruyucu ve istihbari faaliyetler kapsamında kişisel verilerin işlenmesinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı hüküm altına alınmaktadır. İşlenecek bu bilgiler arasında özel hayatın gizliliği kapsamında kalacak bilgiler ve kişisel veriler de bulunabileceğinden kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına sınırlama getirildiği açıktır. Ancak bu sınırlama, Anayasa’da devlete verilen görevlerin gereği olarak millî güvenliğin, kamu düzeninin ve suç işlenmesinin önlenmesini sağlamak amacıyla yapıldığından demokratik toplum düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
158. Kuralda yer alan “önleyici, koruyucu ve istihbari faaliyetler”, “millî savunma”, “millî güvenlik”, “kamu güvenliği”, “kamu düzeni”, “ekonomik güvenlik” ibarelerinin soyut ve genel kavramlar olması kuralın belirsiz olduğu anlamına gelmemekte, bu durum kanun yapma tekniğinin doğasından kaynaklanmaktadır. Zira yasa kurallarının genel ve soyut olması; somut olayın özelliğine göre değişebilecek tüm çözümleri kuralın bünyesinde barındırma, bir başka ifadeyle kuralın amaca uygun sonuca ulaştıracak herhangi bir çözümü dışlamasını önleme ihtiyacından kaynaklanmaktadır.
159. Öte yandan 2559 sayılı Polis Vazife ve Salahiyet Kanunu, 2937 sayılı Devlet İstihbarat Hizmetleri ve Millî İstihbarat Teşkilatı Kanunu gibi ilgili kuruluş kanunlarında görev ve yetki verilmiş polis teşkilatı ve MİT gibi veya 4208 sayılı Kanun’la kurulan, görev ve yetkileri 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile yeniden belirlenen Malî Suçları Araştırma Kurulu (MASAK) gibi kamu kurum ve kuruluşlarının dava konusu kuralda yer alan millî güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilen kamu kurum ve kuruluşları olduğu açıktır. Bu kanunlarda, söz konusu kamu kurum ve kuruluşlarının görev ve yetkileri ayrıntılı şekilde düzenlenmiş ve bu düzenlemelerde söz konusu görevlerin Türkiye Cumhuriyeti’nin ülkesi ve milleti ile bütünlüğüne, varlığına, bağımsızlığına, güvenliğine, Anayasal düzenine ve millî gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel faaliyetler hakkında millî güvenlik istihbaratını oluşturmak veya suç gelirlerinin aklanmasının önlenmesini sağlamaya yönelik olduğu belirtilerek bu kamu kurum ve kuruluşları tarafından yürütülecek önleyici, koruyucu ve istihbari faaliyetler de düzenlenmiştir. Bu bağlamda dava konusu kuralla düzenlenen “önleyici, koruyucu ve istihbari” faaliyetlerin ilgili kuruluş kanunlarında veya diğer kanunlarda kapsam, sınır ve içeriklerinin ayrıntılı şekilde düzenlenmesi karşısında söz konusu faaliyetlerin kapsamının belirsiz olduğu söylenemez.
160. Ayrıca söz konusu kurum ve kuruluşların yetki ve sorumlulukları ile bunlara aykırı davranılması hâlinde öngörülen cezai yaptırımlar ilgili kanunlarda ayrıntılı şekilde düzenlendiği gibi 5237 sayılı Kanun’un 136. maddesi uyarınca da kişisel verileri hukuka aykırı olarak başkasına vermek, yaymak veya ele geçirmek suç olarak düzenlenmiştir. Dolayısıyla dava konusu kural kapsamında elde edilecek bilgilerin amacı dışında kullanılmasını önleyecek ve kişilerin özel hayatına dair bilgilerin ve kişisel verilerin ifşa edilmesini önleyecek yasal güvencenin sağlandığı görülmektedir. Bu bağlamda ilgili kanunlarda sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer verildiği ve yeterli korumanın da sağlandığı dikkate alındığından dava konusu kurallarla kişisel verilerin korunması hakkına getirilen sınırlamaların özel hayatın gizliliği ve kişisel verilerin korunması hakkının özünü zedelenmediği gibi bu haklar ile ülkede millî güvenliğin sağlanmasına yönelik önlemler arasındaki makul dengenin kurulduğu görülmektedir. Dolayısıyla dava konusu kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına getirilen sınırlamanın söz konusu hakların özünü zedelediğinden söz edilemeyeceği gibi demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı düştüğü de söylenemez.
161. Açıklanan nedenlerle kural Anayasa’nın 2., 13. ve 20. maddelerine aykırı değildir. İptal talebinin reddi gerekir.
162. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
K. Kanun’un 30. Maddesinin (7) Numaralı Fıkrası ile Değiştirilen 663 Sayılı Kanun Hükmünde Kararname’nin 47. Maddesinin İncelenmesi
1. İptal Talebinin Gerekçesi
163. Dava dilekçesinde özetle, dava konusu kuralların kişilerin sağlık hizmeti almaktan imtina etmesine neden olabileceğinden sağlık hakkına ve yaşam hakkına bir müdahale niteliğinde olduğu, kişilerin sağlıkla ilgili bilgilerinin kamu yararı bulunan bazı durumlar dışında devletten dahi gizli tutulmasını isteme hakkı bulunduğu ancak kuralla geniş şekilde sayılan amaçların kamu sağlığını korumayı aşacak nitelikte olduğu, sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacının yerine getirebilmesi için bireylerin her türlü verisinin işlenmesine ihtiyaç bulunmadığı, Sağlık Bakanlığının topladığı her türlü kişisel veriyi üçüncü kişilere aktarması hususunun sadece 6698 sayılı Kanun’daki düzenlemelere tabi olduğu ancak Kanun’daki düzenlemelerin kişilerin açık rızasının alınmasına gerek duyulmayacak şekilde ve kapsamı geniş tutulan istisnalar şeklinde düzenlendiğinden her türlü kişisel verinin üçüncü kişilere aktarılabileceği, kurulacak sistemin üçüncü kişilere kişisel verilere erişim imkânı yarattığı, bu durumun özellikle kadın üzerinde toplumsal baskı yaratacağı, töre ve namus cinayetlerine zemin hazırlayacağı, oluşturulacak merkezî sisteme kimler tarafından erişilebileceğinin belirsiz olduğu, yetkili kılınacak sağlık personeli bakımından sınırlama yapılmadığı, kişinin doktorunun bu verilere erişmesi hedeflenmiş olsa da kurulan merkezî sistemin bu amacı ve kastı aştığı, merkezî sistemin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Sağlık Bakanlığınca belirlenmesi ile Sağlık Bakanlığı’nın kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri almasına ilişkin düzenlemesinin belirsiz olduğu, Kurulun çoğunluğunun yürütme tarafından oluşturulan bir yapı olduğu, belirlenecek ilkelerin yürütmenin çoğunlukta olduğu bu yapı tarafından belirlenmesinin keyfîliğe yol açabileceği, kuralların uluslararası sözleşmelere aykırı olduğu, yönetmelikle düzenleneceği öngörülen kişisel sağlık verilerinin işlenmesi, güvenliği ve kapsamı belirli olmayan ilgili diğer hususların neler olduğunun kanun ile belirlenmesinin zorunlu olduğu belirtilerek kuralın Anayasa’nın 2., 13., 17., 20., 56. ve 90. maddelerine aykırı olduğu ileri sürülmüştür.
2. Anayasa’ya Aykırılık Sorunu
164. 6216 sayılı Kanun’un 43. maddesi uyarınca, kural ilgisi nedeniyle Anayasa’nın 5. ve 7. maddeleri yönünden de incelenmiştir.
165. Dava konusu kuralların yer aldığı 663 sayılı Kanun Hükmünde Kararname (KHK) Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektedir. KHK’nın 2. maddesine göre Bakanlığın görevi; herkesin bedenî, zihnî ve sosyal bakımdan tam bir iyilik hâli içinde hayatını sürdürmesini sağlamaktır. Bu kapsamda Bakanlık halk sağlığının korunması ve geliştirilmesi, hastalık risklerinin azaltılması ve önlenmesi, teşhis, tedavi ve rehabilite edici sağlık hizmetlerinin yürütülmesi, uluslararası önemi haiz halk sağlığı risklerinin ülkeye girmesinin önlenmesi, sağlık eğitimi ve araştırma faaliyetlerinin geliştirilmesi, sağlık hizmetlerinde kullanılan ilaçlar, özel ürünler, ulusal ve uluslararası kontrole tabi maddeler, ilaç üretiminde kullanılan etken ve yardımcı maddeler, kozmetikler ve tıbbi cihazların güvenli ve kaliteli bir şekilde piyasada bulunması, halka ulaştırılması ve fiyatlarının belirlenmesi, insan gücünde ve maddi kaynaklarda tasarruf sağlamak ve verimi artırmak, sağlık personelinin ülke sathında dengeli dağılımını sağlamak ve bütün paydaşlar arasında iş birliğini gerçekleştirmek suretiyle yurt sathında eşit, kaliteli ve verimli hizmet sunumunun sağlanması, kamu ve özel hukuk tüzel kişileri ile gerçek kişiler tarafından açılacak sağlık kuruluşlarının ülke sathında planlanması ve yaygınlaştırılması ile ilgili olarak sağlık sistemini yönetir ve politikaları belirler.
