Danıştay 13. Daire Başkanlığı

Danıştay 13. Daire Başkanlığı         2021/354 E.  ,  2023/2560 K. "İçtihat Metni" T.C. D A N I Ş T A Y

Av. …

DAVANIN KONUSU : 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in (Yönetmelik) 4. maddesinin 1. fıkrasının (k) bendinin, 6. maddesinin 4. fıkrasının, 7. maddesinin başlığındaki "riskin ve" ibaresi ile 1. fıkrasının, 8. maddesinin 1. fıkrasının (d) bendinin ve 10. maddesinin iptali istenilmektedir.

DAVACININ İDDİALARI : Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendine ilişkin olarak, elektronik haberleşme mevzuatında “trafik verisi”nin sadece 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 2. maddesinde tanımlandığı, bu yasal düzenleme dışında 5809 sayılı Elektronik Haberleşme Kanunu'na dayalı olarak hazırlanan Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. maddesinin (f) bendinde, trafik bilgisi/verisinin sayma yoluyla ortaya konulduğu, elektronik haberleşme sektöründe “trafik bilgisi”nin, taraflara ilişkin IP adresi, port bilgisi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgilerinden ibaret olduğu, kanun hükmü olmaksızın ve kanunun belirlediği sınırlar aşılarak, sınırsız sayı/türde kişisel verinin “trafık bilgisi” olarak tanımlandığı, bu durumun yasal idare ilkesine açıkça aykırı olduğu, davalı tarafından, son dönemde, pek çok kişisel verinin, abone yapısı ve trafik verisi olarak işletmecilerden talep edildiği, bu istemine yönelik olarak Danıştay Onüçüncü Dairesi'nin 2019/2412 esas sayılı dosyasında açılan davanın derdest olduğu; Yönetmelik'in 6. maddesinin 4. fıkrası ile 8. maddesinin 1. fıkrasının (d) bendinin ilişkin olarak, 5809 sayılı Kanun'un 51. maddesinde belirtilen veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma sürelerinin yönetmelikle belirleneceği dair yükümlülüğün dava konusu kurallarla karşılanmadığı, davalı idarenin Anayasa'nın 20. maddesi ile 5809 sayılı Kanun'un 51. maddesi uyarınca, kişisel verileri, kategorilere ayırarak, her bir veri türü için işlenme sürelerini belirtmek zorundayken, hiçbir somut belirleme yapmamayı tercih ettiği, uygulamada birliğin sağlanması ve belirlilik ilkesi gereğince, işleme sürelerine ilişkin her bir veri kategorisi bakımından açık bir düzenleme yapılarak süre öngörülmesinin gerektiği, 6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince TELKODER üyesi işletmecilerin kayıt yaptırdığı VERBİS sisteminde, işletmecilerden istenen verilerden birisi de, işlenen trafik verilerinin ne kadar süreyle saklanacağı verisi olduğu, ancak bu hususa yönelik 5809 sayılı Kanun'un 51. maddesi ve buna dayalı çıkarılması gereken Yönetmelik ile yeni hiçbir hüküm getirilmediği, 6698 sayılı Kanun'un ihlâl edildiği; Yönetmelik'in 7. maddesinin başlığındaki "riskin ve" ibaresine ilişkin olarak, “risk hâli” nedeniyle bildirim yükümlülüğünün kişisel verilerin korunması hakkı kapsamında yasal bir terim olmadığı, risk yönetiminin elektronik haberleşme sektörü işletmecilerinin “şebeke ve bilgi güvenliği” yükümlülükleri çerçevesinde yapmaları gereken bir husus olmakla beraber, ayrı bir düzenleme olan bu hususun kişisel verilerin korunması kapsamında ele alınması mümkün ve doğru olmadığı; Yönetmelik'in 10. maddesine ilişkin olarak, bu kuralla isteyen abonelerin arama yaptıklarında numaralarının gizlenmesini ilgili işletmeciden talep edebileceği, telefonla taciz başta olmak üzere, pek çok suçta vasıta olarak kullanılan gizli numara aramalarının yeniden bu düzenleme ile gündeme getirilmesinin “kişisel verilerin korunması” hakkıyla bağlantısının anlaşılamadığı, arayan hat bilgisi yükümlülüğü gibi yasal zorunluluklar da gözetildiğinde, bu maddede yer verilen hizmetlerin sabit telefon açısından uygulanmasının davacı derneğin üyesi işletmeciler açısından operasyonel ciddi zorluklar doğuracağı, elektronik haberleşme iletişimin bir başka türü olan e-posta gönderiminde, gönderici adresinin gizlenmesi söz konusu değilken, ses iletişiminde aranan numaranın gizlenmesi imkânı getirilmesinin haberleşme özgürlüğü ve kişisel verilerin korunmasına hizmet etmeyeceği, her ne kadar, düzenlemede abonelere gizli numara almama seçeneği tanımlanacağı şeklinde bir hüküm var ise de, ne tür bir kamu yararına hizmet ettiği anlaşılamayan bu düzenlemenin yasal idare ilkesini ihlâl ettiği ileri sürülmüştür.

