Danıştay 10. Daire 2017/4211 Esas 2020/5468 Karar Sayılı İlamı

T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2017/4211
Karar No : 2020/5468

DAVACI : … Başkanlığı
VEKİLLERİ : Av. …
DAVALI : … Kurumu
VEKİLİ : Av. …

DAVANIN_KONUSU : 28/10/2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 7. maddesinin 1. ve 5. fıkrasının, 8. maddesinin 2. fıkrasının, 9. maddesinin 2. fıkrasının, 10. maddesinin 3. fıkrasının, 11. maddesinin ve 12. maddesinin 1. fıkrasının (a) bendinin "Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder ve veya anonim hale getirir." şeklindeki ilk cümlesinin, ve 12. maddesinin 1. fıkrasının (b) bendinin iptali istemiyle açılmıştır.

DAVACININ İDDİALARI :
Davacı tarafından,
Yönetmeliğin; 7. maddesinin 1. ve 5. fıkrası, 11. maddesinin 1. fıkrası, 12. maddesinin 1. fıkrasının (a) bendinin ''Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.'' şeklindeki ilk cümlesi ve (b) bendi yönünden;
-Kişisel veri sahibi gerçek kişinin temel haklarından birinin kendine ait verinin silinmesini talep etme hakkı olduğu, bu hakkın Anayasanın 20. maddesinin son fıkrasında herhangi bir sınırlama getirilmeden mutlak bir hak olarak düzenlediği,
-108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşmenin 5. maddesinde kişisel verilerin yasal yoldan elde edileceği ve işlenebileceği, belli ve meşru amaçlar için kaydedileceği, bu amaçlara aykırı şekilde kullanılamayacağı, kaydedilme amacına göre aşırı olamayacağı, verilerin doğru ve güncel olması gerektiği belirtilmiş, 6. maddesinde sağlık verilerinin özel kategoride hassas veriler olarak kabul edildiği ve iç hukukta uygun güvenceler sağlanmadıkça otomatik işleme tabi tutulmalarının yasaklandığı, kişisel verilerin kaydedilme amaçlarını gerçekleştirmek için gerekli olacak süreyi aşmayacak şekilde saklanacağının belirtildiği, bu hükme göre kaydedilme amacı yada işlenme şartları ortadan kalkan verilerin derhal silinmesinin gerektiği,
-Bu kapsamda Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde; işlenen verilerin tümünden ilgilinin haberdar olması gerektiği, sisteme erişim, bilgilerin düzeltilmesini yada silinmesin isteme haklarının temin edilmesi gerektiği, veri işlemenin hukuki dayanağının, amacının ve aktarım yapılan 3. kişilerin kimliğinin bilinir olması zorunluluğu haklarının düzenlendiği, ancak dava konusu Yönetmelikte sağlık verisi sahibi kişilerin bu haklarını temin etmeye yönelik bir hüküm bulunmadığı, örneğin kişinin verisinin düzeltilmesini talep hakkına ilişkin bir düzenlemenin Yönetmelikte olmadığı,
-Kişisel veri sahibi gerçek kişinin verinin silinmesini talep hakkının ortadan kaldırıldığı,
-Dava konusu maddeler ile idareye veriyi silme ya da anonim hale getirme konusunda sınırsız bir takdir yetkisi tanındığı, veri sahibi kişilerin sürece hiçbir şekilde müdahalede bulunamayan, itiraz hakları olamayan pasif süjeler olarak tasarlandığı,
-Bu hükmün doğal sonucu olarak kişilere ait sağlık verileri gibi hassas verilerde dâhil olmak üzere birçok bilginin işlendikleri sistemde işleme koşulları ortadan kalksa da tutulmaya devam edileceği, örneğin bir suç şüphelisi olarak sizden alınan DNA örneğinin beraat etseniz dahi sistemde tutulmaya devam edilebileceği, sağlıkla ilgili bilgiler otomatik olarak işlendiğinde ve özel bir şirkete aktarıldığında bu verilerin silinmesini sağlamanın olanaksız hale geleceği, veriyi anonim hale getirmenin bunu engelleyeceği düşünülse de verilerin nasıl anonimleştirileceğinin gereği gibi düzenlenmemesi nedeniyle veri işleyen herkesin bunu kendi belirlediği yöntemle yapacağı, yöntemin yetersizliğinin telafisi imkansız zararlara yol açabileceği, bu yöntemin veri sahibince bilinebilir ve denetlenebilir olmadığı,
-AİHM'in kişilerin DNA profillerinin devletin veri tabanında bulunmasını özel hayatın ihlali saydığı, tutulma gerekçeleri ortadan kalkan kişisel verilerin milli güvenlik gerekçesiyle saklanmasını özel hayatın gizliliğine ölçüsüz müdahale saydığı,
