Danıştay 13. Daire Başkanlığı

Danıştay 13. Daire Başkanlığı         2021/355 E.  ,  2023/2561 K. "İçtihat Metni" T.C. D A N I Ş T A Y

DAVANIN KONUSU : 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in (Yönetmelik) 8. maddesinin 1. fıkrasının (c), (ç) ve (e) bentlerinin, 9. maddesinin 1. fıkrasının, 11. maddesinin 1. fıkrasının, 13. maddesinin 2. fıkrasının iptali istenilmektedir.

DAVACININ İDDİALARI : Dava konusu kurallar ile Kanun'un verdiği yetki kapsamının hukuka aykırı biçimde aşıldığı, bu durumun Anayasa'nın 20. maddesine aykırılık teşkil ettiği, hem işletmecilere diğer veri sorumlularından farklı olarak ilave yükümlülükler getirildiği hem de aynı konuda iki farklı düzenleme oluşmasına yol açıldığı, hukuki güvenlik ve Anayasa'nın 10. maddesinde yer alan kanun önünde eşitlik ilkelerine aykırı davranıldığı, davalı idarenin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun dikkate almadığı, işletmecilere 5809 sayılı Kanun'da dayanağı olmadığı gibi, 6698 sayılı Kanun'da da karşılığı bulunmayan ve 6698 sayılı Kanun ile çelişen yükümlülükler getirildiği; Yönetmelik'in 8. maddesinin 1. fıkrasının (c) bendine ilişkin olarak, işletmecilerin halîhâzırda 6698 sayılı Kanun kapsamında aydınlatma yükümlülüğü olmasına rağmen, dava konusu Yönetmelikle bu hususun yeniden ve fakat Kanun hükümlerini aşar şekilde düzenlenmesinin aynı konuda iki farklı düzenleme oluşması sonucuna neden olduğu, abone sayısı da göz önüne alındığında şirketin zarar göreceği ve 35 milyon abone için onlarca aydınlatma metni düzenlenmesi gerekliliğinin ortaya çıkacağı, dava konusu kuralın Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5. maddesinin 1. fıkrasının (ğ) bendindeki yükümlülük ile çeliştiği, abone/tüketici nezdinde yeni ve ilave izin türlerinin doğacağı; Yönetmelik'in 8. maddesinin 1. fıkrasının (ç) bendine ilişkin olarak, açık rızanın sınırlandırmasının hukuka aykırı olduğu, 6698 sayılı Kanun ve ikincil düzenlemelerde kişisel verilerin işlenmesine ilişkin açık rıza beyanının pazarlama amaçlı haberleşmelere onay verilmesi irade beyanı ile birleştirilemeyeceği yönünde herhangi bir düzenleme ya da Kişisel Verileri Koruma Kurumu tarafından yapılan bir yönlendirmenin bulunmadığı; Yönetmelik'in 8. maddesinin 1. fıkrasının (e) bendine ilişkin olarak, Yönetmeliğin dayanağı olduğu ifade edilen 5809 sayılı Kanun'da Yönetmeliğe dayanak teşkil edebilecek bir kuralın yer almadığı, verinin korunmasına değil, şirketin abone/tüketicisiyle olan abonelik ilişkisinin içeriğine müdahale edilmeye çalışıldığı, 6698 sayılı Kanun'un 3. maddesinin 1. fıkrasının (e) bendinde kişisel verilerin işlenmesi ile ilgili tanıma bakıldığında dava konusu düzenlemelerin kişisel verilerin işlenmesi ile hiçbir ilgisi bulunmadığının anlaşıldığı, Kanun'un amacı da aşılmak suretiyle Anayasa'nın 48. maddesinde yer alan sözleşme özgürlüğünün hukuka aykırı bir şekilde sınırlandırıldığı, trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlarda üçüncü tarafın yurt dışında olması hâlinde, aboneye verinin aktarılacağı ülkenin adı bilgisinin verilmesinin, şirketten kaynaklanmayan nedenlerle her durumda mümkün olamayabileceği, işletmecilere getirilen yükümlülüğün tüketici menfaati ile de bağdaşmadığı; Yönetmelik'in 9. maddesinin 1. fıkrasına ilişkin olarak, 5809 ve 6698 sayılı Kanun'larda bu hususta bilgilendirme yapılmasını öngören herhangi bir düzenlemenin bulunmadığı, “işleme faaliyeti ile ölçülü ve faaliyetin gerektirdiği sürece veri işleme" ile “veri türleri ve veri işleme süresi ile ilgili abonelere/kullanıcılara bilgi verme"nin tamamen iki farklı husus olduğu, 6698 sayılı Kanun'un 10. maddesi saklı kalmak üzere bir düzenleme yapıldığı belirtilmiş ise de 6698 sayılı Kanun'un 10. maddesinde “veri türü” veya "veri işleme süresi"ne ilişkin bir düzenleme yer almadığı, trafik ve konum verilerine ilişkin ayrı bir bilgilendirme yapılmasının 6698 sayılı Kanun'u aşar nitelikte olduğu; Yönetmelik'in 11. maddesinin 1. fıkrasına ilişkin olarak, bu kural ile getirilen yükümlülüğün sağlanmasının mevcut koşullar dahilinde teknik olarak mümkün olmadığı, Kanun'da dayanağı olmayan ve Kanun'u aşar nitelikte ilave bir yükümlülük getirildiği, bu kuralın kişisel verilerin işlenmesi ve gizliliğinin korunması ile ilgisinin bulunmadığı; Yönetmelik'in 13. maddesinin 2. fıkrasına ilişkin olarak, 5809 sayılı Kanun'da aboneden açık rıza alınması koşuluyla, veri işleme faaliyetine müsaade edilmiş iken davalı idarenin yasal dayanaktan yoksun şekilde yıllık bilgilendirme yükümlülüğünün yerine getirilmemesi hâlinde veri işleme faaliyetinin durdurulacağını emredilmesinin hukuken mümkün olmadığı, söz konusu hüküm aboneye herhangi bir sebepten ötürü yıllık bilgilendirmenin yapılamaması hâlinde veri işlemenin mahiyetine göre abone tüketiciye sağlanan hizmetlerin durdurulmasına, dolayısıyla abonenin de belki de parasını ödedikleri bir hizmetten mahrum kalmalarına yol açacağı, bu durumun tüketici menfaatine aykırı olduğu ileri sürülmüştür.

