Danıştay 10. Daire Başkanlığı
Danıştay 10. Daire Başkanlığı 2019/9281 E. , 2023/6566 K. "İçtihat Metni" T.C. D A N I Ş T A Y
ONUNCU DAİRE
Hukuk Müşaviri ...
2.... Kurumu
DAVANIN_KONUSU : 21/06/2019 tarih ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin “Sağlık verilerine avukatların erişimi” başlıklı 10. maddesinin iptali istenilmektedir.
DAVACININ İDDİALARI :
Davacı tarafından, 1136 sayılı Avukatlık Kanunu'nun 2. maddesinin üçüncü fıkrasındaki düzenlemeyle avukatın bilgi ve belge toplaması sağlanarak hukuk kurallarının tam olarak uygulanması suretiyle uyuşmazlıkların adalet ve hakkaniyete uygun çözümlenmesine yardımcı olunmasının amaçlandığı, bu maddenin uygulanmasıyla ile ilgili Danıştay Birinci Dairesinin 27/06/2008 tarih ve E:2008/721, K:2008/800 sayılı, Danıştay Sekizinci Dairesinin 22/12/2010 tarih ve E:2010/8563, K:2010/7231 sayılı ile 02/02/2011 tarih ve E:2011/669 sayılı, Danıştay Dördüncü Dairesinin 16/03/2011 tarih ve E:2009/695, K:2011/1094 sayılı kararlarının bulunduğu, avukatlara tanınan bilgi ve belge inceleme yetkisinin ayrıca bir özel yetki yahut vekaletnameyi gerektirmeksizin, vekil-müvekkil ilişkisini kanıtlayan dava vekaletnamesi ile Kanun gereği istenebilir bir yetki olduğu, bu yönü ile avukatın bilgi ve belge inceleme yetkisini kısıtlayan Yönetmelik hükmünün Avukatlık Kanunu'na aykırı olduğu, avukatın bilgi ve belge erişimine ilişkin Avukatlık Kanunu'nun özel bir kanun niteliğinde olduğu, avukatların görevlerini yerine getirmeleri kapsamında, müvekkilinin hukukunu savunabilmesi, haklarını dava etmesi, yargılama sürecini çabuklaştırması, uyuşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesine yardımcı olabilmesi için gerek duyduğu bilgi ve belgeleri incelemesine sunmak ile ilgili kanuni düzenlemeye açıkça aykırı olan dava konusu düzenlemenin iptaline karar verilmesi gerektiği ileri sürülmektedir. DAVALILARIN SAVUNMALARI :
Davalı Sağlık Bakanlığı tarafından, normlar hiyerarşisinde “sonraki kanun ilkesi” kapsamında Avukatlık Kanunu ve Kişisel Verilerin Korunması Kanunu değerlendirildiğinde, sonraki tarihli Kişisel Verilerin Korunması Kanunu'nun uygulanmasının gerektiği, 6698 sayılı Kanun’un 8. maddesinde yer alan düzenlemenin 1136 sayılı Avukatlık Kanunu'nda belirtilen “kanunlarındaki özel hükümler” kapsamında değerlendirilmesi gerektiği, 1136 sayılı Kanun'un 2. maddesinde yer alan bu düzenlemenin, 6698 sayılı Kanun’un 5. maddesinin birinci fıkrası ile 6. maddesinin üçüncü fıkrasının ilk cümlesinde ifade edilen “kanunda öngörülme” şartını karşıladığı, dolayısıyla Avukatlık Kanunu’nun ilgili maddesine dayanılarak avukatlara, müvekkillerine ait kişisel veriler ile sağlık ve cinsel hayata ilişkin veriler dışında kalan diğer özel nitelikli kişisel verilerin istisnai amaçlar kapsamında aktarılabildiği, 6698 sayılı Kanun'un kişisel sağlık verilerine önem atfettiği ve bu verilerle ilgili farklı bir düzenleme getirdiği, bu verilerin, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olduğu, bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmalarının gerektiği, bu nedenle sağlık verilerine ilişkin bilgilerin aktarılabilmesi için, 6698 sayılı Kanun’un 8. maddesinde yer alan şartların sağlanmasının gerektiği, buna göre, maddenin birinci fıkrası uyarınca kişisel verilerinin ilgili kişinin açık rızası olmaksızın aktarılamayacağı, özel nitelikli kişisel veri olan sağlık verisinin aktarılabilmesi için ise maddenin ikinci fıkrasının (b) bendi uyarınca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından birisinin bulunmasının gerektiği, buna göre, özel nitelikli kişisel verilerin işlenmesi