166. Bakanlık, bu amaçları gerçekleştirmek üzere strateji ve hedefleri belirler; planlama, düzenleme ve koordinasyon, uluslararası ve sektörler arası iş birliği, rehberlik, izleme, değerlendirme, teşvik, yönlendirme ve denetleme yapar, müeyyide uygular, acil durum ve afet hâllerinde sağlık hizmetlerini planlar ve yürütür, bölgesel farklılıkları gidermeye ve herkesin sağlık hizmetine erişimini sağlamaya yönelik tedbirler alır, ilgili kurum ve kuruluşların insan sağlığını doğrudan ve dolaylı olarak etkileyen faktörler ve sosyal belirleyicilerle ilgili uygulamalarına ve düzenlemelerine yön verir, bunu teminen gerekli bildirimleri yapar, görüş bildirir ve müeyyide uygular, görevin ve hizmetin gerektirdiği her türlü tedbiri alır.
167. Dava konusu kuralların yer aldığı 663 sayılı KHK’nın 47. maddesinde sağlık hizmetine ilişkin kişisel veriler hakkında bilgi toplama, işleme ve paylaşma yetkisi düzenlenmiştir. Maddenin (1) numaralı fıkrasında sağlık hizmeti almak üzere kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verilerin işlenebileceği, (2) numaralı fıkrasında ise sağlık hizmetinin verilmesi, kamu sağlığının korunması; koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlığın bu fıkra kapsamında elde edilen verileri alarak işleyebileceği ve bu verilerin, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamayacağı öngörülmektedir.
168. Anayasa’nın 20. maddesinde belirtildiği üzere kişisel veriler ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. 6698 sayılı Kanun’un 6. maddesinin (2) numaralı fıkrasına göre özel nitelikli kişisel verilerden olan kişilerin sağlığı ile ilgili verilerin kural olarak ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Maddenin (3) numaralı fıkrasına göre özel nitelikli kişisel veriler kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir, cinsel hayata ve sağlığa ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Kanun koyucunun dava konusu kurallarla kişisel verilerin korunması hakkında genel kanun niteliğinde olan 6698 sayılı Kanun’da belirtilen hükümleri Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenleyen özel kanun niteliğindeki 663 sayılı KHK’da da benzer şekilde düzenlemek suretiyle uygulamada ortaya çıkabilecek sıkıntıları önlemeyi amaçladığı anlaşılmaktadır.
169. Diğer taraftan 108 sayılı Sözleşme’nin 9. maddesinde, maddede belirtilen bazı hâllerde kişisel verilerin korunmasına sınırlamalar getirilebileceği belirtilmiştir. 95/46/EC sayılı Direktif’in 8. maddesinin (2) numaralı fıkrasında da veri işlemenin önleyici hekimlik, tıbbi teşhis, tıbbi yardım veya bakım ya da sağlık hizmetlerinin idari olarak yürütülmesi için gerekli olması ve bu verilerin ya sağlık personeli veya sağlık personeli gibi sır saklama yükümlülüğüne tabi kişiler tarafından işlenmesi mümkün kılınmıştır. Maddede ayrıca üye devletlerin uygun önlemleri almak koşuluyla kamu yararı için başka istisnalar da belirleyebileceği belirtilmiştir.
170. Dava konusu kurallarla özel hayatın gizliliği ve kişisel verilerin korunması haklarına sınırlama getirildiği şüphesizdir. Kurallarla her ne kadar söz konusu haklara müdahalede bulunulmuş ise de kuralların sadece sağlık hizmeti almak üzere müracaat edenlerin sağlık hizmetlerinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verilerin işlenebilmesini düzenlediği dikkate alındığında dava konusu kurallarla getirilen sınırlamanın söz konusu hakların kullanılmasını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığı söylenemeyeceğinden hakkın özüne dokunmadığı açıktır. Bu nedenle değerlendirilmesi gereken husus bu müdahalenin demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine uygun olup olmadığıdır.
171. Sağlık hizmetlerinin yerine getirilebilmesi, hasta takip sisteminin iyi bir şekilde işleyebilmesi ve hastaların sağlık hizmetlerinden en iyi şekilde yararlanabilmesi için söz konusu verilerin kamu veya özel sağlık kuruluşları ile sağlık mesleği mensupları tarafından işlenmesi gerektiği açıktır. Ayrıca söz konusu verilerin Bakanlık tarafından işlenmesinin Bakanlığın 663 sayılı KHK’da belirtilen sağlık hizmetleriyle ilgili strateji ve hedefleri belirlemek, planlama, düzenleme ve koordinasyon yapmak, acil durum ve afet hâllerinde sağlık hizmetlerini planlamak ve yürütmek, bölgesel farklılıkları gidermeye ve herkesin sağlık hizmetine erişimini sağlamaya yönelik tedbirler almak, ilgili kurum ve kuruluşların insan sağlığını doğrudan ve dolaylı olarak etkileyen faktörler ve sosyal belirleyicilerle ilgili uygulamalarına ve düzenlemelerine yön vererek bunu temin için gerekli bildirimleri yapmak, görüş bildirmek ve müeyyide uygulamak gibi görev, yetki ve sorumluluklarını yerine getirmesi bakımından da gerekli olduğunda kuşku yoktur.
172. Anayasa"nın 5. maddesi insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamayı devletin temel amaç ve görevleri arasında saymıştır. Devlet, kişilerin sağlık hakkından tam anlamıyla yararlanabilmeleri ve sağlıklı bir yaşam sürdürebilmeleri amacıyla yasal, idari, mali, yargısal ve diğer önlemleri almak zorundadır. Ayrıca Anayasa, sosyal hukuk devleti olmanın gereği olarak sağlık hizmetlerinin sunumunda yüklediği pozitif yükümlülük kapsamında devleti bu haklardan yararlanmayı artıracak önlemleri almakla mükellef kılmıştır. Bu nedenle Anayasa’nın 17. ve 56. maddelerinde öngörülen kişilerin yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkı ile sağlık hakkından yararlanma konusunda en geniş ölçekli uygulamaların gerçekleştirilmesi gerekir. Kişiler için bir hak olan sağlık hizmetinden yararlanmayı kolaylaştırıcı düzenlemeler yapılması ve bu hizmetin daha iyi bir şekilde gerçekleştirilmesi için gerekli tedbirlerin alınması devletin Anayasa’dan kaynaklanan bir ödevidir. Dolayısıyla Anayasa’da devlete verilen görevlerin gereği olarak kişilerin sağlıklı bir şekilde yaşam sürdürmeleri için genel sağlığın korunması amacıyla düzenlenen dava konusu kurallar demokratik toplum düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır.
173. Öte yandan 6698 sayılı Kanun’un 2. maddesine göre Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Dolayısıyla dava konusu kurallar kapsamında sağlık verilerinin işlenmesi bakımından 6698 sayılı Kanun’da yer alan tüm ilke ve kurallar ile güvencelere uyulması zorunlu olup Kanun’da yer alan kişisel verilerin işlenme şartlarına, aktarılmasına, veri sorumlusunun aydınlatma yükümlülüğüne, veri güvenliğine ilişkin kurallar uygulanacaktır. Aksi hâlde Kanun’un 17. maddesinde yer alan kişisel verilere ilişkin suçlar bakımından 5237 sayılı Kanun’un 135 ila 140. maddeleri hükümleri uygulanacak ve Kanun’un 7. maddesi hükmüne aykırı olarak kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanun’un 138. maddesine göre cezalandırılacaktır. Kişisel verileri hukuka aykırı olarak başkasına verme, yayma veya ele geçirme suçu ise 5237 sayılı Kanun’un 136. maddesi uyarınca cezalandırılacaktır. Bu bağlamda dava konusu kurallar kapsamında işlenecek verilerin amacı dışında kullanılmasını ve kişilerin özel hayatına dair bilgilerin ve kişisel verilerin ifşa edilmesini önleyecek yasal güvencelerin sağlandığı görülmektedir. Dava konusu kurallarda kişisel verilerin korunması hakkına sınırlama getirilirken Kanun’da sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere de yer verildiği, böylece hem özel hayatın gizliliği ve kişisel verilerin korunması haklarının özünün zedelenmesinin önlendiği, hem de bu haklar ile ülkede genel sağlığın sağlanmasına yönelik önlemler arasındaki makul dengenin kurulduğu görülmektedir.
174. Dolayısıyla dava konusu (1) ve (2) numaralı fıkralarda kişisel verilerin korunmasını isteme hakkının özüne dokunan ya da bu hakkı ölçüsüz şekilde sınırlandıran bir husus bulunmamaktadır. Kurallarla söz konusu verileri işleme yetkisinin amacı ve faaliyet alanı belirlenmiş ve bu şekilde kamu yararı ile özel hayatın gizliliği ve kişisel verilerin korunması hakları arasında adil bir denge kurulmuştur. Bu nedenle dava konusu kurallarda öngörülen sağlık verilerinin işlenmesi yetkisinin ölçülülük ilkesine aykırı bir yönü bulunmamaktadır.