DAVALININ SAVUNMASI : Yönetmelik'in tek dayanak maddesinin 5809 sayılı Kanun'un 51. maddesi olmadığı, Kurumun görev ve yetkisinin de söz konusu maddeyle sınırlı olmadığı, bir an için Yönetmelik'in tek dayanak maddesinin davacının iddia ettiği üzere 5809 sayılı Kanun'un 51. maddesi ile sınırlı olduğu düşünülse dahi dava konusu kurallarla ilgili maddenin sınırlarının aşılmadığı, Yönetmelik ile getirilen hangi yükümlülüğün 6698 sayılı Kanunla çelişki oluşturduğu ve idarenin bütünlüğü ilkesinin nasıl ihlâl edildiğinin anlaşılamadığı, 6698 sayılı Kanun'un kişisel veriler hususunda ulusal düzeyde genel mevzuat olduğu, Kurumun ilgili mevzuatı olan 5809 sayılı Kanun'un ise özel kanun olması sebebiyle elektronik haberleşme sektöründe kişisel verilerin işlenmesine ve gizliliğin korunmasına ilişkin özel hükümler içerdiği, Yönetmelik ile işletmecilere getirilen yükümlülüklerin ne 5809 sayılı Kanun ne de 6698 sayılı Kanun'da yer alan herhangi bir hükümle çelişmediği, söz konusu Yönetmelikle 5809 sayılı Kanun ve 6698 sayılı Kanun ile çerçevesi çizilmiş hususların uygulanmasına yönelik ikincil hususların düzenlendiği, müteaddit defalar KVKK'dan alınan konuya ilişkin görüş ve öneriler de dikkate alınmak suretiyle Yönetmeliğin son hâlini aldığı, Anayasa Mahkemesi'nin bir çok kararında, Anayasa'nın 10. maddesinde düzenlenen “Kanun önünde eşitlik” ilkesinin eşitler arasında eşitlik anlamına geldiğinin değerlendirildiği, dolayısıyla Kurumumun kendi görev alanına yönelik olarak ve tüm işletmecileri kapsayacak şekilde ikincil düzenleme yapmasının kendisine 5809 sayılı Kanun ile verilen yetki çerçevesinde olduğu ve eşitlik ilkesinin ihlâli anlamına gelmediği; Yönetmelik'in 8. maddesinin 1. fıkrasının (c) bendine ilişkin olarak, 5809 sayılı Kanun'un 49. maddesinin düzenlemenin dayanağını oluşturduğu, her sektörde işlenebilmesi mümkün verilerin farklılık gösterebildiği, kanun koyucunun 5809 sayılı Kanun ile elektronik haberleşme sektörüne özgü kişisel veriler için özel hükümler tesis ettiği, Avrupa Birliği'nde de benzer bir yaklaşımın söz konusu olduğu; Yönetmelik'in 8. maddesinin 1. fıkrasının (ç) bendine ilişkin olarak, açık rızanın şekline ilişkin tüketicinin korunması amacıyla ilgili düzenlemenin getirildiği, pazarlama amaçlı haberleşmelere ilişkin olarak 5809 sayılı Kanun'un 50. maddesinin 5., 6. ve 7. fikraları ile bu maddeye dayanılarak çıkarılan “Pazarlama ve Tanıtım Gibi Amaçlarla Haberleşme Yapılmasına İlişkin Usul ve Esaslar”da kişisel veri izninden bağımsız olarak pazarlama amaçlı haberleşmelerde izinlerin nasıl alınacağının ayrıntılı biçimde düzenlendiği, ayrıca Kurum tarafından onaylanan mobil tip abonelik sözleşmelerinde de pazarlama amaçlı haberleşme izni ile kişisel veri işleme izni kutucuklarının ayrıştırıldığı, yapılan düzenlemenin esasen mevcut durumu da yansıtır nitelikte olduğu, 6698 sayılı Kanun kapsamında KVKK tarafından yayımlanan rehberlerde yer alan açıklamalardan da anlaşılabileceği üzere bir rızanın başka irade beyanlarıyla birleştirilmesiyle imzanın artık belirli bir konuya ilişkin olma özelliğini yitireceği, dolayısıyla açık rıza olmaktan çıkacağı, çünkü rızaların birleştirilmesinin “şemsiye/battaniye rıza” olarak da adlandırılan ve hukuken geçersiz sayılan genel irade beyanı niteliğindeki rızalara yol açtığı,