DAVALININ SAVUNMASI : Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendine ilişkin olarak, her ne kadar 5809 sayılı Kanun'da trafik verisi tanımına yer verilmemiş olsa da, 51. maddenin ilgili fıkralarında trafik verilerinin işlenme amaçları ve koşullarının genel ilkeler hâlinde düzenlendiği, Yönetmelik'in hazırlanması sürecinde ülke mevzuatının AB müktesebatına uyumu kapsamında göz önünde bulundurulan 2002/58/AT sayılı Direktif'te de trafik verisinin benzer ifadelerle tanımlandığı, Yönetmeliğin dayanağı olmayan 5651 sayılı Kanun'a aykırılık bulunmadığı gibi, söz konusu iddianın da hukuki desteğinin bulunmadığı, Danıştay Onüçüncü Dairesi'nin 2019/2412 sayılı esasına kayıtlı dosyanın iş bu dava konusu Yönetmelik ile bir ilgisinin bulunmadığı; Yönetmelik'in 6. maddesinin 4. fıkrası ile 8. maddesinin 1. fıkrasının (d) bendinin ilişkin olarak, 5809 sayılı Kanun'un 51. maddesinin 10. fıkrasına uygun olarak Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (f) bendinde saklama süresine ilişkin azami sürenin 2 yıl olarak belirlendiği, dolayısıyla davacının süreye ilişkin bir belirsizlik olduğu iddiasının gerçeği yansıtmadığı, anılan Yönetmeliğin 19. maddesinin 1. fıkrasının (f) bendinde yapılan düzenleme nedeniyle dava konusu Yönetmelik maddesinde bu kapsamda benzer hükümlere yer verilmediği, ilgili mevzuat kapsamında yer alan düzenlemelerin birbirini tamamlayıcı nitelikte olduğu; Yönetmelik'in 7. maddesinin başlığındaki "riskin ve" ibaresine ilişkin olarak, 5809 sayılı Kanun'un 51. maddesinin 4. ve 12. fıkraları ile 49. maddesi, diğer uluslararası hukuk düzenlemeleri ve bu alandaki uygulamalar da göz önüne alınarak dava konusu kuralın düzenlendiği, kişisel veri ihlâli olması durumunda işletmecilerin 6698 sayılı Kanun ve alt düzenlemeleri kapsamında KVKK'ya hâlihazırda bildirim yapma yükümlülüğü bulunduğu; Yönetmelik'in 10. maddesine ilişkin olarak, Yönetmelik maddesi ile haberleşmenin tarafı olan kişilere numaralarının gizliliğinin sağlanmasını talep etme ve gizli numaradan gelen aramaları reddetme imkânı tanınarak Anayasa'nın 22. maddesi kapsamında bir hak olan ve 5809 sayılı Kanun'un 51. maddesinin 2. fıkrasında da yer alan haberleşme gizliliğinin korunmasının amaçlandığı, 2002/58/AT sayılı AB Direktifi'nde arayan veya aranan abonelere numaralarının gizlenmesi gibi gizlilik hakkına yönelik imkânlar sunulması gerektiğinin öngörüldüğü ve bu imkânların sağlanmasına yönelik üye ülkelere yükümlülük getirildiği, davacının iddia ettiği üzere telefon yolu ile işlenen suçlar ve bu suçların tespiti bakımından suçun işleniş safhasında kullanılan numaraların gizli veya açık olmasının bir öneminin bulunmadığı, adli veya idari makamlarda numara gizleme imkânının tanınmasının soruşturma veya kovuşturma süreçlerinde bir engel teşkil ettiğine ilişkin Kuruma herhangi bir başvuru veya görüş iletilmediği belirtilerek davanın reddi gerektiği savunulmuştur. DANIŞTAY TETKİK HÂKİMİ …'IN DÜŞÜNCESİ : Davanın redd gerektiği düşünülmektedir.

DANIŞTAY SAVCISI …'UN DÜŞÜNCESİ : Dava; 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendinin, 6. maddesinin 4. fıkrasının, 7. maddesinin başlığındaki "riskin ve" ibaresi ile 1. fıkrasının, 8. maddesinin 1. fıkrasının (d) bendinin ve 10. maddesinin iptali istemi ile açılmıştır. 5809 sayılı "Elektronik Haberleşme Kanunu"nun "Amaç" başlıklı 1. maddesinde; "Bu Kanunun amacı; elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesidir. " hükmüne yer verilmiş; "İlkeler" başlıklı 4. maddenin 1. fıkrasında ise; "Her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların düzenlenmesi Devletin yetki ve sorumluluğu altındadır. İlgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde aşağıdaki ilkeler göz önüne alınır: ....

b)Tüketici hak ve menfaatlerinin gözetilmesi. ...

l)Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi. " hükmü yer almaktadır. "İşletmecilerin hak ve yükümlülükleri" başlıklı 12. maddesinin ikinci fıkrasında; "Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: ...

d)Kişisel veri ve gizliliğin korunması.

e)Tüketicinin korunması..." hükmüne yer verilirken, "Şeffaflığın sağlanması ve bilgilendirme" başlıklı 49. maddesinde; "(1) Kurum, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebilir. (2) İşletmeciler, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirir. (3) Kurum bu maddenin uygulanmasına ilişkin usul ve esasları belirler." hükmüne; "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51. maddesinde ise; "(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. 16 18/6/2020 tarihli ve 7247 sayılı Kanunun 10 uncu maddesiyle, bu fıkranın üçüncü cümlesinde yer alan “yazılı olarak” ibaresi “taleplerini” şeklinde değiştirilmiştir. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a)Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar,

b)Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl,

c)Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS’si arasında paylaşılabilir veya işlenebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir." hükümlerine yer verilmiştir. 5809 sayılı Kanun'un 4, 6, 12, 49, 51 ve 60 ıncı maddelerine dayanılarak hazırlanan ve 04/12/2020 tarihli, 31324 sayılı Resmi Gazete'de yayımlanan "Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik"in dava konusu edilen, "Tanımlar ve kısaltmalar" başlıklı 4. maddesinin 1. fıkrasının (k) bendinde; trafik verisinin, bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veriyi ifade ettiği; "Güvenlik" başlıklı 6. maddesinin 4. fıkrasında, işletmecilerin, kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü oldukları; "Riskin ve kişisel veri ihlalinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrasında; işletmecilerin, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda;

a)Bu risk hakkında,

b)Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendireceği; "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (d) bendinde; işletmecilerin, abonelerin/kullanıcıların açık rızalarını gösteren kayıtlarını, ilgili mevzuat hükümlerinde yer alan sürelerde saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlü oldukları belirtilmiş; "Numaranın gizlenmesi" başlıklı 10. maddesinde ise; (1) İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda;

a)Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla,

b)Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla,

c)Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla, yükümlüdür. (2) İşletmeci, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür. (3) İşletmeci, birinci ve ikinci fıkralarda belirtilen imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirmekle yükümlüdür. (4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir." hükmü getirilmiştir. 5809 sayılı Kanun'un 51. maddesi ile davalı idareye verilen yetkinin kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemekten ibaret olduğu, uyuşmazlık konusu Yönetmelik hükümleri incelendiğinde, ana düzenlemenin 5809 sayılı Kanun ile yapıldığı ve kuralların konulduğu, teknik ayrıntıların ise alt düzenleyici işlem statüsündeki Yönetmelik ile kurala bağlandığı açıktır. Kanun ile verilmiş yetkinin yine Kanun'un verdiği görev uyarınca kamu yararı doğrultusunda kullanılması suretiyle getirilen kuralların sözleşme hürriyetine müdahale olarak değerlendirilmesi de mümkün görülmemiştir.