-Otomatik işleme tabi tutulan kişisel verilerin nasıl korunacağına ilişkin yeterli teknik ve idari tedbirlerin hukukumuzda düzenlenmediği, bu şekilde otomatik işleme tabi tutulan kişisel verilerin işlenme şartları ortadan kalkmasına rağmen güvenilir olmayan sistemde tutulmaya devam edilmesinin telafisi olanaksız zararlar doğuracağı,
Yönetmeliğin 8. maddesinin 2. fıkrası, 9. maddesinin 2. fıkrası, 10. maddesinin 3. fıkrası, 12. maddesinin 1. fıkrasının (b) bendi yönünden;
-Soyut biçimde ifade edilen “her türlü tedbir” gibi ifadelerin içini dolduran hükümlere Yönetmelikte yer verilmediği,
-Düzenlemelerde bu haliyle gerekli tedbirlerin ne olduğunun kararını ya idarenin ya da veri sorumlularının vereceği, bu kararların ilgili kişi veya kamuoyu nezdinde denetlenebilir olmayacağı, ayrıca idari ve teknik tedbirlerin muğlaklığının uygulamada birlik sağlanmasına ve her veri sorumlusunun kendi belirlediği yöntemlerle hareket etmesine neden olacağı, üstelik Yönetmelikteki esaslara yada veri sorumlusunun veri saklama ve imha politikasında verdiği taahhütlere aykırı davranılması durumunda ne olacağının ve yaptırımlarının Yönetmelikte düzenlenmediği, toplamda 15 maddeden oluşmakla birlikte esas itibariyle usule ilişkin hükümler dışında 9 maddeden oluşan Yönetmelikle kişisel verilerin silinmesi/yok edilmesi/anonimleştirilmesi gibi önemli ve son derece teknik ayrıntıya sahip bir alanın uygulamayı gösterir biçimde düzenlenebilmesinin söz konusu olmadığı,
-İdarenin bu alanı gereği gibi düzenlemek yerine veri sorumlusunca oluşturulacak “veri saklama ve imha politikasında” verdiği taahhütlerle uygulamayı yürütmek istediği, bu nedenle dava konusu düzenlemelerde işlenen kişisel verilerin silinmesi, yok edilmesi, anonimleştirilmesi konusundaki esasları ayrıntılı olarak belirlenmeden idareye ucu açık, çerçevesi çizilmemiş, sınırsız bir yetki verildiği, Yönetmelikle düzenlenmesi gereken hususların idarenin keyfiyetine bırakıldığı,
-Bu yükümlülüğü yerine getirecek olan başta veri sorumluları olmak üzere tüm uygulayıcıların kişisel verilerin hangi hallerde işlenebileceğini, bu koşulların hangi hallerde doğacağını, uygulamanın nasıl yapılacağını bilmelerinin gerektiği, başka bir deyişle dava konusu düzenlemelerin herhangi bir yol göstermeye, yoruma gerek duyulmaksızın uygulamayı göstermesi gerektiği,
-Kanunun kendisi son derece muğlâk iken uygulamayı gösteren düzenlemelerin hukuka aykırı ve muğlâk oluşunun, kişisel verilerin işlenmesine ilişkin iş ve işlemleri uygulayıcıların keyfiyetine teslim ettiği, örneğin Kanunun 5. maddesinin 1. fıkrasında “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.” ana kuralına yer verilmişken 2. fıkrasında “(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” denilmek suretiyle muğlâk ve 105 sayılı sözleşmede yer almayan hallere yer verildiği, veri sorumlusunun bu hallerin doğduğunu ya da ortadan kalktığını hangi ölçütlere göre değerlendireceği, bu ölçütlerin Yönetmelikte gösterilmesi gerektiği, uygulamanın veri sorumlularının kanaatlerine ve Kanunun ilgili maddelerinden ne anladıklarına göre şekilleneceği, veri sahibi kişiler yönünden telafisi imkânsız zararlar doğacağı,
Yönetmeliğin 11. maddesi yönünden;
-Yönetmeliğin 11. maddesinde işlenen verileri silmesi için veri sorumlusuna tanınan sürelerin uzun olduğu,
-Veri sorumlusunun derhal harekete geçerek işleme nedeni ortadan kalkan verileri silme, yok etme veya anonim hale getirme zorunda olmadığı, periyodik imhanın hangi aralıkla yapılacağına veri sorumlusunun karar vereceğinin belirtildiği, sadece altı aylık azami sürenin belirlendiği, silinmesi gereken verinin 6 ay sistemde tutulmasının hakkın özüne dokunduğu, sürenin uzun olduğu, silme, yok etme veya anonim hale getirme işlemlerine derhal başlanması gerektiği,