KVKK'nın 6698 sayılı Kanun kapsamında veri sorumlularına ilişkin verdiği kararların 5809 sayılı Kanun'un elektronik haberleşme sektörü bakımından Kuruma verdiği görev ve yetkilerden bağımsız olduğu, dava konusu düzenleme hakkında KVKK'nın olumlu mütalaaları da bulunduğu; Yönetmelik'in 8. maddesinin 1. fıkrasının (e) bendine ilişkin olarak, dava konu kuralın KVKK tarafından da olumlu mütalaa edildiği, abonelerin/kullanıcıların da trafik ve konum verilerinin üçüncü taraflara/yurt dışına aktarımı öncesinde makul seviyede bilgilendirilmesinin konuya ilişkin iradelerinin oluşup oluşmamasına doğrudan etki edeceği, sözleşme özgürlüğüne müdahâle edilmediği, davacının hukuki statüsü ile aynı durumda olmayanlar ile kendini kıyaslamasının dikkate alınmaması gerektiği; Yönetmelik'in 9. maddesinin 1. fıkrasına ilişkin olarak, 2002/58/AT sayılı AB Direktifi'nin ilgili maddesi de dikkate alınarak, trafik ve konum verilerinin işlenebildiği hâllerde işletmeciler tarafından işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi verilmesi de dâhil tüketicinin hak ve menfaatlerini gözeten nitelikte bir düzenleme yapıldığı, dava konusu kuralın KVKK tarafından olumlu mütalaa edildiği, trafik verisi türlerinin sadece uzmanlar tarafından anlaşılacak güçlükte zor bilgiler olmadığı; Yönetmelik'in 11. maddesinin 1. fıkrasına ilişkin olarak, dava konusu kuralın AB Direktifi ile uyumlu olduğu, söz konusu hükmün esasen AB Direktifinde öngörülen çağrı yönlendirilen abonelerin hakkının korunması ihtiyacını yansıttığı, Kurum'un 5809 sayılı Kanun'un 6. ve 12. maddesinin 2. fıkrası doğrultusunda sektörün ihtiyaçları, uluslararası düzenlemeler ve teknolojik gelişmeleri de göz önünde bulundurmak durumunda olduğu, bu bağlamda dava konusu maddeyle 5809 sayılı Kanun'un 1, 4, 6, 12 ve 51. maddeleri çerçevesinde tüketicinin hak ve menfaatlerinin gözetilmesi ve gizliliğin korunmasına ilişkin görevi kapsamında abonelerin/kullanıcıların menfaatine uygun olarak istenmeyen otomatik çağrı yönlendirmelerinin durdurulmasının sağlanmasının amaçlandığı; Yönetmelik'in 13. maddesinin 2. fıkrasına ilişkin olarak, davacının iddiasının aksine abone/kullanıcıların işlenecek verilerine yönelik bir defa rıza verip, sonra konuyla ilgili rızasının geçerli olduğu süre boyunca bir daha bilgilendirilmemesinin tüketicinin hak ve menfaatlerine aykırı bir durum oluşturduğu, bilgilendirmeler yeterli açıklıkta yapıldığı müddetçe tüketicilerde soru işareti oluşması gibi bir durum olmayacağı savunulmuştur. DANIŞTAY TETKİK HÂKİMİ …'IN DÜŞÜNCESİ : Davanın reddi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI …'IN DÜŞÜNCESİ : Dava; 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan "Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik"in 8. maddesinin 1. fıkrasının (c), (ç) ve (e) bentlerinin, 9. maddesinin, 11. maddesinin 1. fıkrasının, 13. maddesinin 2. fıkrasının iptali istemiyle açılmıştır. 5809 sayılı "Elektronik Haberleşme Kanunu"nun "İşletmecilerin hak ve yükümlülükleri" başlıklı 12. maddesinin ikinci fıkrasında; "Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: ...

d)Kişisel veri ve gizliliğin korunması.

e)Tüketicinin korunması..." hükmüne yer verilirken, "Şeffaflığın sağlanması ve bilgilendirme" başlıklı 49. maddesinde; "(1) Kurum, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebilir. (2) İşletmeciler, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirir. (3) Kurum bu maddenin uygulanmasına ilişkin usul ve esasları belirler." hükmüne; "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51. maddesinde ise; "(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49 uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. ... (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir." hükümlerine yer verilmiştir. 5809 sayılı Yasa'nın 4, 6, 12, 49, 51 ve 60 ıncı maddelerine dayanılarak hazırlanan ve 04/12/2020 tarihli, 31324 sayılı Resmî Gazete'de yayımlanan "Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik"in dava konusu edilen, "Açık rıza alma şartları" başlıklı 8. maddesinde; "(1) İşletmeciler, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki şartları yerine getirir: ...

c)Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.

ç)İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez. ...

e)Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1.Aktarılacak verinin kapsamı,

2.Aktarılacak tarafın adı ve açık adresi,

3.Aktarma amacı ve süresi,

4.Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı, şeklindeki bilgiler verilerek ayrıca açık rıza alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır..." hükmüne; "Trafik ve konum verilerine ilişkin aydınlatma yükümlülüğü" başlıklı 9. maddesinde; "6698 sayılı Kanunun 10 uncu maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hallerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür." hükmüne; "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin birinci fıkrasında; "İşletmeci, aboneye/kullanıcıya kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır." hükmüne; "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin ikinci fıkrasında ise; "İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur." hükmüne yer verilmiştir.

Davacı şirket tarafından; 5809 sayılı Yasa'nın 51. maddesi ile davalı idareye verilen yetkinin kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemekten ibaret olduğu, bu nedenle yukarıda yer verilen Yönetmelik hükümlerinin yasal dayanağı bulunmadığı, kanun koyucunun iradesi ve idareye verdiği yetkinin aşıldığı, fonksiyon gasbı yapıldığı, sözleşme hürriyetine müdahale niteliği taşıdığı yolundaki iddiaları; dayanak gösterilen Anayasa Mahkemesi kararında da belirtildiği üzere, temel düzenlemenin yasa ile yapılmayıp doğrudan yürütme organı tarafından yapıldığı durumlar için geçerli olup, uyuşmazlık konusu Yönetmelik hükümleri incelendiğinde ise, ana düzenlemenin 5809 sayılı Yasa ile yapıldığı ve kuralların konulduğu, teknik ayrıntıların ise alt düzenleyici işlem statüsündeki Yönetmelik ile kurala bağlandığı açık olup, bu iddia geçerli görülmediği gibi, Yasa ile verilmiş yetkinin yine Yasa'nın verdiği görev uyarınca kamu yararı doğrultusunda kullanılması suretiyle getirilen kuralların sözleşme hürriyetine müdahale olarak değerlendirilmesi de mümkün görülmemiştir.

Yine davacı tarafından; 5809 sayılı Yasa ve ikincil düzenlemeler yanında 6698 sayılı "Kişisel Verilerin Korunması Kanunu" ile de şirketlere yükümlülükler getirildiği, farklı iki yasal düzenleme bulunmasının, idarenin bütünlüğü ve hukuki güvenlik ilkelerine aykırı olduğu gibi elektronik haberleşme sektörü dışındaki sektörler bakımından uygulanmayan farklı yükümlülükler getirilmiş olmasının kanun önünde eşitlik ilkesine de aykırılık taşıdığı ileri sürülmüş ise de; 6698 sayılı Yasa'nın kişisel verilerin korunması bakımından genel yasa niteliğinde olduğu, ancak elektronik haberleşme sektörünün kendine has özellikleri dikkate alınarak özel düzenleme yapma ihtiyacından hareketle 5809 sayılı Yasa'da yer verilen hükümlerin özel yasa hükmü niteliğinde olduğu, her iki yasa hükümleri arasında bir çelişkinin bulunmadığı, tam tersine tamamlayıcı mahiyette olduğu, bu nedenle idarenin bütünlüğü ve hukuki güvenlik ilkelerine aykırılık taşımadığı, eşitlik ilkesi bakımından ise; Anayasa Mahkemesince verilen kararlarda da vurgulandığı üzere; Anayasa'da yer verilen bu ilkenin ihlali, aynı hukuki statüde olup da farklı uygulamalara tabi olunması durumunda gerçekleşeceğinden, tamamen farklı sektörlerdeki şirketler için farklı hukuksal kuralların uygulanmasının eşitlik ilkesine aykırılık taşımadığı açık olup, aksi yöndeki iddialar geçerli görülmemiştir.