175. Maddenin (3) numaralı fıkrasında Bakanlığın ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracağı; (4) numaralı fıkrasında, üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği, Bakanlığın bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alacağı, bu amaçla sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kuracağı; (5) numaralı fıkrasında ise sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişilerin istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olduğu hüküm altına alınmıştır.
176. Dava konusu kurallarla kanun koyucunun KHK’nın 47. maddesinin (1) ve (2) numaralı fıkraları gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistemin kurulması ile kurulacak bu sistemin güvenliği ve güvenilirliğinin sağlanmasına yönelik ilke ve tedbirlerin belirlenmesi suretiyle özel nitelikli kişisel veri kategorisindeki sağlık verilerini daha özel olarak koruma altına almayı amaçladığı anlaşılmaktadır. Kanun koyucunun, kamu yararı amacıyla sağlığa ilişkin kişisel verilerin korunmasının önemini dikkate alarak bu verilerin güvenliğinin sağlanmasına yönelik olarak düzenlediği anlaşılan dava konusu kuralların Anayasa’ya aykırı bir yönü bulunmamaktadır.
177. AİHM’nin kararlarında da kişisel sağlık verilerine izinsiz erişilmesine karşı etkin ve somut bir korumanın önemi vurgulanarak kamu kurumları ve devletin bu verilerin gizliliğini güvence altına alabilmek için kişisel verileri koruyacak kuralları yürürlüğe koyma ve gerekli güvenceleri sağlama yükümlülüğü altında olduğu ifade edilmiş ve kişisel sağlık verilerini saklamakta başarısız olunması veya bu bilgilere erişime engel olacak güvenli ve sağlam bir sistem kurulamamasının AİHS’nin ihlali olarak değerlendirildiği görülmektedir. (I/Finlandiya, B.No: 20511/03, 17.07.2008).
178. Maddenin (6) numaralı fıkrasında kişisel sağlık verilerinin işlenmesi, güvenliği ve maddenin uygulanması ile ilgili diğer hususların Bakanlıkça yürürlüğe konulan yönetmelikle düzenleneceği belirtilmektedir.
179. Anayasa’nın 7. maddesinde yasama yetkisinin Türk Milleti adına Türkiye Büyük Millet Meclisine ait olduğu ve bu yetkinin devredilemeyeceği öngörülmüştür. Anayasa’da kanun ile düzenlenmesi öngörülen konularda yürütme organına genel ve sınırları belirsiz bir düzenleme yetkisinin verilmesi mümkün değildir. Anayasa’nın 20. maddesinde kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği öngörülmüştür.
180. Kanunla düzenleme ilkesi, düzenlenen alanda temel ilkelerin kanunla konulmasını ve çerçevenin kanunla çizilmesini ifade etmektedir. Gelişen koşul ve durumlara göre sık sık değişik önlemler alma, bunları kaldırma ve süratli biçimde hareket etme zorunluluğunun bulunduğu alanlarda yasama organının temel kuralları saptadıktan sonra uzmanlık ve idare tekniğine ilişkin hususları yürütmeye bırakması, yasama yetkisinin devri olarak yorumlanamayacağı gibi yürütme organının yasama organı tarafından çerçevesi çizilmiş alanda ve değişen koşullara uyum sağlayabilecek esnekliğe sahip kriterlere uygun olarak genel nitelikte hukuksal tasarruflarda bulunması, kanunla düzenleme ilkesine aykırılık oluşturmaz ve yasama yetkisinin devri olarak yorumlanamaz.
181. Maddenin (1), (2), (3), (4) ve (5) numaralı fıkralarında sağlık hizmetinin gereği olarak verilmesi zorunlu kişisel verilerin işlenmesi ve güvenliğine ilişkin genel çerçevenin belirlendiği; hem kişiler hem de idare yönünden herhangi bir duraksamaya ve kuşkuya yer vermeyecek şekilde açık, net, anlaşılır, uygulanabilir olduğu ve kamu otoritelerinin keyfî uygulamalarına karşı koruyucu önlem içerdiği açıktır. Dolayısıyla kanun koyucunun temel esasları ve ilkeleri belirleyip sınırları çizdikten sonra bazı teknik konuların düzenlenmesini idareye bıraktığı dava konusu kuralın belirsiz olduğu söylenemeyeceği gibi yasama yetkisinin devredilmezliği ilkesine aykırı bir yönü de bulunmamaktadır.
182. Açıklanan nedenlerle kural Anayasa’nın 2., 5., 7., 13., 17., 20. ve 56. maddesine aykırı değildir. İptal talebinin reddi gerekir.
183. Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT bu görüşe katılmamışlardır.
184. Kuralın Anayasa’nın 90. maddesiyle ilgisi görülmemiştir.
IV. YÜRÜRLÜĞÜN DURDURULMASI TALEBİ
185. Dava dilekçesinde özetle iptali istenen kuralların Anayasa’ya açıkça aykırı olduğu ve yürürlüklerinin durdurulmaması hâlinde hukuk devleti yönünden giderilmesi olanaksız durum ve zararların ortaya çıkacağı belirtilerek kuralların yürürlüklerinin durdurulmasına karar verilmesi gerektiği ileri sürülmüştür.
24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun;
A. 4. maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “…veya işlendikleri amaç için gerekli olan…” ibaresine,
B. 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f) bentlerine,
C. 6. maddesinin;
1. (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık ve kıyafeti…” ibarelerine,
2. (3) numaralı fıkrasına,
D. 7. maddesinin (2) numaralı fıkrasına,
E. 8. maddesinin (3) numaralı fıkrasına,
F. 9. maddesinin (6) numaralı fıkrasına,
G. 13. maddesinin (2) numaralı fıkrasının ikinci cümlesine,
H. 15. maddesinin (3) numaralı fıkrasında yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresine,
I. 16. maddesinin (2) numaralı fıkrasının ikinci cümlesine,
J. 24. maddesinin (3) numaralı fıkrasının (b) bendinde yer alan “...Kurulca gerekli görülenlerin…” ibaresine,
K. 28. maddesinin (1) numaralı fıkrasının (a) ve (ç) bentlerine,
L. 30. maddesinin (7) numaralı fıkrası ile değiştirilen 11.10.2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname"nin 47. maddesine yönelik iptal talepleri, 28.9.2017 tarihli, E.2016/125, K.2017/143 sayılı kararla reddedildiğinden, bu madde, fıkra, bent, cümle ve ibarelere ilişkin yürürlüğün durdurulması taleplerininREDDİNE, 28.9.2017 tarihinde OYBİRLİĞİYLE karar verilmiştir.
V. HÜKÜM
24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun;
A. 4. maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “…veya işlendikleri amaç için gerekli olan…” ibaresinin, Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
B. 5. maddesinin (2) numaralı fıkrasının (c), (ç), (e) ve (f) bentlerinin Anayasa’ya aykırı olmadıklarına ve iptal taleplerinin REDDİNE OYBİRLİĞİYLE,
C. 6. maddesinin;
1. (1) numaralı fıkrasında yer alan “…mezhebi,…” ve “…kılık ve kıyafeti…” ibarelerinin Anayasa’ya aykırı olmadıklarına ve iptal taleplerinin REDDİNE, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
2. (3) numaralı fıkrasının Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
D. 7. maddesinin (2) numaralı fıkrasının Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
E. 8. maddesinin (3) numaralı fıkrasının Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
F. 9. maddesinin (6) numaralı fıkrasının Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
G. 13. maddesinin (2) numaralı fıkrasının ikinci cümlesinin Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
H. 15. maddesinin (3) numaralı fıkrasında yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç…” ibaresinin Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE OYBİRLİĞİYLE,
I. 16. maddesinin (2) numaralı fıkrasının ikinci cümlesinin Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
J. 24. maddesinin (3) numaralı fıkrasının (b) bendinde yer alan “...Kurulca gerekli görülenlerin…” ibaresinin Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE, OYBİRLİĞİYLE,
K. 28. maddesinin (1) numaralı fıkrasının (a) ve (ç) bentlerinin Anayasa’ya aykırı olmadıklarına ve iptal taleplerinin REDDİNE OYBİRLİĞİYLE,
L. 30. maddesinin (7) numaralı fıkrası ile değiştirilen 11.10.2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname"nin 47. maddesinin Anayasa’ya aykırı olmadığına ve iptal talebinin REDDİNE, Engin YILDIRIM, Serdar ÖZGÜLDÜR, Serruh KALELİ ile Osman Alifeyyaz PAKSÜT’ün karşıoyları ve OYÇOKLUĞUYLA,
28.9.2017 tarihinde karar verildi.
|
Başkan Zühtü ARSLAN |
Başkanvekili Burhan ÜSTÜN |
Başkanvekili Engin YILDIRIM |
|
Üye Serdar ÖZGÜLDÜR |
Üye Serruh KALELİ |
Üye Osman Alifeyyaz PAKSÜT |
|
Üye Recep KÖMÜRCÜ |
Üye Hicabi DURSUN |
Üye Celal Mümtaz AKINCI |
|
Üye Muammer TOPAL |
Üye M. Emin KUZ |
Üye Hasan Tahsin GÖKCAN |
|
Üye Kadir ÖZKAYA |
Üye Rıdvan GÜLEÇ |
|
Üye Recai AKYEL |
Üye Yusuf Şevki HAKYEMEZ |
KARŞIOY GÖRÜŞÜ
A. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinin Üçüncü Fıkrası Yönünden
1. Dava konusu kural, cinsel hayata ve sağlığa ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini düzenlemektedir.
2. Devletin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amaçlarıyla bazı verilere ihtiyaç duyması ve bunun için ilgili kişilerin açık rızasını aramaması bir an için kabul edilebilir olsa bile aynı şeyi sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları doğrultusunda kişilerin sağlık ve cinsel hayatlarına ilişkin hassas kişisel verilerin açık rıza olmadan işlenmesi için söyleyemeyiz.