-Yasayla belirlenen koşulların ortadan kalkmasına rağmen verilerin 6 ay daha veri sorumlusunun hakimiyetinde olmasının usulsüz erişim niteliğinde olduğu ve Türk Ceza Kanunun 138. maddesinde düzenlenen kişisel verileri yok etmeme suçunu oluşturduğu, yönetmelik ile suç olan bir davranışa meşruiyet kazandırılamayacağı,
-11. maddenin 4. fıkrasında; “Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.” hükmüne yer verilmiş ise de zarar oluşmadan “ihtiyatlılık” ilkesi gereği sürelerin minimum düzeyde tutulması gerektiği,
-11. maddenin 3. fıkrasında; Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusundan bahsedilmekte ve bu kapsamdaki kişi ve kuruluşlara kişisel verileri silme, yok etme veya anonim hale getirme için üç aylık süre tanındığı, yönetmelikte Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusundan ne anlaşılması gerektiğinin düzenlenmediği, bir kısım otomatik veri işleyen kişi yada kuruluşların alana ilişkin yükümlülüklerden muaf tutulduğu, bunların kimler olduğunun ve hangi ölçütlere göre belirleneceğinin Yönetmelikten anlaşılamadığı,
iddialarıyla iptalleri gerektiği ileri sürülmektedir.

DAVALININ SAVUNMASI :
Davalı idare tarafından,
Yönetmeliğin; 7. maddesinin 1. ve 5. fıkrası, 11. maddesinin 1. fıkrası, 12. maddesinin 1. fıkrasının (a) bendinin ''Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.'' şeklindeki ilk cümlesi ve (b) bendi yönünden;
-6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde sağlık verilerinin özel nitelikli kişisel veri olduğunun, özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun, sağlık ve cinsel hayat dışındaki verilerin kanunlarda öngörülen hallerde kişinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
-Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, özel nitelikli kişisel verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, bu önlemlerin kurulca belirlenerek 07/03/2018 tarihli, Resmi Gazetede yayımlandığı,
-Yönetmeliğin 7. maddesinin birinci fıkrasında; “Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.” denilmek suretiyle 6698 sayılı Kanun’un 7. maddesi hükmüne uygun olarak veri sorumlusu tarafından kişisel verilerin hangi şartlarda silinmesi, yok edilmesi veya anonim hale getirilmesi gerekliliğinin açıkça hükme bağlandığı,
-Kişisel verilerin muhafazası konusunda dava dilekçesinde iddia edildiğinin aksine belirsiz, sübjektif ve çok uzun sürelerle kişisel verilerin muhafaza edilmesi gerektiği yaklaşımının aksine, kişisel verilerin muhafaza sürelerinin de belli kriterlere bağlı olarak belirlenmesi ve ilgili kişinin de bu süreler hakkında bilgi sahibi olmasının genel ilke olarak kabul edildiği, Nitekim 108 sayılı sözleşmenin 5. maddesine benzer bir düzenlemeyle 6698 sayılı Kanunun kişisel verilerin işlenmesinde zorunlu olan ilkelerin 4. maddesinde; “(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. ” şeklinde sayıldığı,
-Kanunun 4. maddesindeki genel ilkelerin 5. maddesinde ve 6. maddesinde düzenlenen veriler bakımından da uyulması gereken ilkeler olduğu, verilerin genel ilkelerden biri olan “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesine uygun olarak muhafaza edilmesinin gerektiği, işlenen verilerin gerekli olan süre kadar muhafaza edileceği, verilerin saklanması için geçerli bir sebep olmaması halinde Kanunun 7. maddesi ve dava konusu yönetmelik hükümleri gereğince verinin silinmesinin, yok edilmesinin veya anonim hale getirilmesinin gerekeceği, yine bu ilkeye bağlı olarak veri sorumlusunun, kişisel veri, saklama ve imha politikası ve esaslarını oluşturmak, saklama süreleri ve kişisel verilerin muhafazasında uygulanacak teknik ve idari, tedbirleri belirlemek ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlü olduğu, veri sorumlularının bu yükümlülüklerini yerine getirirken belirlemesi öngörülen kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin tespitinde dikkate alması gereken hususların neler olduğunun ise 01/01/2008 tarihinde yürürlüğe girmek üzere 30/12/2017 tarihli Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. maddesinin 4. fıkrasında sayıldığı,