Davacının, yurt dışındaki bir firmaya aktarılan veriyi firmanın farklı ülkelere dağıtılmış olarak tutabileceği, veri merkezini taşıyabileceği ya da bu konuyla ilgili net bir bilgi paylaşmayabileceği, bu gibi nedenlerle aboneye verinin aktarılacağı ülke bilgisini vermenin uygulamada imkansız olabileceği yönündeki gerekçesi, Yönetmelik hükmünün 5809 sayılı Yasa'nın 51/6 maddesindeki hükümle uyumlu olduğu gerçeği karşısında geçerli görülmemiş; otomatik çağrı yönlendirmeye ilişkin Yönetmelik hükmünün 5809 sayılı Yasa'nın 51. maddesi ile verilen yetkinin aşımı niteliğinde olduğu iddiası bakımından ise; Yönetmelik'in dayanağının sadece 51. madde olmadığı özellikle 12 ve 49. maddelerin de dayanak hükümler olarak gösterildiği dikkate alındığında, tüketicilerin hakkını korumaya yönelik bu düzenleme bakımından da bir aykırılık görülmemiştir. Abonelerin belirli periyotlarla bilgilendirilmesine ilişkin hükmün de yine kişisel verilerin işlenmesi yolunda ilgililerince gösterilen iradenin devam edip etmediğinin kontrol edilmesi bakımından önemli olduğu, davacı tarafça ileri sürülen sakıncaların somutlaştırılamadığı kanaatine varılmıştır. Bu nedenlerle, dava konusu edilen Yönetmelik hükümlerinin üst hukuk normları ile uyumlu olduğu, kamu yararı ve hizmet gerekleri gözetilerek tesis edildiği, hukuka ve mevzuata aykırılık taşımadığı sonucuna varılmıştır. Açıklanan nedenlerle, davanın reddine karar verilmesi gerektiği, düşünülmektedir.

Karar veren Danıştay Onüçüncü Dairesince, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

MADDİ OLAY VE HUKUKİ SÜREÇ : 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in (Yönetmelik) 8. maddesinin 1. fıkrasının (c), (ç) ve (e) bentlerinin, 9. maddesinin 1. fıkrasının, 11. maddesinin 1. fıkrasının, 13. maddesinin 2. fıkrasının iptali istemiyle bakılan dava açılmıştır. İLGİLİ MEVZUAT:

Anayasa'nın "Kanun önünde eşitlik" başlıklı 10. maddesinde, "Herkes, dil, ırk, renk, cinsiyet, siyasi düşünce, felsefi inanç, din, mezhep ve benzeri sebeplerle ayırım gözetilmeksizin kanun önünde eşittir. (..) Devlet organları ve idare makamları bütün işlemlerinde kanun önünde eşitlik ilkesine uygun olarak hareket etmek zorundadırlar."; "Özel hayatın gizliliği" başlıklı 20. maddesinde, "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."; "Tüketicilerin korunması" başlıklı 172. maddesinde, "Devlet, tüketicileri koruyucu ve aydınlatıcı tedbirler alır, tüketicilerin kendilerini koruyucu girişimlerini teşvik eder." kuralına yer verilmiştir. 5809 sayılı Elektronik Haberleşme Kanunu’nun 1. maddesinde, bu Kanun'un amacının; elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesi olduğu belirtilmiş; elektronik haberleşme sektöründe yapılacak düzenlenmelerde göz önünde bulundurulacak ilkelerin sayıldığı 4. maddesinin (b) bendinde, tüketici hak ve menfaatlerinin gözetilmesi, ilkesine yer verilmiş; Kurum'un görevlerinin sayıldığı 6. maddesinin (c) bendinde, abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak; (y) bendinde, bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak; Kurum'un görev ve yetkileri arasında sayılmış;

12.maddesinin (e) bendinde Kurum'un tüketicilerin korunması amacıyla işletmecilere yükümlülükler getirebileceği kurala bağlanmıştır. Aynı Kanun'un “Kurumun görev ve yetkileri” başlıklı 6. maddesinin 1. fıkrasında, "Kurumun görev ve yetkileri şunlardır: ... (c) Abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak. … s) Elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak. … y) Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak.”; “İşletmecinin hak ve yükümlülükleri” başlıklı 12. maddesinin 2. fıkrasında, “Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: ... (d) Kişisel veri ve gizliliğin korunması ... (e) Tüketicinin korunması”; “Tüketicinin ve son kullanıcının korunması” başlıklı 48. maddesinde, “Kurum, elektronik haberleşme hizmetlerinden yararlanan tüketici ve son kullanıcıların, hizmetlere eşit koşullarda erişebilmelerine ve hak ve menfaatlerinin korunmasına yönelik usul ve esasları belirler.”; "Şeffaflığın sağlanması ve bilgilendirme " başlıklı 49. maddesinde, "(1) Kurum, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebilir. (2) İşletmeciler, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirir. (3) Kurum bu maddenin uygulanmasına ilişkin usul ve esasları belirler."; “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlıklı 51. maddesinde, "(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49'uncu maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a)Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar,

b)Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl,

c)Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince, saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldan fazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS’si arasında paylaşılabilir veya işlenebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir." kuralları yer almıştır. 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Yönetmeliğin amacı, özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu'nun 4, 6, 12, 49, 51 ve 60'ıncı maddelerine dayanılarak hazırlanmıştır." kurallarına yer verilmiştir.

HUKUKİ DEĞERLENDİRME:

Sözlük anlamı ile "düzenli hâle koymak, düzen vermek, tanzim ve tertip etmek" olarak tanımlanan "düzenleme", kamu hukukunda kural koyma ile eş anlamlıdır. Kural ise; sürekli, soyut, nesnel, genel (kişilik dışı) durumları belirleyen ve gösteren norm olarak tanımlanmaktadır. Anayasa'nın 2. maddesinde, Türkiye Cumhuriyetinin bir hukuk devleti olduğu belirtilmiş olup, Anayasa Mahkemesi kararlarında hukuk devleti, insan haklarına dayanan, bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek sürdüren, hukuk güvenliğini gerçekleştiren, Anayasaya aykırı durum ve tutumlardan kaçınan, hukuku tüm devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan, yargı denetimine açık olan devlet olarak tanımlanmıştır.