3. Cinsel hayata ve sağlığa ilişkin özel nitelikli hassas veriler kişinin özel hayatına ait en mahrem bilgileri de içerdiğinden bunların ancak açık rıza ile işlenmesi gerekmektedir. Kişiler, bu tür bilgilerin kendi rızaları dışında kaydedilmesinden, toplanması, aktarılması ve işlenmesinden endişe duyarak bazı temel hak ve hürriyetlerini kullanmaktan kaçınabilecekleri gibi sağlık hizmeti almakta tereddüt yaşayabilirler.
4. Anayasa’nın 20. maddesinin birinci fıkrasında “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” denilerek özel hayatın gizliliği güvence altına alınmıştır. Maddenin üçüncü fıkrasında ise herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı hükme bağlanarak kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir.
5. Cinsel hayata ve sağlığa ilişkin özel nitelikli hassas kişisel verilerin işlenmesinde temel ilke ilgilinin açık rızasının bulunmasıdır. İptali istenen kuralla bu kişisel verilerin ilgilinin açık rızası olmaksızın işlenebileceği hâller belirtilmek suretiyle yukarıda ifade edilen temel ilkeye istisna getirilmiştir. Özel nitelikli hassas kişisel veri olduğundan en küçük şüphe duyulmayan sağlık ve cinsel hayata ilişkin verilerin belirtilen hallerde ilgilinin açık rızası olmadan işlenebileceğini düzenleyen kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına bir müdahalede bulunulmaktadır.
6. Bu müdahale söz konusu hakların kullanılmasını son derece zorlaştırmadığı veya onları kullanılamaz hale getirmediğinden hakkın özüne dokunmamakla beraber, müdahalenin demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine uygun olup olmadığının değerlendirilmesi gerekmektedir.
7. Anayasa’nın 13. maddesinde, temel hak ve özgürlüklerin özlerine dokunulmaksızın ölçülülük ilkesine uygun şekilde, yasayla sınırlandırılabileceği belirtilmektedir. Ölçülülük ilkesi sınırlamada başvurulan aracın sınırlama amacını gerçekleştirmeye elverişli olmasını; bu aracın sınırlama amacı açısından gerekli olmasını ve araçla amacın ölçüsüz bir oran içinde bulunmamasını ifade eder. Burada kısıtlama için kullanılan araçla amaç arasında hak ve özgürlüğü en az sınırlayacak dengeli bir orantı aranmaktadır.
8. Elverişlilik ölçütüne göre bir yasal düzenlemenin sınırlama amacı bakımından elverişli sayılması için bu düzenlemenin arzulanan amaca katkı yapması gerekmektedir. İncelediğimiz kural bu niteliği kısmen taşımaktadır. Gereklilik ise bir temel hakkı en az sınırlayan aracın seçilmesini gerektirmekle birlikte dava konusu kuralın, hakkı en az sınırlayan yumuşak bir araç olduğunu söylemek mümkün değildir. Çünkü söz konusu kural, çok geniş ve adeta sınırsız bir çerçeveyi kapsayarak bireyin neredeyse her türlü özel nitelikli hassas sağlığa ve cinsel hayata ilişkin kişisel verisinin toplanması, aktarılması ve işlenmesini kapsamı dâhilinde görmektedir.
9. Kuralın, Anayasa’nın amir hükümleri gereğince genel sağlığın korunması amacına dönük olarak kamu yararı taşıdığı açıktır ancak kuralın özel hayatın gizliliği ve kişisel verilerin korunması hakları ile toplum sağlığının korunmasına yönelik önlemler arasındaki makul bir denge kurmayarak, birincisini ikincisine feda ettiğini ifade etmek mümkündür.
10. Özel hayatın gizliliği ve bu kapsamda özel nitelikli hassas kişisel verilerin korunması konusu her şeyden önce insan onuruna saygı ve kişilik haklarına dayanmaktadır. Bu hak, kişinin saygınlığını ve kişiliğini serbestçe geliştirmesini mümkün kılan şeref ve haysiyet, özel yaşam ve sağlık gibi kişisel değerler üzerindeki çıkarlarını belirterek, bireye kişiliğini dilediği şekilde, serbestçe geliştirebileceği, kendisi ve sevdikleriyle bir arada olabileceği özerk bir yaşam alanına sahip olma şansı vermektedir. Bu alanda birey, maddi ve manevi kişiliğini geliştirmek ve başkaları tarafından bilinmesini istemediği hususların güvence altına alınmasını istemek hakkına sahiptir.
11. Kişisel verilerin toplanması ve işlenmesi sırasında bireyin bu veriler üzerindeki hakkı, onun devlet veya üçüncü kişiler tarafından sıradan bir veri nesnesine indirgenmesini önlemek amacını taşımaktadır. Sağlık ve cinsel hayatla ilgili özel nitelikli hassas kişisel verilerin ilgili kişinin açık rızası olmadan toplanması, işlenmesi ve aktarılması, kişinin basit bir veri nesnesi olarak değerlendirilmesine yol açtığından insan haysiyetini zedelemektedir. Bireyin, ahlaki ve toplumsal kişiliğinin gelişiminde ve diğer insanlarla olan ilişkilerini düzenlemede önemli bir kavram olan mahremiyetin ihlali insan haysiyetinin ve kişiliğinin ihlali anlamına gelmektedir.
12. Hassas kişisel verilerin korunması kişinin maddi ve manevi varlığını geliştirmesine imkân tanıyarak, bireyin hayatını kendi özgür iradesiyle düzenlemesine katkı sağlamaktadır. Bireyin özel nitelikli hassas kişisel verileri üzerindeki hakkı yeteri kadar korunmazsa, kişiliğini serbestçe geliştirmesi zora gireceğinden, özgür iradeleriyle yaşamlarını biçimlendiren bireylerden oluşan demokratik bir toplum düzeninin ortaya çıkması ve korunması da güçleşecektir.
13. Anayasa’nın 20. maddesinde kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmekle beraber dava konusu kural sağlık ve cinsel hayatla ilgili özel nitelikli hassas kişisel verilerle ilgili olduğundan bunların toplanması, aktarılması ve işlenmesinde ilgili kişinin açık rızasının aranmaması demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırılık taşımaktadır. “Kanunda öngörülen haller” ibaresi her türlü kişisel verinin rıza olmadan işlenmesine imkân tanıyan açık bir çek olarak yorumlanmamalıdır.
14. Sonuç olarak kuralın Anayasa’nın 20. ve 13. maddelerine aykırı olduğu gerekçesiyle karara muhalif kalınmıştır.
B. Kanun’un 16. Maddesinin İkinci Fıkrasının İkinci Cümlesi Yönünden
1. İptali istenen kuralın yer aldığı maddede Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacağı ve kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu hüküm altına alınmıştır. Dava konusu kural ise işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceğini öngörmektedir.
2. Kişisel verileri işleyen gerçek ve tüzel kişiler veri işlemeye başlamadan önce Veri Sorumluları Siciline Kaydolmak Zorundadır. Bu sicil kişisel verilerin kimler ve hangi kuruluşlar tarafından işlendiğini gösteren bir listedir. Getirilen istisna sayesinde kuruluş kanunu ile kendisine kişisel verileri toplama yetkisi verilen kurumlar kişisel verileri toplarken kanunda düzenlendiği gerekçesiyle kişinin açık rızasını aramadan da bu işlemlerini yapabilecektir.
3. Birey kişisel verisinin kim tarafından işlendiğini görmek için veri sorumluları siciline bakmak istediğinde kanundan kaynaklanan istisnai düzenlemeden yararlanılması durumunda bunu öğrenemeyeceği gibi listede yer almayan veri sorumlusunun kişisel verileri üçüncü kişilere aktarıp, aktarmadığını da bilemeyecektir.
4. Kuralla getirilen istisna kişisel verileri işlenen kişiyi korumasız hâle getirdiğinden hukuk devleti ilkesi ile bağdaşmamaktadır. Bu nedenle Anayasa’nın 2. maddesine aykırılık taşıdığı düşüncesindeyim.