Diğer taraftan; 6698 sayılı Kanun'un kişisel verilerin korunması bakımından genel kanun niteliğinde olduğu, ancak elektronik haberleşme sektörünün kendine has özellikleri dikkate alınarak özel düzenleme yapma ihtiyacından hareketle 5809 sayılı Kanun'da yer verilen hükümlerin özel kanun hükmü niteliğinde olduğu, her iki kanun hükümleri arasında bir çelişkinin bulunmadığı, tam tersine tamamlayıcı mahiyette olduğu, bu nedenle idarenin bütünlüğü ve hukuki güvenlik ilkelerine aykırılık taşımadığı açıktır. Trafik verisi tanımına, 5809 sayılı Kanun'da yer verilmemiş olsa da, aynı Kanun'un 51. maddesinin ilgili fıkralarında, trafik verilerinin işlenme amaçları ve koşulları genel ilkeler halinde düzenlendiğinden, üst hukuk normuna aykırılık söz konusu değildir.

Elektronik haberleşme sektöründe faaliyet gösteren işletmeciler tarafından, elde edilebilecek veri türlerinin hangileri olduğu, Yönetmeliğin "Tanımlar ve kısaltmalar" başlıklı 4. maddesinini 1. fıkrasının (l) bendinde, "kişisel veri, trafik verisi veya konum verisini" ifadesi ile sıralamış, ayrıca bunların tanımları da yapılmış, Kanun'un 51. maddesindeki hükümler ile de, işletmecilerin sektördeki faaliyetleri gereği elde ettikleri ve işleme tabi tutulan verilerin, öncelikle yasal mevzuata ve dürüstlük kuralına, amaca uygun bir şekilde işlenmesi, bu amaç doğrultusunda gerekli olan süre kadar muhafaza edilmesi, amacın sona ermesi halinde ise yok edilmesi gerektiği ifade edilmiş, bu kapsamda istisnai bir faaliyet olan, kişisel verilerin saklanmasına ilişkin düzenlemelere yer verilmiştir. Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinini 1. fıkrasının (f) bendi ile saklama süresinin, Kanun'un 51. maddesinin 10. fıkrasındaki yasal limite uygun şekilde düzenlendiği açıktır.

Dava konusu yapılan Yönetmeliğin risk ve ihlal bildirimine ilişkin hükümleri incelendiğinde, verilerin güvenliğinin sağlanması ve ihlallere ilişkin olarak işletmecilerin, verdikleri hizmetlerin güvenliğini garanti adına almak adına, gerektiğinde şebeke güvenliği hususunda alınması gereken uygun teknik ve yapısal önlemler ile teknolojik imkanlar göz önünde tutularak, önlemlerin mevcut olan riske uygun güvenlik düzeyi sağlaması hususları göz önünde tutulmuş, şebeke güvenliğinin ihlaline ilişkin belirli bir risk durumunda bu risk hakkında ve bu riskin, işletmecinin kendisi tarafından alınacak önlemlerin kapsamı dışında kalması halinde nasıl bertaraf edileceği konusunda aboneleri bilgilendirme yükümlülüğü hedeflenmiştir. "Numaranın gizlenmesi" başlıklı 10. maddesine ilişkin hüküm ile, haberleşmenin tarafları olan arayan ve aranan kişiye, basit ve ücretsiz bir yöntem ile, haberleşmenin kurulması safhasında işletmeci ile akdedilen abonelik sözleşmesi gereği, kullanımı için belirlenen telefon hattı numarasını gizleme, gizlenmiş numaralardan kendi çağrı cihazına gelen aramalardaki arayan taraf bilgilerini gizleme veya gizli numaradan gelen aramaların sonlandırılmasını işletmeciden isteme hakkı tanınmıştır. Bu düzenleme ile, Anayasa'nın 22. maddesi kapsamında bir hak olan Kanun'un 51. maddesinin 2. fıkrasında düzenlenen haberleşme gizliliğinin korunması sağlanmaktadır.

Davacı tarafından ileri sürülen diğer iddialarda yasal isabet görülmemiştir. Bu nedenlerle, dava konusu edilen Yönetmelik hükümlerinin üst hukuk normları ile uyumlu olduğu, kamu yararı ve hizmet gerekleri gözetilerek tesis edildiği, hukuka ve mevzuata aykırılık taşımadığı sonucuna varılmıştır. Açıklanan nedenlerle, davanın reddine karar verilmesi gerektiği, düşünülmektedir.

Karar veren Danıştay Onüçüncü Dairesi'nce duruşma için taraflara önceden bildirilen 14/06/2022 tarihinde, davacı vekili Av. … ile davalı idare vekili Av. …'nin geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı. Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten, dosyadaki belgeler ile Dairemizin 14/06/2022 ve 14/12/2022 tarihli ara kararlarına ilişkin cevaplar incelendikten sonra gereği görüşüldü:

MADDİ OLAY VE HUKUKİ SÜREÇ : 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendinin, 6. maddesinin 4. fıkrasının, 7. maddesinin başlığındaki "riskin ve" ibaresi ile 1. fıkrasının, 8. maddesinin 1. fıkrasının (d) bendinin ve 10. maddesinin iptali istemiyle bakılan dava açılmıştır. İLGİLİ MEVZUAT:

Anayasa'nın "Özel hayatın gizliliği” başlıklı 20. maddesinin 1. fıkrasında, "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz";

3.fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir"; "Tüketicilerin korunması” başlıklı 172. maddesinde, "Devlet, tüketicileri koruyucu ve aydınlatıcı tedbirler alır, tüketicilerin kendilerini koruyucu girişimlerini teşvik eder. " kuralları yer almaktadır. 5809 sayılı Elektronik Haberleşme Kanunu’nun 1. maddesinde, bu Kanun'un amacının; elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesi olduğu belirtilmiş; elektronik haberleşme sektöründe yapılacak düzenlenmelerde göz önünde bulundurulacak ilkelerin sayıldığı 4. maddesinin (b) bendinde, "tüketici hak ve menfaatlerinin gözetilmesi" ilkesine yer verilmiştir. Aynı Kanun'un “Kurumun görev ve yetkileri” başlıklı 6. maddesinin 1. fıkrasında, "Kurumun görev ve yetkileri şunlardır: ... (c) Abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak. … s) Elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak. … y) Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak.”; “İşletmecinin hak ve yükümlülükleri” başlıklı 12. maddesinin 2. fıkrasında, “Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: ... (d) Kişisel veri ve gizliliğin korunması ... (e) Tüketicinin korunması”; “Tüketicinin ve son kullanıcının korunması” başlıklı 48. maddesinde, “Kurum, elektronik haberleşme hizmetlerinden yararlanan tüketici ve son kullanıcıların, hizmetlere eşit koşullarda erişebilmelerine ve hak ve menfaatlerinin korunmasına yönelik usul ve esasları belirler.”; "Şeffaflığın sağlanması ve bilgilendirme " başlıklı 49. maddesinde, "(1) Kurum, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebilir. (2) İşletmeciler, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirir. (3) Kurum bu maddenin uygulanmasına ilişkin usul ve esasları belirler."; “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlıklı 51. maddesinde, "(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49'uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a)Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar,

b)Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl,

c)Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS’si arasında paylaşılabilir veya işlenebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir." kuralları yer almıştır. 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Yönetmeliğin amacı, özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu'nun 4, 6, 12, 49, 51 ve 60'ıncı maddelerine dayanılarak hazırlanmıştır." kurallarına yer verilmiştir.