Bir hiyerarşik kurallar sistemi olan hukuk düzeninde alt düzeydeki kuralların, yürürlüklerini üst düzeydeki kurallardan aldığı kuşkusuzdur. Kurallar hiyerarşisinin en üstünde genel hukuk ilkeleri ve Anayasa bulunmakta ve daha sonra gelen kanunlar yürürlüğünü Anayasa'dan, yönetmelikler ise kanun ve Cumhurbaşkanlığı kararnamelerinden almaktadır. Dolayısıyla bir kuralın, kendisinden daha üst konumda bulunan bir kurala aykırı veya bunu değiştirici nitelikte hükümler getirmesine imkân bulunmamaktadır. Anayasa'nın 124. maddesinde, Cumhurbaşkanı, bakanlıklar ve kamu tüzel kişilerinin kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla yönetmelikler çıkarabilecekleri kurala bağlanmıştır. Kanun koyucu, düzenleyeceği konularda genel prensipleri belirler ve bunun uygulamasını yürütmeye, başka bir ifadeyle idareye bırakır. Bu, aslî düzenleme yetkisinin yasama organına ait olmasının doğal bir sonucudur. İdarenin düzenleyici işlem tesis etme yetkisinin "Yasama yetkisinin devredilmezliği" ilkesinin bir sonucu olarak ikincil nitelikte bir kural koyma yetkisi olduğu göz önüne alındığında, söz konusu yetkinin kanunların çizdiği çerçeve içinde kalması ve kanunlara uygun olarak kullanılması zorunludur. Bu itibarla, dava konusu Yönetmeliğin iptali istenilen maddelerinin hukuka uygunluk denetiminin belirtilen çerçevede yapılması gerekmektedir. 5809 sayılı Elektronik Haberleşme Kanunu'nun “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlıklı 51. maddesinin 26/07/2014 tarih ve 29072 sayılı Resmî Gazete'de yayımlanan Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararı ile, "Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemeyeceği, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumu'na veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırı olduğu gerekçesiyle iptal edildiği, bunun üzerine, 6639 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun'un 32. maddesi ile yeniden düzenlenen 51. maddesinin 2. fıkrasında yer alan, “…ilgili mevzuatın ve…” ibaresinin, 6. fıkrasında yer alan, “…ilgili mevzuat hükümleri saklı kalmak kaydıyla,…” ibaresinin, 8. fıkrasının 2. cümlesinde yer alan, “…ilgili mevzuatın ve…” ibaresinin ve 13. fıkrasına yönelik olarak açılan iptal davasının ise Anayasa Mahkemesi'nin 09/12/2016 tarih ve 29913 sayılı Resmî Gazete'de yayımlanan 02/11/2016 tarih ve E:2015/61, K:2016/172 sayılı kararıyla, "...Anayasa’nın 20. maddesinin 3. fıkrasının son cümlesinde, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilerek kişisel verilerin korunması hakkı anayasal güvenceye bağlandığı ve bu şekilde kamu makamlarının keyfi müdahâlelerine karşı koruma altına alındığı, buna göre, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve korunmasına yönelik temel kuralların kanunla düzenlenmesinin zorunlu olduğu, nitekim Anayasa Mahkemesi de yukarıda tarih ve sayısı belirtilen kararında, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasların belirlenmesi konusunda Bilgi teknolojileri ve İletişim Kurumu'na doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilmesinin Anayasa’nın 20. maddesine aykırı olduğuna karar verildiği, bu bağlamda, Kanun’un yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesinde uyulması gereken ilkeler sayıldıktan sonra, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kurallar herhangi bir duraksamaya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir şekilde düzenlenerek konuya ilişkin temel kuralların belirlendiği, maddede belirlenen usul ve esaslar çerçevesinde kişisel verilerin işlenmesi ve korunmasına ilişkin teknik ve uygulamayı esas alan detayların belirlenmesi konusunda Bilgi Teknolojileri ve İletişim Kurumu'na yetki verilmesini öngören kuralda belirsizlik bulunmadığı gibi yasama yetkisinin devrinin de söz konusu olmadığı..." gerekçesiyle reddedildiği anlaşılmaktadır. 5809 sayılı Kanun'un, Anayasa Mahkemesi'nin anılan kararı uyarınca yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kurallar herhangi bir duraksamaya yer vermeyecek açıklıkta belirlenmiş olup, maddenin son fıkrasında, uygulamaya ilişkin usul ve esasların Kurum tarafından belirleneceği kurala bağlanmıştır.

Söz konusu yetkiye dayanılarak davalı idare tarafından, 5809 sayılı Kanun'un 51. maddesinin uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil konuların düzenlenmesi amacıyla, tüketicilerin korunması, sektörün ihtiyaçları ve teknolojide yaşanan gelişmeler de dikkate alınarak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Taslağının hazırlandığı, 17/03/2020 tarih ve 2020/DK-THD/077 sayılı Kurul kararı ile anılan Taslağın kamuoyu görüşlerinin alınabilmesini teminen Kurumun internet sitesinde 30 (otuz) gün süre ile yayımlanmasına karar verildiği, Kuruma iletilen kamuoyu görüşlerinin değerlendirilmesi sonrasında, Taslağın, görüşleri alınmak üzere Kişisel Verileri Koruma Kurumu'na (KVKK) gönderildiği anlaşılmakta olup, Kurumuma iletilen KVKK görüşleri dikkate alınmak suretiyle, 5809 sayılı Kanun'un 4., 6.,12., 49., 51. ve 60. maddeleri dayanak alınarak, 17/10/2019 tarih ve 30921 sayılı Resmî Gazete’de yayımlanan 2019/22 sayılı Cumhurbaşkanlığı Genelgesi uyarınca, 2002/58/AT sayılı Direktif başta olmak üzere ilgili AB mevzuatı da göz önünde bulundurularak hazırlandığı anlaşılan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Dava konusu edilen düzenlemelerin eşitlik ilkesi bakımından incelenmesi;

Davacı tarafından, eşitlik ilkesine aykırı düzenleme yapıldığı iddia edildiğinden, öncelikle eşitlik ilkesinin ne anlama geldiğinin incelenmesi gerekmektedir.