C. Kanun’un 30. Maddesinin (7) Numaralı Fıkrası ile Değiştirilen 663 Sayılı Kanun Hükmünde Kararname’nin 47. Maddesinin Birinci, İkinci ve Üçüncü Fıkraları Yönünden
Dava konusu kuralın birinci, ikinci ve üçüncü fıkralarının yukarıda (A) başlığı altında yazılan gerekçelerle Anayasa’ya aykırı olduğu kanaatine varılmıştır.
|
Başkanvekili Engin YILDIRIM |
KARŞI OY GEREKÇESİ
I. 24.3.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin, iptal istemine konu (1) numaralı fıkrasında yer alan “…mezhebi…” ve “…kılık ve kıyafeti…” ibarelerinin, fıkrada yer alan diğer unsurlarla birlikte “özel nitelikli (hassas) veri” olarak kabul edildiği, gerek madde metninden, gerek madde gerekçesinden anlaşılmaktadır. Kanun’un 6 ncı maddesinin (1) ve (2) numaralı fıkra metinlerinden, kişilerin “mezhebi” ve “kılık ve kıyafeti”nin, kendilerinin açık rızası olmaksızın işlenemeyeceği gibi bir anlam çıkıyorsa da, maddenin yine iptal istemine konu (3) numaralı fıkrasında sayılan birçok durumda bu kurala istisna getirilmiş ve “Kanunlarda öngörülen hallerde” kişilerin “mezhebi” ile “kılık ve kıyafetinin” de işlenebileceği hükme bağlanmıştır. Her ne sebep ve gerekçeye dayanırsa dayansın, kişilerin “mezhebi” ile “kılık ve kıyafeti” gibi hassas verilerin bir şekilde işlenmesine (kaydedilmesi, başka kurum ve birimlerle paylaşılması, kategorize edilmesi vb.) imkân tanıyan yasal düzenlemenin Anayasa’nın 2., 20., 24. ve 25. maddeleri ile bağdaştırılmasına imkân yoktur. Toplumun hassas bir yönü olan işaret edilen hususların (verilerin) değil işlenmesi, kaydının tutulması dahi Anayasaya açık aykırılıkla malüldür. Ülkemizin yakın tarihine bakıldığında da, vahim toplumsal çatışmaların çıkmasına neden olan bir konunun “kişisel veri” olarak kabulü ve geniş istisnalar tanınarak işlenmesine imkân tanınmasının hukuk devleti kavramı ile de bağdaşır bir yönü bulunmamaktadır.
Avrupa Konseyi’nin 108 sayılı “Kişisel Nitelikli Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”sinin, (1) numaralı fıkrasında “Dini veya felsefi inançları” özel veri kabul edilmiş; ancak metinde “mezhep” kavramına yer verilmemiş; istisnaları düzenleyen (2) numaralı fıkrasında da, bu özel verilerin işlenebileceği haller arasında, iptal istemine konu (3) numaralı fıkradaki gibi geniş bir takdir yetkisi tanınmamıştır. Dolayısiyle, kuralın Avrupa Birliği ilkeleri ile uyumlu olduğundan da söz edilemez.
6 ncı maddenin iptal istemine konu (3) numaralı fıkrasında, yukarıda açıklandığı gibi hem “mezhep” ile “kılık ve kıyafet” gibi kişisel verilerin rahatça işlenmesine yol açacak istisna hükümlerine yer verilmiş, hem de “sağlık ve cinsel hayata ilişkin kişisel verilerin” bir çok halde (hemen hemen sağlık birimlerinin uygun göreceği her durumda) ilgili kişinin açık rızası aranmaksızın işlenebileceği ifade edilmiştir. Sağlık Bakanlığı ve bağlı kuruluşlarına, görevlerini yürütebilmeleri için gerekli olan bilgileri toplama, işleme, paylaşma yetkisi veren kuralın (663 sayılı KHK’nin 47. maddesinin 1, 2 ve 3 numaralı fıkralarının) iptali istemi ile açılan davada Anayasa Mahkemesi 4.12.2014 tarih ve E.2013/114, K.2014/184 sayılı kararında, şu gerekçeyle kuralların iptaline karar vermiştir: “…663 sayılı KHK’nın 47. maddesinin dava konusu (1) numaralı fıkrasıyla Bakanlık ve bağlı kuruluşlarına, mevzuatla kendilerine verilen görevleri, e-devlet uygulamalarına uygun olarak daha etkin ve daha hızlı biçimde yerine getirebilmeleri amacıyla bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, hizmetin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplama, işleme ve paylaşma yetkisi verilmektedir. Verilen yetkiyle özel hayatın ve kişisel verilerin korunması haklarına bir sınırlama getirildiği açık olup, bu sınırlama, demokratik toplum düzeni bakımından alınması gereken tedbirler kapsamında kalmaktadır… Ancak kuralda söz konusu kişisel bilgilerin ‘her türlü vasıtayla’ toplanmasına, işlenmesine ve paylaşılmasına izin verilmesi, sınırlamayı, öngörülme amacının ötesinde kişisel bilgilerin gizliliğinin keyfi şekilde ihlâl edilmesi sonucunu doğurabilecek bir araca dönüştürmektedir. Bu ise sınırlama aracıyla sınırlama amacı arasında bulunması gereken makul dengeyi bozmakta, özel hayatın ve kişisel verilerin korunmasını isteme haklarına kuralda belirtilen sınırlama amacı dışında ölçüsüz bir şekilde müdahale edilebilmesine imkân tanımaktadır… 47. maddenin dava konusu (2) numaralı fıkrasında da (1) numaralı fıkrada belirtilen yöntemlerle toplanan ve işlenen verilerin, ilgili üçüncü kişiler ile kamu kurum ve kuruluşlarıyla paylaşılması öngörüldüğünden, yukarıda belirtilen aynı gerekçelerle bu düzenleme de ölçülülük ilkesini ihlâl etmektedir… 47. maddenin dava konusu (3) numaralı fıkrasında ise Bakanlık ve bağlı kuruluşlarının, mevzuatla kendilerine verilen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkili olduğu ve ilgili kişi ve kuruluşların istenilen bilgileri vermekle yükümlü oldukları düzenlenmektedir. Bakanlık ve bağlı kuruluşlarına verilen görevler çok geniş bir alanı kapsamakta olup, bu görevlerin tamamının kişilerin özel hayatlarına müdahale edilmesini gerektirecek bir toplumsal zorunluluğu bünyesinde barındırdığı söylenemez. Dolayısiyle dava konusu kuralla sadece demokratik toplum düzeni yönünden zorunlu olan sınırlamalara değil, özel hayatın ve kişisel verilerin korunması haklarına yapılabilecek her türlü sınırlamaya izin verilmesi, bir başka ifadeyle, kuralda anılan haklara sınırlama getirilirken sınırlama aracının sınırlama amacına uygun ve orantılı olarak kullanılmasını temin edecek güvencelere yer verilmemesi ölçülülük ilkesine aykırı düşmektedir. Açıklanan nedenlerle dava konusu kurallar Anayasa’nın 2., 13. ve 20. maddelerine aykırıdır. İptali gerekir…” İptal istemine konu (3) numaralı fıkranın incelenmesinde, “Sağlık ve cinsel hayata ilişkin kişisel veriler”in, maddede sayılan pek çok halde, “sır saklama yükümlülüğü altında bulunan kişiler” veya “yetkili kurum ve kuruluşlar” tarafından, ilgilinin açık rızası aranmaksızın işlenebileceği hüküm altına alınmaktadır. Kural, bu haliyle, Anayasa Mahkemesinin yukarıda işaret edilen iptal kararına açıkça aykırı düştüğü gibi, kişi hakkında sağlık bilgilerine sahip olup, bunu kayıtla yükümlü olan ilgili hekim ve sağlık kuruluşu dışında merkezi bir kayıt tutma (işleme) ve bunu başka kişi veya birimlerle paylaşma gibi istisnalar (imtiyazlar) getirmesi itibariyle Anayasa’nın 2., 13. ve 20. maddelerine aykırılıkla malûldür. Keza, kişilerin cinsel hayatına ilişkin durum ve tercihlerinin işlenmesi imkânı tanınması aynı nedenlerle Anayasa’ya aykırıdır.
II. 6698 sayılı Kanun’un “Veri sorumluları sicili” başlıklı 16 ncı maddesinin iptal istemine konu (2) numaralı fıkrasıyla, (1) numaralı fıkrada öngörülen kamuya açık “Veri sorunluları sicili” ne tüm kişisel veri işleyen gerçek ve tüzel kişilerin kaydedilmesi zorunluluğuna istisnalar getirilmekte ve işlenen kişisel verilerin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği belirtilmektedir. Kişisel verileri kaydedip işleyen kimi görevliler yönünden getirilen bu istisna, ilgili görevlileri koruyacak ancak hakkındaki veriler işlenen kişileri tamamen korumasız duruma getirecek, haksız ve sübjektif nedenlerle veri işlendiği iddiasıyla yasal yolların kullanılması halinde dava edilecek bir muhatap bile bulunamayacaktır. Kişisel verilerin işlenmesi gibi çok önemli bir idari fonksiyonu ifade eden kişiler yönünden getirilen ve imtiyaz mahiyetindeki bu kuralın hukuk devleti ilkesi ile bağdaştırılabilmesi imkânı bulunmamaktadır. Dolayısiyle kural Anayasa’nın 2. maddesine aykırıdır.
III. 6698 sayılı Kanun’un 30. maddesinin (7) numaralı fıkrası ile değiştirilen 11.10. 2011 tarih ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesi de, “Karşıoy Gerekçesi”nin (I) no’lu başlığındaki gerekçelerle Anayasa’nın, 13. ve 20. maddesine aykırı düşmektedir.