için de Kanun’un 6. maddesinin ikinci fıkrası uyarınca açık rızanın veya üçüncü fıkrasında yer alan istisnai şartlardan herhangi birinin varlığının gerektiği, öte yandan, kişisel verilerin korunmasını isteme hakkının kişiye sıkı sıkıya bağlı haklardan olduğu, bu nedenlerle genel vekaletnamenin yeterli olmadığı ve avukatların açık yetkilendirme olmaksızın müvekkillerinin sağlık verilerine erişiminin mümkün bulunmadığı, dava dilekçesinde sunulan emsal kararların Kişisel Verilerin Korunması Kanunu'nun yürürlüğe girdiği tarihten önce verilen kararlar olduğu, emsal kararların verildiği uyuşmazlıklarda bilgi ve belgelere erişim tamamen kısıtlanmakta iken, Yönetmeliğin 10. maddesinde yalnızca 6698 sayılı Kanun hükümlerine uygun bir düzenleme yapıldığı, ayrıca emsal gösterilen kararlardaki uyuşmazlıkların konusunun kişisel veriye ilişkin olduğu, dava konusu Yönetmelik ile yapılan düzenlemede ise konunun özel nitelikli kişisel veri olduğu, dava konusu düzenlemenin hukuka uygun olduğu ve davanın reddi gerektiği savunulmaktadır.
Kişisel Verileri Koruma Kurumu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 22. maddesinin birinci fıkrasının (h) bendi ve Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmeliğe göre dava konusu Yönetmelik taslağına ilişkin görüşlerin Sağlık Bakanlığına bildirildiği, Yönetmeliğin hazırlanma sürecinde başka bir görevi ve sürece dahlinin mümkün bulunmadığı, bu nedenle hasım mevkiinden çıkarılması gerektiği; 6698 sayılı Kanun'un 5. maddesinin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrada belirtilen şartların birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı, 6. maddesinde, kişilerin sağlığıyla ilgili verilerin özel nitelikli kişisel veri olduğu, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun ve sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hüküm altına alındığı, avukatların müvekkillerine ait sağlık verilerine erişimi ve belgelerden örnek almasının kişisel verilerin işlenmesi anlamına geldiği, bu nedenle Kanun'un 6. maddesi hükmüne uygun olarak ancak ilgili kişinin açık rızası alınmak suretiyle işlenmesi gerektiği, ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakların kişiye sıkı sıkıya bağlı hak niteliğini haiz olduğu, 1136 sayılı Avukatlık Kanunu'nun 2. maddesinin üçüncü fıkrasında düzenlenen yardımcı olma zorunluluğunun her türlü bilgi ve belgeyi kapsamadığı, diğer kanunlarda yer alan özel hükümler ile bilgi ve belgenin avukatın görevinin yerine getirilmesi ile ilgili ve gerekli olmasının bu yetkinin kapsamını ve sınırlarını belirlediği, Anayasal bir hak olan kişisel verilerin korunması hakkına ilişkin usul ve esasları düzenleyen 6698 sayılı Kanun'un ilgili kişilerin özel nitelikli verilerinin işlenmesine ilişkin 6. maddesinin ikinci fıkrası hükmünün daha dar yorumlanması ve öncelikli olarak uygulanması gereken özel bir hüküm olduğu, dava konusu düzenlemede hukuka aykırılık bulunmadığı, davanın reddi gerektiği savunulmaktadır. DANIŞTAY TETKİK HAKİMİ : ... DÜŞÜNCESİ : Dava konusu düzenlemenin üst hukuk normları ile hukuka uygun olduğu, davanın reddi gerektiği düşünülmektedir. DANIŞTAY SAVCISI : ... DÜŞÜNCESİ : Dava, 21/06/2019 tarih ve 30808 sayılı Resmi Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin, "Sağlık Verilerine Avukatların Erişimi" başlıklı 10. maddesinin iptali istemiyle açılmıştır. Anayasamızın, "Kişinin Hakları ve Ödevleri" başlıklı İkinci Bölüm altında "A. Özel hayatın gizliliği" başlıklı 20. maddesinde; Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.(...)
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmü yer almıştır.