HUKUKİ DEĞERLENDİRME: Sözlük anlamı ile "düzenli hâle koymak, düzen vermek, tanzim ve tertip etmek" olarak tanımlanan "düzenleme", kamu hukukunda kural koyma ile eş anlamlıdır. Kural ise; sürekli, soyut, nesnel, genel (kişilik dışı) durumları belirleyen ve gösteren norm olarak tanımlanmaktadır.

Anayasa'nın 2. maddesinde, Türkiye Cumhuriyetinin bir hukuk devleti olduğu belirtilmiş olup, Anayasa Mahkemesi kararlarında hukuk devleti, insan haklarına dayanan, bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek sürdüren, hukuk güvenliğini gerçekleştiren, Anayasaya aykırı durum ve tutumlardan kaçınan, hukuku tüm devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan, yargı denetimine açık olan devlet olarak tanımlanmıştır.

Bir hiyerarşik kurallar sistemi olan hukuk düzeninde alt düzeydeki kuralların, yürürlüklerini üst düzeydeki kurallardan aldığı kuşkusuzdur. Kurallar hiyerarşisinin en üstünde genel hukuk ilkeleri ve Anayasa bulunmakta ve daha sonra gelen kanunlar yürürlüğünü Anayasa'dan, yönetmelikler ise kanun ve Cumhurbaşkanlığı kararnamelerinden almaktadır. Dolayısıyla bir kuralın, kendisinden daha üst konumda bulunan bir kurala aykırı veya bunu değiştirici nitelikte hükümler getirmesine imkân bulunmamaktadır. Anayasa'nın 124. maddesinde, Cumhurbaşkanı, bakanlıklar ve kamu tüzel kişilerinin kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla yönetmelikler çıkarabilecekleri kurala bağlanmıştır. Kanun koyucu, düzenleyeceği konularda genel prensipleri belirler ve bunun uygulamasını yürütmeye, başka bir ifadeyle idareye bırakır. Bu, aslî düzenleme yetkisinin yasama organına ait olmasının doğal bir sonucudur. İdarenin düzenleyici işlem tesis etme yetkisinin "Yasama yetkisinin devredilmezliği" ilkesinin bir sonucu olarak ikincil nitelikte bir kural koyma yetkisi olduğu göz önüne alındığında, söz konusu yetkinin kanunların çizdiği çerçeve içinde kalması ve kanunlara uygun olarak kullanılması zorunludur. Bu itibarla, dava konusu Yönetmeliğin iptali istenilen maddelerinin hukuka uygunluk denetiminin belirtilen çerçevede yapılması gerekmektedir. 5809 sayılı Elektronik Haberleşme Kanunu'nun “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlıklı 51. maddesinin, 26/07/2014 tarih ve 29072 sayılı Resmî Gazete'de yayımlanan Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararı ile, "yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemeyeceği, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumu'na veren itiraz konusu kuralın, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırı olduğu" gerekçesiyle iptaline karar verilmiştir.

Bunun üzerine, 6639 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun'un 32. maddesi ile yeniden düzenlenen 51. maddesinin 2. fıkrasında yer alan “…ilgili mevzuatın ve…” ibaresinin, 6. fıkrasında yer alan “…ilgili mevzuat hükümleri saklı kalmak kaydıyla,…” ibaresinin, 8. fıkrasının 2. cümlesinde yer alan “…ilgili mevzuatın ve…” ibaresinin ve 13. fıkrasının Anayasaya aykırı olduğu ileri sürülerek iptali istemiyle yapılan başvuru üzerine, olarak Anayasa Mahkemesi'nin 09/12/2016 tarih ve 29913 sayılı Resmî Gazete'de yayımlanan 02/11/2016 tarih ve E:2015/61, K:2016/172 sayılı kararı ile, "Anayasa’nın 20. maddesinin 3. fıkrasının son cümlesinde, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilerek kişisel verilerin korunması hakkının anayasal güvenceye bağlandığı ve bu şekilde kamu makamlarının keyfi müdahâlelerine karşı koruma altına alındığı, buna göre, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve korunmasına yönelik temel kuralların kanunla düzenlenmesinin zorunlu olduğu, nitekim Mahkemece elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasların belirlenmesi konusunda Bilgi teknolojileri ve İletişim Kurumu'na doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilmesinin Anayasa’nın 20. maddesine aykırı olduğuna karar verildiği, bu bağlamda, 5809 sayılı Kanun’un yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesinde uyulması gereken ilkeler sayıldıktan sonra, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kuralların herhangi bir duraksamaya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir şekilde düzenlenerek konuya ilişkin temel kuralların belirlendiği, maddede belirlenen usul ve esaslar çerçevesinde kişisel verilerin işlenmesi ve korunmasına ilişkin teknik ve uygulamayı esas alan detayların belirlenmesi konusunda Bilgi Teknolojileri ve İletişim Kurumu'na yetki verilmesini öngören kuralda belirsizlik bulunmadığı gibi yasama yetkisinin devrinin de söz konusu olmadığı" gerekçesiyle iptal talebinin reddine karar verilmiştir. 5809 sayılı Kanun'un, Anayasa Mahkemesi'nin anılan kararı uyarınca yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kurallar herhangi bir duraksamaya yer vermeyecek açıklıkta belirlenmiş olup, maddenin son fıkrasında, uygulamaya ilişkin usul ve esasların Kurum tarafından belirleneceği kurala bağlanmıştır.