Yukarıdaki açıklanan nedenlerle, anılan kuralların iptaline karar verilmesi gerektiği kanaatine ulaştığımızdan, aksi yöndeki çoğunluk kararına katılmıyoruz.
|
Üye Serdar ÖZGÜLDÜR |
Üye Serruh KALELİ |
KARŞIOY YAZISI
I. GİRİŞ
1. 24.3.2016 tarihli ve 6698 sayılı Kişisel verilerin Korunması Kanunu’nun,
- 6. maddesinin (1) numaralı fıkrasında yer alan “…mezhebi…” ve “…kılık ve kıyafeti…” ibarelerinin,
- (3) numaralı fıkrasının,
- 16. maddesinin (2) numaralı fıkrasının ikinci cümlesinin,
- 30. maddesinin (7) numaralı fıkrası ile değiştirilen 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesinin,
Anayasa’ya aykırı olmadıklarına dair çoğunluk görüşüne katılmamaktayım. Karşıoy gerekçelerim aşağıda maruzdur.
II. GENEL AÇIKLAMALAR
2. Anayasa’ya aykırılık iddiasıyla iptali istenen kuralların incelenmesi, öncelikle bahse konu kural veya kuralların anlam ve kapsamının tesbitini gerektirir. Bir kuralın, içinde yer aldığı yasanın veya diğer yasaların ilgili maddeleriyle birlikte uygulandığında Anayasa’ya aykırı sonuçlara yol açıp açmadığının değerlendirilmesi yapılmadan, iptal talebine konu edilen kuralın Anayasa’ya uygunluğu konusunda hükme ulaşılamaz. Bir sözcük, ibare veya cümlenin, veya bir rakamın atıf yaptığı veya kapsamı itibariyle sirayet ettiği diğer kuralların, anlam ve işlerlik kazandığı veya kazandırdığı diğer kurallarla birlikte değerlendirilmesi Anayasa’ya aykırılık sonucunu ortaya koyabileceği gibi, ilk bakışta Anayasa’ya aykırı olduğu izlenimi veren bir kuralın da birlikte uygulanacağı, aynı yasadaki veya başka yasalardaki farklı hükümler nedeniyle, Anayasa’ya aykırı olmadığı sonucuna da varılabilir.
3. İnceleme konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu, büyük ölçüde Avrupa Birliği mevzuatından iktibas edilmek suretiyle, sistematik bir yaklaşım içerisinde düzenlenmiştir. Kanunda amaç, kapsam ve tanımlar; kişisel verilerin işlenmesi ilkeleri ve işlenmesi şartları; haklar ve yükümlülükler; başvuru, şikayet ve veri sorumluları sicili; suçlar ve kabahatler ve nihayet, Kişisel Verileri Koruma Kurulu düzenlenmiştir. Yasadaki hükümlerin pek çoğu diğerlerine işlerlik ve anlam kazandıran veya diğerlerine istisna getiren hükümler olup, iptal istemine konu kurallar özellikle böyledir.
4. Bu nedenle, iptal istemlerine konu olan kurallar yönünden bir denetim yapabilmek için Kanunun iptal istemine konu olmayan ilgili kurallarının ve koşullarının 6698 sayılı bu Kanun’daki güvenceleri etkisiz kılıp kılmayacağı yönünden değerlendirme yapılmalıdır. Aksi halde kişisel verilerin korunması için somut ve etkili görünen düzenlemelerin içi boşaltılmış olacak, kanundaki genel ilkeler birer temenni, kurulan yeni kurullar da bürokratik ve hantal yapılardan ibaret kalabilecektir.
5. Kanunlar kamu yararı amacıyla çıkarıldığında ve ancak bir kanunun kamu yararını gerçekleştirmeye elverişli olup olmadığının denetiminin, Anayasa Mahkemesinin yetkisi dışında olduğunda kuşku yoktur. Diğer bir ifadeyle, kamu yararını gerçekleştirmeye elverişli olmayan bir kanun da yasa koyucunun takdir yetkisi içinde kalmak ve Anayasaya aykırı olmamak koşuluyla, iptal edilemeyecektir. Ancak Anayasa’nın 20. maddesinin son fıkrasında Devlete, kişisel verilerin korunmasını kanunla düzenleme yönünde bir yükümlülük getirildiğinden, bu doğrultuda yasa ile yapılacak düzenlemelerin Anayasal gerekleri karşılayıp karşılamadığının denetimi, Anayasa Mahkemesinin yetkisi dahilindedir. Bu nedenle kişisel verilerin kaydının demokratik bir toplumda zorunlu ve ölçülü olup olmadığına, ayrıca verilerin korunması için öngörülen düzenlemelerin yeterli olup olmadığına da bakılması gerekir.
6. Anayasa’nın 20. maddesinin son fıkrası şöyledir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.
Buna göre, özel hayatın gizliliğinin korunmasını isteme hakkı kapsamında bir hak olan kişisel verilerin korunması hakkı, bir temel hak olması nedeniyle, kanunla bir müdahale söz konusu olduğunda Anayasa’nın 2. maddesindeki hukuk devleti ve 13. maddesindeki temel hak ve hürriyetlerin sınırlanması konusundaki ölçütlere tabidir. Anayasa’da “…kanunda öngörülen hallerde veya…”denilmiş olmasına bakılarak, meşru bir amaç taşımadıkça ve demokratik bir toplumda zorunlu ve ölçülü olmadıkça her türlü kişisel verinin işlenmesine yol açan kanuni düzenlemeler yapılamayacağı açıktır.
7. Öte yandan, kişisel verilerin korunmasında Anayasa’nın Eşitlik İlkesini düzenleyen 10. maddesi, Din ve Vicdan Hürriyetini düzenleyen 24. ile Düşünce ve Kanaat Hürriyetini düzenleyen 25. maddeleri, aşağıda açıklanacağı üzere konu ile doğrudan ilgilidir. Ancak 10. maddenin ve mezhep ibaresi dışında 24. maddenin ilgisiz görülmesi, kanaatimce bazı özel nitelikli veriler yönünden ciddi sakıncalara yol açacak bir sonuca varılmasına neden olmuştur.
III. İPTALİ İSTENEN KURALLARIN İNCELENMESİ
Altıncı Maddenin (1) Numaralı Fıkrasındaki “…mezhebi” İbaresinin İncelenmesi
8. (1) numaralı fıkrayla, kişilerin mezhepleri ile kılık ve kıyafetleri, “özel nitelikli kişisel veri” olarak sınıflandırılmaktadır. Özel nitelikli kişisel verinin yasada ayrı bir tanımı yer almamakla birlikte, maddenin (2) numaralı fıkrasındaki “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır” hükmünden, özel nitelikli bir kişisel verinin, açık rıza olmaksızın işlenemeyecek veri olarak belirlendiği anlaşılmaktadır. Açık rıza ise Kanun’un 3. maddesinin (1) numaralı fıkrasına göre “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade eder.
9. Mezhepler, gerek İslam aleminde gerek ülkemizde, inkar edilemeyecek bir realitedir. Mezhepler konusu aynı zamanda son derece hassas olup, mezhep farklılıklarının körüklenmesinin toplumlar için yıkıcı sonuçlara yol açabildiği, tarihte ve bölgemizin yakın tarihinde görülmüş ve görülmektedir. Bu nedenle kişilerin mezheplerine ilişkin verilerin alenileşmesinden ve yaygınlaştırılmasından ve özellikle kamusal veri tabanlarına işlenmesinden kaçınılarak, Anayasa’nın değiştirilemeyecek hükümlerinde esasları ve nitelikleri belirlenen Türkiye Cumhuriyeti devletinin özgür ve eşit vatandaşlarının din, vicdan ve inanç alanında bırakılmalıdır.
Anayasa’nın 10. maddesinde “Kanun önünde eşitlik” ilkesi düzenlenmiştir. Buna göre “Herkes dil, ırk, renk, cinsiyet, siyasi düşünce, felsefi inanç, din, mezhep ve benzeri sebeplerle ayırım gözetilmeksizin kanun önünde eşittir”. Bu ilkeyle kişiler arasındaki eşitlik güvence altına alınmakta, aynı zamanda hem kişilere hem de Devlete ayırımcılık yasağı getirilmektedir.
Anayasa’nın 24. maddesinin birinci fıkrasında herkesin vicdan, dini inanç ve kanaat hürriyetine sahip olduğu; maddenin üçüncü fıkrasında da kimsenin ibadete, dini ayin ve törenlere katılmaya, dini inanç ve kanaatlerini açıklamaya zorlanamayacağı, dini inanç ve kanaatlerinden dolayı kınanamayacağı ve suçlanamayacağı belirtilmiştir.