Ülkemizde eşitlik ilkesinin, biri mutlak, diğeri nispî olmak üzere iki farklı anlamda anlaşılabileceği kabul edilmektedir. Mutlak eşitlikten kastedilen şey, kanunların herkese eşit olarak uygulanmasıdır. Nispî eşitlikten kastedilen şey ise, aynı durumda bulunan kişilerin aynı işleme tâbi tutulmasıdır. Nispî eşitlik anlayışına göre, eşit olmayanlara farklı kuralların uygulanması eşitlik ilkesine aykırı değildir. Bu ilkeye göre, kişinin hakları ve ödevleri, yetkileri ve sorumlulukları, durumuna, niteliğine, yaptığı işe göre değişebilecektir. Dolayısıyla idare kamu hizmetlerinin yürütülmesi ve sunulmasında farklı durumda bulunan kişilere farklı muamele yapabilecektir. (GÖZLER Kemal, İdare Hukuku, Mayıs 2019, Bursa, s. 317, 318)

Anayasa Mahkemesi kararlarında, Anayasa’nın 10. maddesinde öngörülen eşitlik ilkesinin hukukî durumları aynı olanlar için söz konusu olduğu, bu ilke ile fiilî değil hukukî eşitliğin öngörüldüğü, eşitlik ilkesinin amacının aynı durumda bulunan kişilerin kanunlarca aynı işleme bağlı tutulmalarını sağlamak ve kişilere kanun karşısında ayrım yapılmasını ve ayrıcalık tanınmasını önlemek olduğu, bu ilkeyle aynı durumda bulunan kimi kişi ve topluluklara ayrı kurallar uygulanarak kanun karşısında eşitlik ihlâlinin yasaklandığı, Kanun önünde eşitliğin, herkesin her yönden aynı kurallara bağlı tutulacağı anlamına gelmeyeceği, durum ve konumlarındaki özelliklerin kimi kişiler ya da topluluklar için değişik kuralları gerekli kılabilabileceği, aynı hukukî durumlar aynı, ayrı hukukî durumlar farklı kurallara bağlı tutulursa Anayasa’nın öngördüğü eşitlik ilkesinin ihlâl edilmeyeceği belirtilmiştir. (Anayasa Mahkemesi’nin 09/02/2012 tarih ve E:2010/93, K:2012/20 sayılı kararı)

Anayasa Mahkemesinin bir başka kararında, Anayasa'da öngörülen eşitlik ilkesinin, "kanun önünde eşitlik" olduğu, herkesin aynı hak ve yükümlülüklere sahip olması anlamında olmadığı, eşitliğin her yönüyle aynı hukukî durumda olanlar arasında söz konusu olduğu, hukuk felsefesine girmiş bir deyimle, "eşitlerin eşitliği" anlamında olduğu, farklı durumlarda olanlara, yani eşit olmayanlara, farklı kurallar uygulanmasının, yani "eşit olmayanların eşitsizliği"nin eşitlik ilkesine aykırılık oluşturmayacağı belirtilmiştir. (Anayasa Mahkemesi’nin 27/09/1988 tarih ve E:1988/7, K:1988/27 sayılı kararı)

Bu bağlamda, hem 5809 sayılı Kanun'un 4. maddesinde belirtilen "eşit şartlardaki aboneler, kullanıcılar ve işletmeciler arasında ayrım gözetilmemesi" ilkesi hem de Anayasa'nın 10. maddesinde yer alan eşitlik ilkesi dikkate alındığında, idare tarafından işletmecilere karşı gerçekleştirilen işlemlerin kanun önünde eşitlik ilkesine uygun olarak tesis edilmesi gerekmekte olup, burada dikkat edilmesi gereken en önemli hususun hukuk karşısında eşit konumda bulunan kişilere aynı yönde işlemler tesis edilmesidir. 5809 sayılı Kanun'un “Tanımlar ve kısaltmalar” başlıklı 3. maddesi kapsamında Kurum tarafından “yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan verveya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket” olarak tanımlanan işletmeciler, Kurumun ilgili mevzuatına uygun faaliyet sürdürmekle yükümlü olduğu işletmeciler dışındaki veri sorumlularının, mevzuat kapsamında Kurumun görev ve yetki alanına girmemesi nedeniyle hukuki statü olarak işletmecilerle aynı konumda olmadığı, dolayısıyla Anayasa'nın 10. maddesi ile kast edilen eşitlik ilkesinin nispi eşitlik olduğu göz önünde bulundurulduğunda Kurum tarafından yetkilendirilmiş işletmecilerin 5809 sayılı Kanun ve ilgili mevzuat kapsamında diğer veri sorumlularından farklı yükümlülüklere tabi tutulmasına dair düzenlemelerde eşitlik ilkesine aykırı bir yön bulunmadığı sonucuna ulaşılmıştır. 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik'in dava konusu 8. maddesinin 1. fıkrasının (c), (ç) ve (e) bendinin incelenmesi: Anılan Yönetmeliğin "Açık rıza alma şartları" başlıklı 8. maddesinde, "(1) İşletmeciler, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki şartları yerine getirir:

a)Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rızalar geçersiz kabul edilir.

b)Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır. Abonelik tesis edilmesi ve temel elektronik haberleşme hizmetleri veya cihazların sunulması, abonenin/kullanıcının verilerinin işlenmesine yönelik açık rıza verme ön şartına bağlanamaz. Hediye dakika, SMS ve veri gibi ek fayda sağlanması karşılığında aboneden/kullanıcıdan açık rıza talep edilebilir.

c)Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması hâlinde yazılar en az on iki punto ile hazırlanır.