Söz konusu yetkiye dayanılarak davalı idare tarafından, 5809 sayılı Kanun'un 51. maddesinin uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil konuların düzenlenmesi amacıyla, tüketicilerin korunması, sektörün ihtiyaçları ve teknolojide yaşanan gelişmeler de dikkate alınarak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Taslağının hazırlandığı, 17/03/2020 tarih ve 2020/DK-THD/077 sayılı Kurul kararı ile anılan Taslağın kamuoyu görüşlerinin alınabilmesini teminen Kurumun internet sitesinde otuz (30) gün süre ile yayımlanmasına karar verildiği, Kuruma iletilen kamuoyu görüşlerinin değerlendirilmesi sonrasında, Taslağın görüşleri alınmak üzere Kişisel Verileri Koruma Kurumu'na (KVKK) gönderildiği anlaşılmakta olup, Kuruma iletilen KVKK görüşleri dikkate alınmak suretiyle, 5809 sayılı Kanun'un 4., 6.,12., 49., 51. ve 60. maddeleri dayanak alınarak, 17/10/2019 tarih ve 30921 sayılı Resmî Gazete’de yayımlanan 2019/22 sayılı Cumhurbaşkanlığı Genelgesi uyarınca, 2002/58/AT sayılı Direktif başta olmak üzere ilgili AB mevzuatı da göz önünde bulundurularak hazırlandığı anlaşılan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in dava konusu 4. maddesinin 1. fıkrasının (k) bendinin incelenmesi: Anılan Yönetmelik'in 4. maddesinin 1. fıkrasının (k) beninde, trafik verisi, bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veri olarak tanımlanmıştır. 2002/58/AT sayılı Avrupa Birliği Direktifi'nin Türkçe'ye çevrilmiş "Tanımlar" başlıklı 2. maddesinde, "trafik verisi"nin, bir elektronik haberleşme şebekesi üzerinden bir haberleşmenin iletilmesi ya da faturalandırılması amacıyla işlenen her türlü veriyi ifade edeceği belirtilmiş; "Trafik verileri" başlıklı 6. maddesinde, "1. Bir kamu haberleşme şebeke veya kamuya açık elektronik haberleşme hizmeti sağlayıcısı tarafından işlenen ve saklanan abonelere ve kullanıcılara ilişkin trafik verileri, kendilerine haberleşmenin iletimi için gerek duyulmadığında bu maddenin 2'nci, 3'üncü ve 5'inci fıkraları ile 15'inci maddenin birinci fıkrasına hâlel gelmeksizin, silinmeli veya anonim hâle getirilmelidir.

2.Abonenin faturalandırılması ve arabağlantı ödemeleri için gerekli trafik verisi işlenebilir. Bu işlemeye, sadece faturaya hukuki olarak itiraz edilebileceği veya ödemenin takip edilebileceği sürenin sonuna kadar izin verilebilir.

3.Kamuya açık bir elektronik haberleşme hizmeti sağlayıcısı, elektronik haberleşme hizmetlerini pazarlamak veya katma değerli hizmetleri sunmak amacıyla, önceden rıza vermesi hâlinde ilgili abonenin veya kullanıcının 1'inci paragrafta belirtilen verilerini, bu tür hizmetler veya pazarlama için gerekli olan ölçüde ve süre boyunca işleyebilir. Kullanıcılara veya abonelere, trafik verilerinin işlenmesi için verdikleri rızayı, istedikleri zaman geri alma imkânı sağlanır.

4.Hizmet sağlayıcı, 3'üncü paragrafta belirtilen amaçlar için rıza almadan önce ve 2'nci paragrafta belirtilen amaçlar için işlenen trafik verilerinin tipleri ve bu tür işleme süreleri hakkında ilgili aboneyi veya kullanıcıyı bilgilendirmelidir.

5.1'inci, 2'nci, 3'üncü ve 4'üncü paragraflar uyarınca trafik verilerinin işlenmesi; katma değerli bir hizmet sunulması, elektronik haberleşme hizmetlerinin pazarlanması, dolandırıcılık tespiti, müşteri talepleri, faturalandırma veya trafik yönetimi konularında kamuya açık elektronik haberleşme hizmetleri ve kamu haberleşme şebekeleri sağlayıcılarının yetkisi dâhilinde hareket eden kişilerle ve bu tür faaliyetlerin amaçlarının gerektirdiği ölçü ile sınırlı tutulmalıdır.

6.1'inci, 2'nci, 3'üncü ve 5'inci paragraflar, özellikle arabağlantı veya faturalama gibi uyuşmazlıkların çözümü amacıyla, yetkili makamların yürürlükteki mevzuata uygun olarak trafik verileri hakkında bilgilendirilme imkânına hâlel gelmeksizin uygulanır." kuralı yer almıştır.

Dairemizin 14/06/2022 tarihli ara kararında, davalı idare tarafından savunma dilekçesinde belirtilen ve dayanak alınan 2002/58/AT sayılı Avrupa Birliği Direktifi'nin Türkçe'ye çevrilmiş bir örneğinin istenilmesine karar verilmiş, ara karara cevaben anılan Direktif'in Türkçe'ye çevrilmiş örneğinin gönderildiği görülmüştür.

Davacı tarafından 05/05/2022 ve 29/09/2022 tarihlerinde UYAP üzerinde gönderilen beyan dilekçelerinde, dava konusu Yönetmeliğin 4. maddesinin 1. fıkrasının (k) bendinde yer alan "trafik verisi" tanımına ilişkin olarak, davalı idare tarafından atıf yapılan Direktif’in 6. maddesinde, 6. fıkra hâlinde trafik verisine ilişkin oldukça detaylı düzenlemelere yer verilerek kesin sınırların çizildiği, söz konusu tanımın çerçeve nitelikte bir düzenleme olan Direktiften alınarak, ikincil mevzuata doğrudan eklenmesinin hukuk sistematiği bakımından kabul edilebilir olmadığı iddialarına yer verilmiş, bunun üzerine Dairemizin 14/12/2022 tarihli ara kararı ile davalı idareden, davacının 05/05/2022 ve 29/09/2022 tarihli beyan dilekçelerinde belirtilen iddialar ve Dairemizin 14/06/2022 tarihli ara kararına cevaben gönderilen 2002/58/AT sayılı Avrupa Birliği Direktifi'nin Türkçe'ye çevrilmiş örneği dikkate alındığında, dava konusu Yönetmeliğin 4. maddesinin 1. fıkrasının (k) bendinde yer verilen "trafik verisi" tanımının, 2002/58/AT sayılı Avrupa Birliği Direktifi'nde yer alan "trafik verisi" tanımıyla uyumlu olduğu görülmekle birlikte, anılan Direktif'in 6. maddesinde belirtilen trafik verisine ilişkin kurallara dayanılarak davalı idare tarafından mevzuatta düzenleme yapılıp yapılmadığı, yapılmış ise maddeler hâlinde yapılan düzenlemelerin açıklanmasının istenilmesine, yapılmamış ise buna ilişkin gerekçelerin sorularak, konuya ilişkin tüm bilgi ve belgelerin gönderilmesinin istenilmesine karar verilmiştir.