10. Çoğunluk gerekçesinde iptali istenen kuralın, her ne kadar kişinin mezhebinin özel nitelikli veri sayılmasını ve böylece bu verinin ancak kişinin açık rızasıyla işlenebileceğini öngörmek suretiyle daha üst bir koruma sağladığı ve bu suretle toplanacak verilerin kişilerin ayrımcılığa uğramasına neden olabilecek alanlarda ihtiyaçların belirlenmesi, boşluk ve eksikliklerin giderilmesi gibi konularda önemli olacağı belirtilmekteyse de, somutluk taşımayan, farazi ihtiyaçların, temel bir hakka yani kişisel mezhep bilgilerine yapılacak somut bir müdahale bakımından Anayasa’nın 13. maddesinde güvence altına alınan “demokratik bir toplumda zorunlu olmak” ve “ölçülülük” ilkelerini karşıladığından söz edilemez. Zira çoğunluk gerekçesinde belirtilen türden ihtiyaçlar için kişisel verilerin kaydedilmesi zorunlu olmayıp, verilerin anonim olarak işlenmesiyle de aynı sonuçlar elde edilebilecektir. Mezhebin, kişinin açık rızası aranmaksızın veri olarak işlenebilmesi meşru bir amaca dayanmalıdır. İnanç alanında kalan ve ancak kişinin kendisinin bilebileceği mezhep, esas itibariyle ancak kişinin açık rızasının varlığı halinde kaydedilebilecek bir veridir. Kişinin mezhebi ve dini inançları, o mezhebin ibadet yerleri veya mezhebi tören ve ritüeller gibi, kamusal alana sirayet eden konularda dahi, ilgilinin açık rızası olmadan kaydedilemez. Zira kişinin sadece bir mezhebin ibadet yerlerine gitmesi veya törenlerine katılması dahi kişinin mezhebinin kendi rızası hilafına kaydedilmesi için yeterli değildir. Anayasa’nın 24. maddesi buna engeldir. Bu nedenle, mutlak ayrımcılık yasağı bulunan ve Devleti ilgilendirebilecek yönleri çok sınırlı olan bir konuda, kanunla genel bir ifadeyle mezhep verilerinin işlenebileceğinin öngörülmesinin Anayasa’ya uygun olmadığı açıktır.
11. 6698 sayılı Kanun’un 6. maddesinin (3) numaralı fıkrasında yapılan düzenleme ile, görünüşte özel veri sayılarak daha yüksek bir koruma sağlanan mezhep verileri, kişinin açık rızası aranmaksızın işlenemeyecek veriler arasından çıkartılmıştır. Maddenin (3) numaralı fıkrasının birinci cümlesinde “Birinci fıkrada sayılan … kişisel veriler, kanunlarda öngörülen hallerde, ilgili kişinin açık rızası aranmaksızın işlenebilir” denilmiş olup, mezhep de birinci fıkrada sayılan bu kişisel veriler arasında yer almaktadır. Tabir caizse aynı madde içindeki düzenlemelerle bir elle verilen diğer elle geri alınmakta, “mezhep” verisinin korunmasına yönelik en önemli güvence yani “açık rıza” esası ortadan kaldırılmaktadır.
12. Mezhep verilerinin yine de özel nitelikli veri sayılması nedeniyle Kanunda öngörülen düzenlemeler kapsamında uygulanabilecek daha üst bir korumadan yararlanabileceği, bu nedenle yasadaki düzenlemenin bütünüyle anlamsız olmadığı şeklindeki gerekçelere katılmak mümkün değildir. Zira, Maddenin (4) numaralı fıkrasında özel nitelikli veriler için Kurulca (Kişisel Verileri Koruma Kurulu) belirleneceği öngörülen önlemlerin yeterli olmadığı görülmektedir.
6698 sayılı Kanun’un 22. maddesinin (1) numaralı fıkrasının (ç) bendinde Kurula, “Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek” görev ve yetkisi verilmiştir. Yeterli önlemlerin neler olabileceği hakkında kanunla ilke ve esaslar belirlenmeden, çerçevesi çizilmeden idareye ucu açık, belirsiz, etkili olup olmayacağı şüpheli bir yetkinin verilmiş olması, Anayasa’nın öngördüğü anlamda kanunla düzenleme sayılamayacağından, yeterli kanuni güvenceleri de içermeden kişisel verilere müdahale imkanı veren iptal istemine konu düzenlemenin Anayasa’nın 20. maddesine uygun olmadığı açıktır.
13. Sonuç olarak eşitlik ilkesi ve ayrımcılık yasağı gereği, ilgilinin açık rızası olmadıkça her hangi bir eylem, işlem veya uygulamaya konu yapılamayacak olan mezhep bilgisinin işlenmesinin, Anayasa’nın 13. maddesindeki esaslara aykırı olarak kanunla öngörülemeyeceği açıktır. Bu nedenle kural, Anayasa’nın 2. maddesindeki hukuk devletine, 3. maddesindeki millet bütünlüğüne ve ayrıca 10. ve 24. maddelerine aykırıdır.
“…kılık ve kıyafeti…” İbaresinin İncelenmesi
14. Kılık ve kıyafet, kişinin inançları gereği benimsediği belirli bir giyim tarzı olabileceği gibi, her hangi bir siyasi veya felsefi anlam taşımaksızın, sırf kişinin özel yaşamı kapsamındaki bir tercihinden ibaret de olabilir. Ayrıca, kişi, kılık ve kıyafetini her zaman serbestçe değiştirebilmek hakkına da sahiptir. Kılık ve kıyafetin tercihindeki nedenler tamamen kişinin iç alemine ait olup, Anayasa’nın 24. ve 25. maddelerinde güvence altına alınan hürriyetlerle yakın ilgisi bulunan bu bilgilerin işlenmesinde ancak çok açık zorunluluk bulunmalı ve bahse konu özgürlüğe yapılacak müdahale ölçülü olmalıdır.
15. Kılık ve kıyafetin, kişinin açıkça görülebilen bir özelliği olması, bu verinin işlenmesi için kişinin rızasının bulunduğu anlamına gelmemektedir. Esasen 6698 sayılı Kanun’un 3. maddesinin (1) numaralı fıkrasının (a) bendinde “açık rıza” nın, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade ettiği belirtilmektedir. Bu nedenle, iptali istenen kuralla kılık ve kıyafetin, özel nitelikli yani açık rıza olmadıkça işlenemeyecek veri kapsamına alan bir düzenleme konusu yapılmış olması, bu temel hak ve özgürlük yönünden ek bir güvence getirmemiştir.
16. Öte yandan, “…mezhebi…” ibaresi ile ilgili olarak Anayasa’nın 2., 3., 10., 13., 20., 24. ve 25. maddeleri bağlamında yukarıda belirtilen Anayasa’ya aykırılık gerekçeleri, “…kılık ve kıyafeti…” yönünden de aynen geçerlidir.
Altıncı Maddenin (3) Numaralı Fıkrasının Birinci Cümlesi
17. Bahse konu birinci cümle şöyledir:
“Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir”.
Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki veriler ise şunlardır:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, … ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri…”
18. Buna göre, daha önce incelenen mezhep ve kılık kıyafet hariç tutulursa, kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, diğer inançları, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri kişinin açık rızası olmaksızın işlenebilecektir.
Verilerden bir kısmı esasen işlenmesinde zorunluluk bulunan, kişinin özel yaşamının yanı sıra kamusal alanı da ilgilendiren verilerdir. Bunlar; dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleridir. Bu nedenle bu veriler ayrı bir kategori halinde değerlendirilebilir. Kuşkusuz, bu tür verilere ilişkin işlemelerde de yine Anayasa’nın 13. maddesi esasları gözetilmek zorundadır.
Diğer taraftan, kişinin ırkı, etnik kökeni, dini, siyasi düşüncesi ve diğer inançları somut olarak tesbit edilemeyecek verilerdir. Din, siyasi ve diğer inançlar ise tamamen kişinin iç alemine ilişkin ve yine kişinin serbest iradesiyle her zaman değişebilecek verilerdir. Bu nedenle bunların, kişinin açık rızası dışında diğer kişiler veya devlet tarafından işlenmesi, tahmin, yakıştırma ve yaftalamadan öteye gidemez. Bu veriler mahiyetleri icabı, açık rıza dışında işlenebilecek veriler değildir.
Mezhep ve kılık-kıyafet konusunda daha önce belirtilen Anayasaya aykırılık gerekçeleri, ırk, etnik köken, dini ve diğer inançlar, siyasi ve felsefi düşünceler yönünden de aynen geçerlidir.
20. Fıkranın iptali istenen birinci cümlesinin yaptığı atıfla, -Anayasa’ya aykırı olarak- açık rıza aranmaksızın işlenebilir veri haline getirilen konuların tahdidi olarak sayıldıkları anlaşılmaktadır. Halbuki bunlar arasında birinci fıkrada sayılmayan ancak, kişinin rızası dışında işlenmesi halinde kişinin maddi ve manevi mağduriyetine neden olabilecek, daha pek çok veri kategorisi saymak mümkündür (kişinin merakları, hobileri, yeme içme ve tüketim alışkanlıkları, hoşlandığı ve hoşlanmadığı kişi ve konular ve bunun gibi sayılamayacak kadar çok, özel hayat kapsamındaki veriler). İptali istenen kuralla, bunlara ilişkin tüm veriler de açık rıza aranmaksızın kanunla işlenebilecek veriler haline getirilmektedir.