Türkiye tarafından da 30/01/2016 tarihinde 6669 sayılı Kanunla onaylanması uygun bulunan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin 9. maddesinde de; Devlet güvenliği, kamu güvenliği, Devletin ekonomik menfaatlerinin korunması ve suçların önlenmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlama getirilmesi kabul edilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4. maddesinde; (1) Kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, (2) Kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, ilkelerine uyulmasının zorunlu olduğu, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde; (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, hükmüne yer verilmiştir. 1136 sayılı Avukatlık Kanunu'nun 2. maddesinin 3. fıkrasında; Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır.(...) hükmü yer almıştır.
Avukatlık Kanununda, özel kanunlarda yer alan özel düzenlemeler saklı tutulmak kaydıyla avukatlık kanunundaki hükmün uygulanmasına olanak sağlanmıştır. Bu halde dava konusu kuralın düzenlendiği Yönetmeliğin ve dayanağı Yasa ve Kişisel Verilerin Korunması Kanununun uyuşmazlığın çözümlenmesinde esas alınacak özel kanun mu yoksa Avukatlık Kanununun mu özel kanun olduğunun, yine avukatın vekaletname ibrazı ile inceleyebileceği bilgi ve belgeler arasında özel nitelikli kişisel verilerden olan sağlık verilerinin de bulunup bulunmadığının açıklığa kavuşturulması gerekmektedir. 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin f) bendinde; (Değişik: 24/3/2016-6698/30 md.) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir." hükmü ile 1 Nolu Cumhurbaşkanlığı Kararnamesinin "Sağlık Bakanlığı" başlığıyla düzenlenen Onikinci Bölüm 355. maddesinde, ilgili mevzuat çerçevesinde kişisel verilerin korunmasına ve veri mahremiyetinin sağlanmasına yönelik düzenleme yapmak görevine Sağlık Hizmetleri Genel Müdürlüğü görevleri arasında yer verilmiş,
378.maddesinde; Kişisel Sağlık Verilerinin İşlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususların Bakanlıkça uygulamaya konulan Yönetmelikle düzenlenmesi öngörülmüştür.
Yasa ve 1 No'lu Cumhurbaşkanlığı KHK nin verdiği yetkiye istinaden Sağlık Bakanlığı tarafından 21.06.2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik'in 4. maddesinin j) bendinde; Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlanmıştır. "Sağlık verilerine avukatların erişimi" başlıklı 10. maddesinde, "(1) Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir." kuralı getirilmiştir.
Dava konusu Yönetmeliğin yürürlükten kaldırdığı, 20 Ekim 2016 tarihli, 29863 sayılı Resmi Gazete'de yayımlanmış olan Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, "Kişisel sağlık kaydı sistemi" başlıklı 15. maddesinde; (1) İsteyen her vatandaş; kendisine sunulan sağlık hizmetlerini takip etmek, kendisine ait sağlık kayıtlarını yönetmek, sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verdiği üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık kaydı sistemi üzerinde kullanıcı hesabı oluşturabilir.(...), (3) İlgili kişi tarafından yetki verilmesi halinde kişisel sağlık verilerine ilgili kişinin belirleyeceği kişiler tarafından da erişilebilir." kuralı bulunmaktadır.
Öte yandan, 01.08.1998 tarih ve 23420 sayılı Resmî Gazete'de yayımlanan, Hasta Hakları Yönetmeliği'nde; sağlık hizmetlerinden faydalanma ihtiyacı bulunan fertlerin, sırf insan olmaları sebebiyle sahip bulundukları ve T.C. Anayasası, milletlerarası andlaşmalar, kanunlar ve diğer mevzuat ile teminat altına alınmış bulunan haklar hasta hakları olarak ifade edilmiş, hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları, doğrudan veya vekili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir. Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir." kuralı getirilmiştir.
Anayasamız, özel hayatın gizliliğini güvence altına almakla birlikte bazı hallerde; milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması gibi hallerde özel hayatın gizliliğine dokunulabilmesini olanaklı kılmıştır. Bu halde, temel hak ve özgürlükler, özlerine dokunulmaksızın Anayasamızda öngörülen sebeplerle demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine uygun olarak ve ancak Kanunla sınırlanabilecektir.
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nde kişisel verilerin korunmasına sınırlama getirilmesi ancak sayılan durumlarla sınırlı olarak benimsenmiştir. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 sayılı Kanun hazırlanmıştır. Kişisel Verilerin Korunması Hakkında Kanunda, Sağlığa ilişkin veriler, özel nitelikli kişisel veriler kapsamında düzenlenmiştir. Sağlığa ilişkin kişisel verilerin, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ve özel nitelikli kişisel verilerin işlenmesinin, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartına bağlandığı görülmektedir. Anayasa hükmü gereği kişisel verilerin korunmasına ilişkin usul ve esasları düzenleyen 6698 sayılı Kanun ve bu Kanun dayanak alınmak suretiyle yapılan alt düzenlemeler, bu alanı düzenleyen özel düzenlemelerdir.
Hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamak amacıyla yayımlanmış olan Avukatlık Kanunu kişisel sağlık verilerinin düzenlendiği özel bir Yasa değildir.
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine, ülkemizce onaylanarak iç hukukta yasalar üstü bir hukuki statü kazandırılmış ve bu Sözleşmede sağlık verileri, özel kategoride hassas veriler olarak kabul edilmiş, iç hukukta uygun güvenceler sağlanmadıkça otomatik işleme tabi tutulmaları yasaklanmıştır.
Dava konusu Yönetmeliğin yürürlükten kaldırdığı Yönetmelikte de, kişilerin, özel nitelikli sağlık verileri kayıtlarını yönetmek, sağlık tesislerinde kendisine uygulanan işlemleri ve sonuçlarını incelemek, kişisel sağlık verilerine her yerden erişmek ve bu verileri yetki verdiği üçüncü kişilerle paylaşmak için Bakanlık tarafından hazırlanan kişisel sağlık kaydı sistemi üzerinde kullanıcı hesabı oluşturulması ve ancak yetki verilmesi halinde kişisel sağlık verilerine ilgili kişinin belirleyeceği kişiler tarafından da erişilebilmesi mümkün kılınmıştır.
Bu durumda kişisel verilerin korunması hakkında özel kanunla yapılan düzenleme esas alınarak yapılan alt düzenlemelerle kişisel verilerin işlenmesi, korunması, kontrolü, üçüncü şahısların erişimine açılması ancak yine özel düzenlemesinde yer alan hükümler çerçevesinde mümkün olup, Avukatlık Kanununda yer alan Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıfların, avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorunluluğu, özel kanunlarındaki hükümleri saklı tutmak kaydıyla olanaklı kılınmış ve bu belgelerden örnek alınması vekaletname ibrazına bağlanmıştır.
Bu durumda, Avukatlık Kanununda da özel hükümler saklı tutulmak kaydıyla bir vekaletname ibrazı gerekli kılındığına, Hasta Hakları Yönetmeliğinde ise vekilin incelenmesine fırsat tanınmasına karşın açık bir yetkinin aranılmasına engel bir ifadeye yer verilmediğine göre, sağlık verilerinin avukata aktarılması için, vekaletnamede; ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunması gerekliliğini düzenleyen dava konusu Yönetmeliğin 10. maddesi hükmünde, hukuka aykırılık görülmemiştir. Açıklanan nedenlerle, davanın reddi gerektiği düşünülmektedir.
TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
Üye ... 'un kişisel verilere ilişkin düzenlemeler içeren ve dava konusu düzenlemenin dayanaklarından olan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin 378. maddesinin birinci, ikinci (son cümlesi hariç), üçüncü, dördüncü ve altıncı fıkralarının, Anayasa'nın 20. ve 104. maddelerine aykırı olduğu, bu nedenle anılan kuralların iptali istemiyle Anayasa Mahkemesine başvurulması gerektiği oyuna karşılık,
Anayasa Mahkemesine başvurulmasına gerek olmadığına oyçokluğuyla karar verilerek ve davalı idarelerden Kişisel Verileri Koruma Kurumunun usul itirazı da yerinde görülmeyerek işin esasına geçildi. MADDİ OLAY VE HUKUKİ SÜREÇ :
Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiş olup, anılan Yönetmeliğin “Sağlık verilerine avukatların erişimi” başlıklı "Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir." şeklindeki 10. maddesinin iptali istemiyle bakılmakta olan dava açılmıştır.
İNCELEME VE GEREKÇE
İlgili Mevzuat:
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin birinci fıkrasında, herkesin, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğu, özel hayatın ve aile hayatının gizliliğine dokunulamayacağı ifade edilmiş; üçüncü fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir. 07/04/2016 tarih ve 29677 sayılı Resmî Gazete'de yayımlanan 6698 sayılı Kişisel Verileri Koruma Kanunu'nun, "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü; "Kapsam" başlıklı 2. maddesinde, "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır." hükmü; "Tanımlar" başlıklı 3. maddesinin birinci fıkrasında; "a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, (...) d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (...) ifade eder." hükmü; "Genel ilkeler" başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a)Hukuka ve dürüstlük kurallarına uygun olma.
b)Doğru ve gerektiğinde güncel olma.
c)Belirli, açık ve meşru amaçlar için işlenme.
ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmü; "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü; "Kişisel verilerin aktarılması" başlıklı 8. maddesinde, "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler;
a)5 inci maddenin ikinci fıkrasında,
b)Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almıştır.
Öte yandan, 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nun 3. maddesinin birinci fıkrasının (f) bendinde, herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulacağı, bu sistemin, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabileceği, bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabileceği belirtilmiş; ek 11. maddesinin üçüncü fıkrasında, "Bakanlıkça belirlenen kayıtları uygun şekilde tutmayan veya bildirim zorunluluğunu yerine getirmeyen sağlık kurum ve kuruluşları iki defa uyarılır. Uyarıya uymayanlara bir önceki aya ait brüt hizmet gelirinin yüzde biri kadar idari para cezası verilir." hükmüne yer verilmiştir. 10/07/2018 tarih ve 30474 sayılı Resmi Gazete'de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi'nin Sağlık Bakanlığının düzenlendiği Onüçüncü Bölümünde yer alan "Bilgi toplama, işleme ve paylaşma yetkisi" başlıklı 378. maddesinde, "(1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
2.Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz. (3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar. (4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar. (5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür. (6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir." hükmü yer almıştır.
Buna göre, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla ve 3359 sayılı Kanun ile 1 sayılı Cumhurbaşkanlığı Kararnamesi'nin 378. maddesine dayanılarak hazırlanan Kişisel Sağlık Verileri Hakkında Yönetmelik 21/06/2019 tarih ve 30808 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.
Anılan Yönetmeliğin “Sağlık verilerine avukatların erişimi” başlıklı dava konusu edilen 10. maddesinde de "Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir." kuralına yer verilmiştir. Hukuki Değerlendirme:
Avukat ile müvekkil ilişkisi temelde 6098 sayılı Türk Borçlar Kanunu'nda düzenlenen "vekalet sözleşmesi"ne dayanmakta olup, vekilin, üstlendiği iş ve hizmetleri, vekalet verenin haklı menfaatlerini gözeterek, sadakat ve özenle yürütme ödevi bulunmaktadır. Bu özen görevi, 1136 sayılı Avukatlık Kanunu'nda avukatın işini özenle ve sonuna kadar takip etme ödeviyle de somutlaştırılmış bulunmaktadır. 1136 sayılı Kanun'un "Avukatlığın amacı" başlıklı 2. maddesinde avukatlığın amacının, hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamak olduğu, avukatın bu amaçla hukuki bilgi ve tecrübelerini adalet hizmetine ve kişilerin yararlanmasına tahsis edeceği ifade edildikten sonra aynı maddenin üçüncü fıkrasında, "Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir." hükmüne yer verilmek suretiyle madde metninde sayılan kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin avukatların ihtiyaç duyduğu bilgi ve belgeleri incelemeye sunmakla yükümlü kılındığı, bunlara avukatlara görevlerinin yerine getirilmesi kapsamında, müvekkilinin hukukunu savunabilmesine, haklarını dava etmesine, yargılama sürecinin çabuklaştırılmasına ve uyuşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesine yardımcı olma görevinin yüklendiği anlaşılmaktadır.
Öte yandan, 4982 sayılı Bilgi Edinme Hakkı Kanunu'nun "Bilgi verme yükümlülüğü" başlıklı 5. maddesinin birinci fıkrasında, "Kurum ve kuruluşlar, bu Kanunda yer alan istisnalar dışındaki her türlü bilgi veya belgeyi başvuranların yararlanmasına sunmak ve bilgi edinme başvurularını etkin, süratli ve doğru sonuçlandırmak üzere, gerekli idari ve teknik tedbirleri almakla yükümlüdürler." hükmüne yer verilmiştir.
Buna göre, avukatın müvekkiliyle vekalet ilişkisi içinde üstlendiği bir işin mahiyetine göre vekalet görevini özenle ifa etme yükümlülüğü çerçevesinde kendisine verilen görevi yerine getirebilmesi için gerek duyduğu bilgi ve belgeyi dolayısıyla da müvekkiline ait verileri başka kurum, kuruluş veya özel hukuk tüzel kişilerinden vekalet görevi kapsamında talep etmesine ve bu verileri elde etmesine 1136 sayılı Avukatlık Kanunu'nun da kendisine verdiği yetki uyarınca genel bir vekaletname ibrazı ile ve gerekliliğini açıklayan nedenlerle birlikte belirtmesi halinde hukuki bir engel bulunmamaktadır.