Davalı idare tarafında UYAP üzerinden gönderilen 28/02/2023 tarihli cevabi yazıda, AB müktesebatına uyum çalışmaları sırasında ülkedeki sektör koşulları ve hukuki düzenlemeler de göz önünde bulundurularak AB düzenlemelerinin ülke mevzuatına uygunluğu ölçüsünde iç hukuka aktarıldığı, kişisel verilerin korunması alanında Kişisel Verileri Koruma Kurumu başta olmak üzere (Ulaştırma ve Altyapı Bakanlığı Avrupa Birliği ve Dış İlişkiler Genel Müdürlüğü’nün taslak Yönetmelik'in AB mevzuatına aykırılık içermediği yönündeki değerlendirmeleri de dâhil) ilgili kamu kurum ve kuruluşları ile işletmeciler ve işletmecilerin üyesi bulunduğu dernekler tarafından Kuruma iletilen görüşler değerlendirilerek Yönetmelik taslağına nihai hâlinin verildiği; anılan Direktif'in 6. maddesinin 1. fıkrasına benzer şekilde, 5809 sayılı Kanun'un 51. maddesinin 1. fıkrasında kişisel verilerin işlenmesinde göz önünde bulundurulacak ilkeler sıralanarak verilerin işlendikleri amaçla sınırlı ve ölçülü olması gerektiği ve ayrıca işleme amacı için gereken süre kadar muhafaza edilmesinin zorunlu olduğunun belirtildiği, ayrıca Yönetmelik'in 5. maddesi ile de verilerin işlendikleri amaç kapsamında ve bu amacın gerçekleşmesi için gerekli sürede veya mevzuatta belirlenen süre boyunca saklanmasına yönelik işletmecilere yükümlülük getirildiği, 5809 sayılı Kanun ve Yönetmelik'in trafik verilerinin silinmesine yönelik mezkûr ilkelere ilave olarak açık bir hükme yer verilmemesinin, işletmecilerin işleme amacı sona eren verilerin silinmesi yükümlülüğünü ortadan kaldırmadığı, bu noktada, elektronik haberleşme sektöründe işlenebilecek veriler için özel olarak belirlenmeyen hususlar hakkında, genel hukuk kuralları doğrultusunda kişisel verilerin korunması alanında bağımsız genel hükümleri haiz 6698 sayılı Kanun'un uygulanmasının gerektiği, 6698 sayılı Kanun'un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7. maddesi ve aynı maddenin 3. fıkrası çerçevesinde ve KVKK tarafından hazırlanan alt düzenlemeler ile kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde gerçekleştirilmesi gereken işlemlerin detaylı olarak belirlendiği, tekraren Yönetmelik ile elektronik haberleşme sektörü özelinde yeniden düzenlenmesine gerek bulunmadığının değerlendirildiği ve Yönetmelik ile trafik verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesine yönelik özel bir düzenleme getirilmediği, trafik verilerinin saklanma süreleri sonunda silinmesine ilişkin olarak 5809 sayılı Kanun'un 51. maddesinin 1. fıkrası ve Yönetmeliğin 5. maddesinin 1. fıkrasının (d) bendi ile ana hatlarıyla, 6698 sayılı Kanun'un 7. maddesi ve ilgili alt düzenlemeleri ile de detaylı bir şekilde düzenleme yapıldığı, anılan Direktif’in 6. maddesinin 2., 3. ve 5. fıkralarında yer alan hükümleri ile trafik verilerinin işlenme şartlarının düzenlendiği, söz konusu hususların 5809 sayılı Kanun'un 51. maddesinin 7. fıkrasında yer aldığı, anılan Direktif’in 6. maddesinin 3. ve 4. fıkralarının sırasıyla Yönetmeliğin 13., 9. ve 8. maddesinin 1. fıkrasının (c) bendinde düzenlendiği, anılan Direktif’in 6. maddesinin 6. fıkrasının ise 5809 sayılı Kanun'un 6. maddesinin 1. fıkrasının (ı) bendi, 12. maddesinin 1. ve 2. fıkralarında, 60. maddesinin 12. fıkrasında, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (a) bendinde, ayrıca Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği'nin 23. maddesinin 1. fıkrasında, ilgili konularda işletmecilerden Kurumca talep edilebilecek bilgi ve belgelerin Kuruma verilmesi hususunun Yönetmeliğin işletmeci yükümlülüğü olarak ayrıca detaylandırılmasını gerektirecek bir ihtiyaç olmadığı mütalaa edilerek ilgili Direktif kuralının Yönetmelik kapsamına ayrıca alınmadığı; anılan Direktif’in 6. maddesinin 4. fıkrası kapsamındaki bilgilendirme yükümlülüğüne dair Yönetmeliğin 9. maddesinde kişisel verilerin gizliliğine ilişkin ulusal mevzuatta genel nitelikteki kanun olan 6698 sayılı Kanun’un 10. maddesi ile kanun düzeyinde zaten düzenlenmiş olduğundan, tekrar kanun düzeyinde 5809 sayılı Kanun'da yer verilmesine gerek bulunmadığının değerlendirildiği, ilgili Yönetmelik maddesinin 6698 sayılı Kanun’da hâlihazırda yer verilen yükümlülüğün, trafik ve konum verileri özelinde elektronik haberleşme sektörü işletmecilerine yönelik vurgulanmasının amaçlandığı, ayrıca, anılan Direktif’in 6. maddesinin 3. fıkrasında yer alan rızanın geri alınmasına ilişkin hükmün, teknik veya uygulamayı haiz bir detay olarak, Yönetmelik'in “Abonenin/kullanıcının diğer hakları” başlıklı 13. maddesi ile Yönetmelik seviyesinde düzenlendiği, sonuç olarak, 5809 sayılı Kanun'un 51. maddesinde teknik ve uygulamayı haiz detayların anılan Direktif hükümlerine benzer şekilde ve ayrıntılı olarak, mevzuat hazırlama usulüne uygun olarak gerekli olduğu düşünülen hususlarda 5809 sayılı Kanun'da yer almasına rağmen tekraren bazı hükümlere Yönetmeklik'te de yer verilmiş olmakla beraber, ikincil düzeyde usule bağlanabileceği düşünülen detayların yönetmelik düzeyinde ihdas edildiği; davacının ilgili beyan dilekçelerinde, 2002/58/AT sayılı Direktif’in 6. maddesinde oldukça detaylı düzenlemelere yer verilerek kesin sınırların çizildiği, AB müktesebatına uyum adı altında, tanımın bağlamından kopartılarak eksik şekilde Yönetmelik’e eklenmesinin kabul edilebilir olmadığı, 2002/58/AT sayılı e-Gizlilik Direktifinde yer alan sınırlamalara ve açıklamalara dava konusu Yönetmelik'te yer verilmediği, verilerin, genel ve ayrım gözetmeksizin toplanmasının temel haklara ciddi bir müdahale olduğu ileri sürülmekteyse de Yönetmelik'in 4. maddesinin 1. fıkrasının (k) bendinde tanımlanan trafik verisinin Direktif’teki tanımla uyumlu olduğu, trafik verisi içerisinde yer alan unsurların tek tek sayılmadığı, Direktifte yer alan hükümlerin düzenleme amaçlarının ve hukuki gerekçelerinin açıklandığı bölümün 15. maddesinde trafik verilerinin haberleşmenin yönlendirilmesine, süresine, zamanına veya hacmine, haberleşmede kullanılan protokole, haberleşmenin başlatıldığı ya da iletildiği şebekeye, bir bağlantının başlangıcı, sonu veya süresine ilişkin bilgileri uhdesinde bulundurabileceğinin belirtildiği, tahdidi bir sıralama yapılmadığının da görüldüğü belirtilmiştir.