21. Özetle, 6. maddenin (1) numaralı fıkrasıyla bazı kişisel veriler özel nitelikli yani kişinin açık rızası olmaksızın işlenemeyecek veri olarak düzenlenir ve böylece üst düzey bir korumaya kavuşturulur gözükürken, aynı maddenin (3) numaralı fıkrasının birinci cümlesi ile bu kapsamdan çıkartılmakta; diğer her türlü kişisel veriler ise açık rıza şartı aranmaksızın kanunla işlenebilir veri haline getirilmektedir. Bu şekliyle kanundaki düzenlemelerle, Anayasa’nın 20. maddesinde öngörülen ve Anayasanın diğer hükümleri ile birlikte değerlendirilmesi gereken “kanunla düzenleme” ile “açık rıza” koşullarından “kanunla düzenlemeye mutlak üstünlük verilip, “açık rıza” şartının etkisiz hale getirdiği, Anayasa’da üstün kamu yararı ile kişi hak ve özgürlükleri arasında kurulması gereken makul ve adil dengenin bozulduğu anlaşılmaktadır.
Bu nedenle iptali istenen kurallar Anayasa’nın 2., 10., 20., 24. ve 25. maddelerine aykırıdır.
Altıncı Maddenin (3) Numaralı Fıkrasının İkinci Cümlesinin ve 30. Maddenin (7) Numaralı Fıkrası ile Değiştirilen 663 Sayılı KHK’nin 47. Maddesinin İncelenmesi
22. Bahse konu (3) numaralı fıkranın ikinci cümlesinde, “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir” denilmektedir.
663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesinin (1) numaralı fıkrasında sağlık hizmeti almak üzere kamu veya özel sağlık kuruluşları veya sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya hizmete ilişkin kişisel verilerin işlenebileceği, (2) numaralı fıkrasında sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve maliyetinin hesaplanması amacıyla Sağlık Bakanlığının birinci fıkra kapsamında elde edilen verileri alarak işleyebileceği, (3) numaralı fıkrasında Bakanlığın bu verilere ilgili kişilerin erişimini sağlayacak bir sistem kuracağı, (4) numaralı fıkrasında üçüncü fıkraya göre kurulan bu sistemlerin güvenliği ve güvenilirliği ile ilgili standartların Kişisel Verileri Koruma Kurulu’nun belirlediği ilkelere uygun olarak Bakanlıkça belirleneceği, Bakanlığın verilerin güvenliğinin sağlanması amacıyla sisteme kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkan tanıyan bir güvenlik sistemi kuracağı, (5) numaralı fıkrasında sağlık kurum ve kuruluşları ile özel kişilerin istihdam ettikleri personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlü olduğu, (6) numaralı fıkrasında ise sağlık verilerinin işlenmesi ve güvenliği ile ilgili hususların Bakanlıkça yürürlüğe konulacak yönetmelikle düzenleneceği belirtilmiştir.
23. Buna göre, 6698 sayılı Kanun’un 6. maddesinin (3) numaralı fıkrasının ikinci cümlesinde sağlık ve cinsel hayata ilişkin verilerin ilgililerin açık rızası aranmaksızın işlenmesinin hangi amaçlarla gerçekleştirilebileceği düzenlenmiş, 30. maddesi ile düzenlenen 663 sayılı KHK’nin 47. maddesinde ise verilerin alınması ve güvenliği ile ilgili olarak Sağlık Bakanlığının görev ve yetkileri belirlenmiştir. Başka bir deyişle, sağlık ve cinsel hayata ait veriler sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenemeyecek olmakla birlikte, verilerin korunması için gerekli düzenlemeleri yapmak ve birtakım önlemler almakla sadece Sağlık Bakanlığı görevlidir.
24. Bu durumda, kapsamı belli olmayan “yetkili kurum ve kuruluşlar” tanımı altında gerek idarenin farklı birimlerine gerek yetkilendirilebilecek diğer özel kurum ve kuruluşlara, ilginin açık rızası aranmaksızın cinsel hayata ait verileri işleme yetkisi verilebileceği, ancak bunların Sağlık Bakanlığına bağlı olmamaları nedeniyle Sağlık Bakanlığının verileri koruma yükümlülüğü kapsamında alacağı önlemleri uygulamak zorunda olup olmayacakları konusunda belirsizlik bulunduğu anlaşılmaktadır.
25. Kurallar birlikte değerlendirildiğinde; bir kısım meşru amaçlar belirtilmek ve verilerin korunmasına ilişkin güvenceler getirilmek suretiyle kamusal üstün yararlar ve kişi hak ve hürriyetlerinin sınırlandırılması arasında makul bir denge kurulmaya çalışılmış ise de kuralların bunu sağlayamadığı, bu nedenle iptali istenen hükümlerin Anayasanın 20. maddesine aykırı oldukları anlaşılmaktadır.
Anayasa Mahkemesinin 4.12.2014 tarihli ve Esas:2013/114, Karar:2014/184 sayılı kararında kişisel verilerle ilgili bazı kuralların iptaline karar verilirken, Sağlık Bakanlığı ve bağlı kuruluşlarına verilen görevlerin çok geniş bir alanı kapsadığı, ilgili kurallarla öngörülen veri toplama görevlerinin toplumsal bir zorunluluğu bünyesinde barındırdığının söylenemeyeceği belirtilmiştir. Anayasa Mahkemesi ayrıca bahse konu düzenlemelerde öngörülen güvenceleri de yeterli bulmamıştır. Bu kere incelenen kurallarda da aynı durumun devam ettiği anlaşılmaktadır. Nitekim, “… kamu sağlığının korunması, koruyucu hekimlik, … sağlık hizmetleri ile finansmanının planlanması ve yönetimi …” gibi görevlerin sağlık ve özellikle cinsel hayata ilişkin kişisel verilerin işlenmesini zorunlu kıldığından ve bu verileri korumak amacıyla getirilen düzenlemelerin açık, net ve etkili olduğundan söz edilemez.
26. Sonuç olarak, iptali istenen kurallar, kişinin sağlık ve özel hayatın en mahrem alanı olan cinsel hayatına ait verilerinin işlenmesi ve korunması konusunda yeterli yasal dayanakları ortaya koymayan, kamu yararı ile kişi hak ve hürriyetleri arasında Anayasal ölçütlere göre kurulması gereken adil ve makul dengeyi kişi aleyhine bozan, Anayasa’nın 20. maddesinde güvence altına alınan temel haklara yapılmış ölçüsüz bir müdahaledir.
Onaltıncı Maddenin (2) Numaralı Fıkrasının İkinci Cümlesi
27. İptal istemine konu cümle şu şekildedir:
“Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”
Veri Sorumlusu, 6698 sayılı Kanun’un 3. maddesinin (1) numaralı fıkrasının (ı) bendinde “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder” şeklinde tanımlanmıştır. Kanun’un 10. maddesine göre veri sorumlusunun, kişisel verilerin elde edilmesi sırasında ilgili kişileri ayrıntılı biçimde aydınlatması gerekmekte, yine Kanun’un 12. maddesine göre veri güvenliğine ilişkin yükümlülükleri ve sorumlulukları bulunmaktadır. Kanun’un 13. maddesinde, kişilerin, veri sorumlusuna, kanuni yükümlülük ve sorumluluklarıyla ilgili taleplerini iletebilecekleri, talebin yerine getirilmemesi halinde Kurula şikayette bulunabilecekleri belirtilmiş ve bunun yöntemleri ile süreleri düzenlenmiştir.
Veri Sorumluları Sicili, Kanun’un 16. maddesinin (1) numaralı fıkrasına göre, Kurulun gözetiminde “kamuya açık olarak” tutulacaktır.
28. İptal isteminin reddine ilişkin çoğunluk gerekçesinde veri sorumlularının yükümlülükleri bakımından bunların sicile kayıtlı olup olmadıklarının bir önemi bulunmadığı ifade edilmiş ise de bu görüşe katılmak mümkün değildir. Zira kişilerin veri sorumlularına kolayca ulaşmaları, verilerin korunması bakımından en önemli güvencelerden biri olup, Kurulun kendi takdirine göre bazı veri sorumlularına sicil muafiyeti getirmesi, Kanun’da kişiler lehine tanınan hakların birçoğunun kullanılmasını güçleştirecek, veri gizliliğinin ihlali halinde sorumluların takibini engelleyecek, veri güvenliğine ilişkin kurulan sistemlerin ve kanuni güvencelerin etkisizleşmesine yol açabilecektir.
29. Bugünkü teknolojik gelişmeler doğrultusunda maliye, vergi, sigorta, bankacılık gibi işlemlerde en küçük veriler dahi kolayca işlenebilir ve binlerce terabayt hacminde veriler muhafaza edilebilirken, veri sorumlularının tam bir sicilinin tutulamayışı için her hangi bir nesnel güçlük ve haklı neden söz konusu olamaz. Bu nedenle sırf gerek bulunmadığı düşüncesiyle bazı veri sorumlularının sicilden muaf tutulmasının, Anayasa’nın 20. maddesinde yer alan kişisel verilerin korunmasını isteme hakkının “bilgilendirilme, bu verilere erişme, bunların düzeltilmesini ve silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme” unsurları yönünden ağır biçimde zedelenmesine yol açan, ölçüsüz bir düzenleme olduğu, dolayısıyla Anayasa’ya aykırı olduğu açıktır.
Yukarıda belirtilen nedenlerle çoğunluk görüşlerine katılmamaktayım.
|
Üye Osman Alifeyyaz PAKSÜT |