ç)İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.

d)İşletmeciler, abonelerin/kullanıcıların açık rızalarını gösteren kayıtları, ilgili mevzuat hükümlerinde yer alan süreler saklı kalmak kaydıyla, asgari abonelik süresince saklamakla yükümlüdür.

e)Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1.Aktarılacak verinin kapsamı,

2.Aktarılacak tarafın adı ve açık adresi,

3.Aktarma amacı ve süresi,

4.Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı, şeklindeki bilgiler verilerek ayrıca açık rıza alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır.

f)İşletmeciler, trafik ve konum verilerinin açık rıza alınarak üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bu verilerin sadece açık rıza bilgilendirmesinde belirtilen üçüncü taraflarca ve belirtilen amaçla işlenmesini temin etmekle yükümlüdür." kuralı yer almıştır. 6698 sayılı Kanun'un "Veri sorumlusunun aydınlatma yükümlülüğü" başlıklı 10. maddesinin, "(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a)Veri sorumlusunun ve varsa temsilcisinin kimliği,

b)Kişisel verilerin hangi amaçla işleneceği,

c)İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç)Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d)11'inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür." kuralına yer verilmiştir.

Davacı tarafından, Yönetmeliğin 8. maddesinin 1. fıkrasının (c) bendinde yer alan, açık rıza beyanının alınması öncesinde abone/kullanıcıya işlenecek veri türleri, kapsamı, işlenme amacı ve süresi hakkında bilgilendirme yapılmasına ilişkin düzenlemenin, aynı fıkranın (ç) bendinde yer alan, abonelerin açık rızasının alınmasına ilişkin olumlu irade beyanının “evet/onay/kabul” şeklinde sınırlandırılmasına ilişkin düzenlemenin ve aynı fıkranın (e) bendinde yer alan, sadece trafik ve konum verilerinin üçüncü kişilere aktarımının söz konusu olduğu durumlarda tekrardan açık rıza alınmasına ilişkin düzenlemenin kanunî dayanağının bulunmadığı ileri sürülmektedir.

Yönetmeliğin 8. maddesinin 1. fıkrasının (c) bendinde, abonelerin/kullanıcıların açık rıza usûlünün düzenlendiği, 6698 sayılı Kanun'un 3. maddesi'nde açık rızanın belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade ettiğine yer verildiği, 6698 sayılı Kanun'un ve alt düzenlemelerinde yer alan hükümlerin uygulanmasına ilişkin kılavuz niteliğindeki belgelerden Açık Rıza Rehberi'nde "bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi gerektiği, bilgilendirmenin mutlaka verinin işlemesinden önce yapılması gerektiği, işlenecek verinin niteliği, aynı zamanda bilgilendirme düzeyini belirleyeceği, ilgili kişinin bilgilendirilmesi aynı zamanda kişinin kendi geleceğini belirleme hakkının bir yansımasını oluşturduğu”nun yer aldığı, Yönetmeliğin “Tanımlar ve kısaltmalar” başlıklı 4. maddesinde de benzer şekilde açık rızanın, "Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı" ifade ettiğine yer verildiği, her sektörde işlenebilecek verilerin farklı olduğu, farklı sektörlerde düzenleme ve denetleme yetkisine sahip kurum ve kuruluşlarının ilgili sektörün ihtiyaçları ve dinamiklerini göz önüne alarak düzenleme yapılmasının gerektiği, 5809 sayılı Kanun'un 49. maddesi uyarınca, Kurum'un abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği açık olduğundan, bu kapsamda tüketicilerin korunmasına yönelik olarak elektronik haberleşme sektörüne özgü alınan dava konusu kuralın 6698 sayılı Kanun'a aykırı olmayacak şekilde düzenlendiği, diğer taraftan 2002/58/AT sayılı Direktif'te de kişisel verilerin işlenmesine ve gizliliğin korunmasına ilişkin elektronik haberleşme sektörüne özgü kurallar getirildiği anlaşıldığından, davacının iddiaları dava konusu kuralı kusurlandırıcı nitelikte olmadığı, dava konusu kuralda hukuka aykırılık bulunmadığı sonucuna varılmıştır.

Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) bendinde, işletmecilerin, abonelerin “evet/onay/kabul” şeklindeki irade beyanlarını yazılı veya elektronik ortamda alması ve söz konusu irade beyanının rıza alınan duruma özgü olması gerektiği düzenlenirken açık rızaya ilişkin irade beyanları ile ilgili elektronik haberleşme sektörüne özgü suistimal (abonelik sözleşmelerindeki veri işleme kutucuğunun bazı bayilerin kendileri tarafından işaretlenmesi vb.) uygulamalarının giderilmesinin, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında abonelerin menfaatine uygun şekilde irade beyanlarının doğru ve gerçek olarak alınmasının amaçlandığı; 5809 sayılı Kanun'un 12. maddesinin 2. fıkrasında yer alan, "Kurumun uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek, kişisel veri ve gizliliğin korunması, tüketicinin korunması gibi konularda işletmecilere yükümlülük getirebileceği"ne ilişkin düzenleme de dikkate alındığında, dava konusu düzenlemenin şekil şartı getirerek irade beyanını kısıtlamayı değil, irade beyanlarının doğru ve gerçek olarak alınmasını amaçladığı anlaşılmaktadır.

Yönetmeliğin 8. maddesinin 1. fıkrasının (e) bendinde, trafik ve konum verilerinin üçüncü tarafa aktarımının söz konusu olduğu durumlarda gerekli bilgilendirme yapılarak açık rıza alınacağı, söz konusu bilgilerde değişiklik olması halinde tekrar açık rıza alınacağının kurala bağlandığı anlaşılmaktadır. 5809 sayılı Kanun'un 49. maddesinin 1. fıkrasında, Kurumun tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için, abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği düzenlenmiş olup, trafik ve konum verilerinin hassasiyeti dikkate alındığında, verilerin üçüncü taraflara veya yurtdışına aktarımı öncesinde abonelerin bilgilendirilmesinin ve açık rızalarının alınmasının, anılan Kanun maddesinde belirtilen şeffaflık ilkesine ve bilgilendirme yükümlülüğüne uygun olduğu açıktır.