Bununla birlikte avukatın, müvekkilinin sağlık verilerini genel vekâletname ile talep edemeyeceği ve müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunması gerektiğine ilişkin dava konusu düzenlemenin kişisel sağlık verilerinin korunmasına ilişkin özel mevzuatı kapsamında değerlendirilmesi gerekmektedir.
Nitekim kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda kişisel verilerin hukuka uygun olarak işlenebilmesi için uyulması gereken genel ilkeler belirlenmiş ve kişisel verilerin işlenme şartları düzenlenmiştir. Anılan Kanun'un 5. maddesine göre, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Maddenin ikinci fıkrasında ise ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği durumlar öngörülmüştür.
Aynı Kanun'un 6. maddesinde, kanun koyucu tarafından Anayasa gereği, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri gibi özel nitelikli kişisel verilerin işlenme şartları ayrı bir düzenlemeye tabi tutulmuş, böylece sağlık verileri, özel nitelikli (hassas) kişisel veri olarak sayılmış ve işlenmesi özel kurallara bağlanmıştır.
Buna göre, birtakım kişisel veriler özel hukuki koruma altına alınmakta ve özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgililerin açık rızasının bulunması gerekmektedir. Ancak 6698 sayılı Kanun'un 6. maddesinin üçüncü fıkrasında, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin, "Kanunlarda öngörülen hallerde" ilgililerin açık rızası aranmaksızın da işlenebileceği belirtilmek suretiyle anılan kuralın istisnasına yer verilmiştir. Bununla birlikte sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ifade edilmek suretiyle, önemine binaen "Kanunlarda öngörülen hallerde" şeklinde bir ifade biçimiyle yetinilmeyerek, bu verilerin ilgililerin açık rızası aranmaksızın işlenebileceği hallerin doğrudan Kanun maddesinde düzenlendiği görülmektedir. Maddenin taslak gerekçesinde ise, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirileceği belirtilmiştir.
Diğer taraftan, 4982 sayılı Kanun'un bilgi edinme hakkının sınırlarının düzenlendiği Dördüncü Bölüm altında yer alan "Özel hayatın gizliliği" başlıklı 21. maddesinde ise, "Kişinin izin verdiği haller saklı kalmak üzere, özel hayatın gizliliği kapsamında, açıklanması halinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, mesleki ve ekonomik değerlerine haksız müdahale oluşturacak bilgi veya belgeler, bilgi edinme hakkı kapsamı dışındadır. Kamu yararının gerektirdiği hallerde, kişisel bilgi veya belgeler, kurum ve kuruluşlar tarafından, ilgili kişiye en az yedi gün önceden haber verilerek yazılı rızası alınmak koşuluyla açıklanabilir." düzenlemesine yer verilmek suretiyle kişilerin sağlık bilgilerinin anılan Kanun kapsamı dışında yer aldığı ifade edilmiştir.
Bu açıklamalar ışığında, dava konusu düzenlemede yer alan kişisel sağlık verileri bakımından, kişisel verilerin korunmasına ilişkin usul ve esasların düzenlendiği 6698 sayılı Kanun'un, bu alanı düzenleyen özel kanun olduğu ve bu verilerin işlenebilmesi için kural olarak ilgililerin açık rızasının aranılacağının kabulü gerektiği sonucuna varılmıştır.
Bu durumda, yukarıda yer verilen mevzuat hükümleri doğrultusunda avukatın, müvekkilinin özel nitelikli kişisel veri mahiyetinde bulunan sağlık bilgilerine ilişkin kayıtlarına, ancak ilgilinin açık rızasıyla ulaşabilmesi mümkün bulunduğundan, kişisel sağlık verilerinin, vekaletnamede ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması şartıyla avukatına aktarılabileceğine dair dava konusu düzenlemede hukuka ve üst hukuk normlarına aykırılık bulunmamaktadır. KARAR SONUCU : Açıklanan nedenlerle;
1.DAVANIN REDDİNE,
2.Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davacı üzerinde bırakılmasına,
3.Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca belirlenen ... TL vekâlet ücretinin davacıdan alınarak davalı idarelere verilmesine,
4.Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra istemi halinde davacıya iadesine,
5.Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 07/11/2023 tarihinde oy birliğiyle karar verildi.