Bu bağlamda, 5809 sayılı Kanun'da "trafik verisi" tanımlamasına yer verilmediği görülmekle birlikte, anılan Kanun'un 51. maddesinde trafik verisine ilişkin çerçevenin belirlendiği, dava konusu kuralda trafik verisi tanımının "Bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya bu haberleşmenin faturalandırılması amacıyla işlenen her türlü veriyi” şeklinde yer aldığı, trafik verisi tanımına ilişkin olarak yapılan dava konusu kuraldaki tanımın 2002/58/AT sayılı Avrupa Birliği Direktifi'ne uyumlu olarak düzenlendiği, 2002/58/AT sayılı Avrupa Birliği Direktifi'nde trafik verisine ilişkin kuralların ara karar cevabında da belirtildiği üzere mevzuata uygun olduğu ölçüde dercedildiği, bu nedenle davacının buna ilişkin iddiasının geçerliliğinin bulunmadığı, ayrıca davacı tarafından dava konusu trafik tanımlamasıyla 5651 sayılı Kanun'un 1. fıkrasının (j) bendinde yer alan trafik verisi tanımlamasının genişletildiği ve Kanun'da belirlenen sınırların aşıldığı iddia edilmiş ise de, uyuşmazlık konusu Yönetmeliğin kapsamının elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde edilen veriler bakımından uyacakları usul ve esasları belirlediği, bu Yönetmelik'in 05/11/2008 tarih ve 5809 sayılı Kanun'un 4, 6, 12, 49, 51 ve 60. maddelerine dayanılarak hazırlandığı, dolayısıyla uyuşmazlık konusu Yönetmeliğin dayanağının 5651 sayılı Kanun olmadığı, 5651 sayılı Kanun'un içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin usul ve esasları düzenlediği açıktır. Bu itibarla, dava konusu "trafik verisi" tanımlamasında hukuka ve üst hukuk kurallarına aykırılık bulunmamaktadır. Yönetmeliğin dava konusu 6. maddesinin 4. fıkrası ile 8. maddesinin 1. fıkrasının (d) bendinin incelenmesi:

Yönetmeliğin 6. maddesinin 4. fıkrasında, işletmecilerin kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtlarını iki yıl saklamakla yükümlü olduğu;

8.maddesinin 1. fıkrasının (d) bendinde, işletmecilerin abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlü olduğu kuralına yer verilmiştir.

Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (f) bendinde ise, "Trafik bilgilerinin muhafaza edilmesi: Erişim sağlayıcı olan veya telefon hizmeti sunan işletmeci, taraflara ilişkin IP adresi, port aralığı, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı, kullanıcı sayısı ve abone kimlik bilgileri ile altyapısı üzerinden gerçekleşen görüşmelere ait trafik bilgilerini iki yıl süreyle; kullanıcı bilgilerini ise ilgili mevzuatta belirtilen zamanaşımı süresi boyunca muhafaza etmekle yükümlüdür." kuralı yer almıştır.

Bu bağlamda, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği'nin 19. maddesinin 1. fıkrasının (f) bendinde kişisel verilere ilişkin saklama sürelerine yönelik olarak 5809 sayılı Kanun'un 51. maddesinde belirtilen sınıra uygun belirlemelerin yapıldığı, dava konusu kuralın anılan Yönetmelik maddesiyle uyumlu olduğu, davacının iddialarının dava konusu kuralı kusurlandırıcı mahiyette olmadığı anlaşıldığından, dava konusu kurallarda hukuka aykırılık bulunmamaktadır. Yönetmeliğin dava konusu 7. maddesinin başlığındaki "riskin ve" ibaresi ile 1. fıkrasının incelenmesi:

Yönetmeliğin "Riskin ve kişisel veri ihlâlinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "İşletmeciler, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; a) Bu risk hakkında, b) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirir." kuralı yer almaktadır.

Davacı tarafından, maddede sözü edilen "belirli bir risk" kavramının sınırlarının belirsiz olduğu, düzenlemeye göre aboneyi etkileyen herhangi bir ihlâl gerçekleşmemişken risk aşamasında olan her durumun abonelere bildirilmesinin işletmeciler ile aboneler arasındaki güven ilişkisini zedeleyeceği ileri sürülmektedir. 5809 sayılı Kanun'un 49. maddesinde, Kurum'un, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği kurala bağlanmış;

51.maddesinin 4. fıkrasında, "İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır.";

12.fıkrasında, " Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur." kuralına yer verilmiş; öte yandan, "İşletmecinin hak ve yükümlülükleri" başlıklı 12. maddesinin 2. fıkrasında, Kurumun, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek "Kişisel veri ve gizliliğin korunması", "Tüketicinin korunması" gibi hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebileceği belirtilmiştir.