Öte yandan, kişilerin, trafik ve konum verilerinin üçüncü kişilere aktarılması hususundaki iradeleri belirlenirken, doğru ve sağlıklı bir değerlendirme yapabilmeleri için, konuyla ilgili olarak açık ve yeterli derecede bilgilendirilmelerinde, bu bilgilerde değişiklik olması halinde de tekrar bilgilendirme yapılarak açık rızalarının alınmasında, tüketici hak ve menfaatlerine aykırı bir durum görülmemiştir. Bu itibarla, dava konusu Yönetmeliğin 8. maddesinin 1. fıkrasının (c), (ç) ve (e) bentlerinde hukuka ve üst hukuk kurallarına aykırılık bulunmamaktadır. Yönetmelik'in 9. maddesinin 1. fıkrasının incelenmesi:

Yönetmelik'in "Trafik ve konum verilerine ilişkin aydınlatma yükümlülüğü" başlıklı 9. maddesinde, "(1) 6698 sayılı Kanunun 10'uncu maddesi hükümleri saklı kalmak üzere, trafik ve konum verilerinin işlenebildiği hâllerde işletmeciler, işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi vermekle yükümlüdür." kuralı yer verilmiştir. 5809 sayılı Kanun'un 49. maddesi uyarınca, işletmecilerin özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu ve her durumda talep olmaksızın tüketicileri bilgilendireceği, aynı Kanun'un 51. maddesinin 1. fıkrasında, kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulacağına yer verildiği, bu kapsamda 5809 sayılı Kanun ile verilen yetki ve görev kapsamında, 2002/58/AT sayılı AB Direktifi de dikkate alınarak, trafik ve konum verilerinin işlenebildiği hâllerde işletmeciler tarafından işlenebilecek trafik veya konum verisi türleri, işleme amacı ve süresi hakkında abonelere/kullanıcılara bilgi verilmesi gerektiğine ilişkin dava konusu kuralın getirildiği, bu kurala ilişkin olarak 6698 sayılı Kanun ile uyumun sağlanması hususunda Kişisel Verileri Koruma Kurumu'nun da olumlu değerlendirmelerinin bulunduğu anlaşılmıştır.

Bu itibarla, Kurum'un tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi amacıyla yapıldığı anlaşılan dava konusu kuralda hukuka ve üst hukuk kurallarına aykırılık bulunmamaktadır. Yönetmelik'in 11. maddesinin 1. fıkrasının incelenmesi: Yönetmeliğin "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrasında, "İşletmeci, aboneye/kullanıcıya, kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır." kuralı yer almaktadır.

Davacı tarafından, dava konusu düzenlemenin bu hâliyle uygulama imkânının bulunmadığı, zira, otomatik çağrı yönlendirme uygulamasının kapsamının belirsiz şekilde genişletildiği, ayrıca, elektronik haberleşme cihazında (telefon vb.) başka bir numaraya yönlendirme özelliğinin bulunması durumunda yönlendirmeyi engellemenin mümkün olmadığı ileri sürülmektedir. 2002/58/AT sayılı Direktif'in "Otomatik çağrı yönlendirme başlıklı" 11. maddesinde, herhangi bir abonenin terminal cihazına üçüncü bir tarafça yapılan otomatik çağrı yönlendirmesini ücretsiz ve basit bir yöntemle durdurma imkânına sahip olmasının garanti altına alınacağı kurala bağlanmıştır.

Bu itibarla, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, abonelerin/kullanıcıların menfaatine uygun olacak şekilde istenmeyen otomatik çağrı yönlendirmelerinin durdurulmasının amaçlandığı, 5809 sayılı Kanun'un 12. maddesinin 2. fıkrasında yer alan, Kurumun uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek, kişisel veri ve gizliliğin korunması, tüketicinin korunması gibi konularda işletmecilere yükümlülük getirebileceğine ilişkin düzenleme de dikkate alındığında, abonelere ait kişisel verilen gizliliğinin korunması amacıyla, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu anlaşılmaktadır. Yönetmelik'in 13. maddesinin 2. fıkrasının incelenmesi:

Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. fıkrasında, "İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur." kuralı yer almaktadır. 5809 sayılı Kanun'un "Şeffaflığın sağlanması ve bilgilendirme” başlıklı 49. maddesinin 1. fıkrasında, Kurumun, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği;

2.fıkrasında, işletmecilerin, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendireceği kurala bağlanmıştır.

Öte yandan, aynı Kanun'un 51. maddesinin 7. fıkrasında, ihtiyaç duyulan trafik verileri ile konum verilerinin, anonim hale getirilerek veya abonelerin açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektiği ölçü ve sürede işlenebileceği hüküm altına alınmıştır.

Kanun koyucu tarafından, elektronik haberleşme sektörüne ilişkin konuların, tüketicilerin veya kişisel verilerin gizliliğinin korunması gibi genel nitelikli kanunlardan ayrılarak, elektronik haberleşme sektörüne özgü uluslararası düzenlemelerin de dikkate alınması suretiyle 5809 sayılı Kanun ile düzenlediği; anılan Kanun'un konuya ilişkin aktarılan düzenlemeleri uyarınca işletmecilerin, elektronik haberleşme hizmetinin şeffaflık ilkesine uygun şekilde sunulabilmesini teminen, bilgilendirmenin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirme yükümlülüğünün bulunduğu, ayrıca Kurum'un tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında tüketicilerin, azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun şekilde sunulabilmesi için işletmecilere yükümlülükler getirebileceği dikkate alındığında, dava konusu düzenlemelerin kanunî dayanağının bulunduğu; aboneler tarafından verilerinin işlenmesine yönelik olarak açık rıza verdikten sonra senede bir defa, verilerinin işlendiği hususunda bilgilendirilmelerinin tüketici hak ve menfaatlerinin korunması bakımından gerekli olduğu, söz konusu bilgilendirmeler yapılıncaya kadar, veri işleme faaliyetlerinin durdurulmasına ilişkin kuralın ise, bilgilendirme mekanizmasının düzenli ve sağlıklı bir şekilde işleyebilmesi için gerekli olduğu anlaşılmaktadır.

Bu itibarla, tüketicinin hak ve menfaatlerini koruyan dava konusu düzenlemelerin, kişisel verilerin işlenmesinin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uygun olduğu görüldüğünden, söz konusu düzenlemelerde hukuka ve üst hukuk kurallarına aykırılık bulunmadığı sonucuna ulaşılmıştır. KARAR SONUCU: Açıklanan nedenlerle;

1.DAVANIN REDDİNE,

2.Ayrıntısı aşağıda gösterilen toplam …-TL yargılama giderinin davacı üzerinde bırakılmasına,

3.Avukatlık Asgari Ücret Tarifesi uyarınca …-TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,

4.Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,

5.Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kurulu'na temyiz yolu açık olmak üzere, 23/05/2023 tarihinde oybirliğiyle karar verildi.