Aktarılan düzenlemeler uyarınca, elektronik haberleşme sektöründe faaliyet gösteren işletmeciler, elektronik haberleşme hizmetlerinin sunumu sırasında elde ettikleri, abonelere ait kişisel verilerin güvenliğini sağlamakla yükümlü tutulmuş olup, davalı idare tarafından söz konusu yükümlülüğün yerine getirilmesi açısından işletmecilere mevzuatın öngördüğü doğrultuda yükümlülükler getirilebileceği, dava konusu düzenlemenin de bu kapsamda olduğu anlaşılmaktadır. 2002/58/AT sayılı Direktif'te, verilerin güvenliğinin sağlanması ve ihlâllere ilişkin olarak işletmecilerin, verdikleri hizmetlerin güvenliğini garanti altına almak adına gerektiğinde şebeke güvenliği hususunda uygun teknik ve yapısal önlemleri alması gerektiği, teknolojik imkânlar göz önünde tutularak önlemlerin mevcut olan riske uygun güvenlik düzeyini sağlaması gerektiği ifade edilmiş; kişisel verilerin gizliliğine ilişkin belirli bir risk durumunda bu risk hakkında ve bu riskin nasıl bertaraf edileceği konusunda aboneleri bilgilendirme yükümlülüğünün bulunduğu belirtilmiştir.

Yönetmelikte "belirli bir risk" kavramının hangi durumları ifade ettiğinin somut ve açık olarak belirlenmediği ileri sürülmekte ise de, idarelerin önceden saptanması her zaman mümkün olmayan durumlarda, gelişen koşullara ayak uydurmak amacıyla, kurallar hiyerarşisine aykırı olmamak şartıyla, gerekli önlemleri almak veya ortaya çıkan ihtiyaçları karşılayabilmek adına gerekli düzenlemeler yapabilecekleri açıktır.

Bu itibarla, elektronik haberleşme hizmetinin sunumu kapsamında elde edilen, abonelere ait kişisel verilerin taşıdığı hassasiyet ve elektronik haberleşme sektörünün dinamizmi dikkate alındığında, 5809 sayılı Kanun ile Kuruma verilen görev ve yetkiler kapsamında, abonelere ait kişisel verilerin gizliliğinin korunabilmesi amacıyla, şeffaflık ve bilgilendirme yükümlülüğü kapsamında tüketicilerin azami fayda elde edebilmelerini teminen, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka ve üst hukuk kurallarına aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu anlaşılmaktadır. Yönetmeliğin dava konusu 10. maddesinin incelenmesi:

Anılan Yönetmeliğin 10. maddesinde, "İşletmeci, arayan numaranın görünmesine imkân sağladığı durumlarda; a) Arayan kullanıcıya basit bir yöntemle ve ücretsiz olarak numarasını gizleme imkânı sağlamakla, b) Aranan aboneye basit bir yöntemle ve ücretsiz olarak, gelen aramalarda arayan numaranın gösterilmesini engelleme imkânı sağlamakla, c) Arayan kişinin numarasını gizlemesi hâlinde, ancak aranan abonenin/kullanıcının gizli arama alma yönündeki iradesini daha önceden işletmeciye beyan etmiş olması durumunda çağrıyı sonlandırmakla yükümlüdür. (2) İşletmeci, yönlendirilmiş aramalar gibi bağlanılan numaranın görünmesine imkân sağladığı durumlarda, bağlanılan aboneye basit bir yöntemle ve ücretsiz olarak, bağlanılan numaranın arayan kullanıcıya gösterilmesini engelleme imkânı sağlamakla yükümlüdür. (3) İşletmeci, birinci ve ikinci fıkralarda belirtilen imkânlar hakkında abonelerini/kullanıcılarını kısa mesaj, internet veya benzeri araçlarla bilgilendirmekle yükümlüdür. (4) Arayan numaranın gizlenmesi imkânı, acil yardım çağrıları için geçerli değildir." kuralına yer verilmiştir.

Dava konusu kural ile, haberleşmenin taraflarını teşkil eden arayan ve aranan kişiye basit ve ücretsiz bir yöntemle haberleşmenin kurulması safhasında işletmeci ile imzalanan abonelik sözleşmesi gereği kullanımı için belirlenen telefon hattı numarasını gizleme, gizlenmiş numaralardan kendi çağrı cihazına gelen aramalardaki arayan taraf bilgisini gizleme veya gizli numaradan gelen aramaların sonlandırılmasını işletmeciden isteme hakkı verildiği, bununla birlikte arama yönlendirme işlemi gibi haberleşmenin taraflarından birinin aramayı üçüncü tarafa aktardığı hâllerde aramanın aktarıldığı kişiye numarasını gizleme seçeneğinin sağlandığı, işletmecilere ise tüketicilere sunulan bu imkânlara ilişkin farklı yollardan bilgilendirme yapma yükümlülüğünün getirildiği anlaşılmıştır.

Davacı tarafından, arayan numaranın gizlenmesinin, haberleşme gizliliği veya 6698 sayılı Kanun ile korunması amaçlanan herhangi bir menfaate hizmet ettiği söylenemeyeceği gibi, düzenleme ile kamu yararı da gözetilmediği iddiasına yer verilmiş ise de, Anayasa'nın 22. maddesinde haberleşmenin gizliliğinin esas olduğuna yer verildiği ve 5809 sayılı Kanun'un 51. maddesinin 2. fıkrasında da elektronik haberleşmenin ve ilgili trafik verisinin gizliliğinin amaçlandığı, kişilerin yaptıkları aramalarda veya kendilerine gelen aramalarda kendilerinin ve karşı tarafın numarasını gizleyebilme seçeneğinin bulunması, kişiye gerçekleştirdiği haberleşmeye dair bilgileri kontrol etme ve gizliliğini sağlama olanağının sunulduğu dikkate alındığında, 2002/58/AT sayılı AB Direktifi'yle de arayan veya aranan abonelere numaralarının gizlenmesi gibi gizlilik hakkına yönelik imkânlar sunulması gerektiğine yer verildiğinden, AB Direktifi ile uyumlu olarak hazırlanan dava konusu kuralda hukuka aykırılık bulunmadığı sonucuna varılmıştır. Bu itibarla, 5809 sayılı Kanun'a uygun olarak getirilen dava konusu kuralda hukuka aykırılık bulunmamaktadır. KARAR SONUCU: Açıklanan nedenlerle;

1.DAVANIN REDDİNE,

2.Ayrıntısı aşağıda gösterilen toplam …-TL yargılama giderinin davacı üzerinde bırakılmasına,

3.Avukatlık Asgari Ücret Tarifesi uyarınca …-TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,

4.Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,

5.Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kurulu'na temyiz yolu açık olmak üzere, 23/05/2023 tarihinde oybirliğiyle karar verildi.