-Ayrıca dava konusu Yönetmeliğin 5. maddesinin 1. fıkrasında 6698 sayılı Kanunun 16. maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü olduğunun belirtildiği,
-Diğer taraftan, Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından kamuya açık olarak tutulan Veri Sorumluları Sicilinde kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin de kamuya açıklanacak bilgiler arasında yer aldığı, bu sayede ilgili kişilerin Sicile erişim sağlamak suretiyle kendilerine ait kişisel verinin yer aldığı kişisel veri kategorisinin azami saklama süresi hakkında bilgi sahibi olabileceği,
-Davacı tarafından; Yönetmelikte kişisel verilerin silinmesini talep hakkını kısıtlayıcı veya ortadan kaldıran hükümlere yer verildiği iddia edilmekte ise de, bu iddianın gerçeklikten ve hukukilikten uzak olduğu, söz konusu maddeden anlaşılacağı üzere ilgili kişinin verilerinin silinmesini veya yok edilmesini isteme hakkının sınırsız olmadığı, Kanunun 7. maddesindeki şartlarla sınırlı olarak bu hakkını kullanabilmesinin öngörüldüğü, kişilerin verilerinin silinmesini veya yok edilmesini istenmesinin tek başına yeterli olmadığı Kanunun 5. ve 6. maddelerinde öngörülen verilerin işlenme şartlarının ortadan kalkmasının gerekli olduğu,
-Kişisel verilerin silinmesini veya yok edilmesini isteme hakkının mutlak bir hak olmadığı, hakkın özüne dokunmamak kaydıyla ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması veya devlete yüklenen ödevler nedeniyle Kanunla sınırlama getirilebileceği, 6698 sayılı Kanun 7. maddesi ve Yönetmeliğin 7. maddesinin 1. fıkrası hükmü ile kişisel verilerin silinmesini veya yok edilmesini isteme hakkının kişisel verilerin işlenme şartlarının tamamının ortadan kalkması şartına bağlandığı, Yönetmeliğin bu hükmünün Anayasaya aykırı olmadığı,
-Söz konusu hükümlerin kişisel verinin silinmesini veya yok edilmesini isteme hakkını kaldıran hükümler olmadığı, bu hakkın nasıl kullanılacağına ilişkin esas ve usulleri belirlediği, veri sorumlusunu sınırlandırdığı, veri sorumlusunun silme, yok etme veya anonim hale getirme işleminin şartlarının oluşup oluşmadığı, hangi yöntemin uygun olduğu konusunda sınırsız yetkiye sahip olmadığı, ilgili kişiye bunun gerekçesini açıklamakla yükümlü olduğu, diğer taraftan veri sorumlusunun Yönetmeliğin 7. maddesinin 2. fıkrası gereğince, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket etmek zorunda olduğu,
-6698 sayılı Kanunun 13. maddesinde ve 10/03/2018 tarihli Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile ilgili kişinin 11. maddede sayılan haklarının etkin bir şekilde kullanılmasını teminen uyulması gereken usul ve esasların ayrıntılı olarak düzenlendiği, ayrıca Kurula şikayet başlıklı 14. madde ve şikayet üzerine veya resen incelemenin usul ve esasları başlıklı 15. madde hükmü ile de bu hakların kullanılmasına ilişkin olarak veri sorumlusuna yapılacak başvurunun veri sorumlusu tarafından reddedilmesi, verilen cevabın yetersiz olması veya süresinde başvuruya cevap verilmemesi halinde ilgili kişinin Kurula şikayet hakkının düzenleme altına alındığı, veri sorumlusunun idari yönden de denetime tabi tutulması ve hukuka aykırılığın tespiti halinde verilen idari yaptırım kararlarıyla ilgili kişinin haklarının korunmasının amaçlandığı, böylelikle ilgili kişilerin kişisel verilerinin korunmasına ilişkin haklarını kullanırken doğrudan yargı yoluna başvurabilmelerinin yanı sıra 6698 sayılı Kanunla getirilen diğer hak arama yöntemlerini kullanabilecekleri, buradan hareketle, 6698 sayılı Kanun ve dava konusu Yönetmelik hükümleriyle sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvencelere yer verildiği ve yeterli korumanın sağlandığı da dikkate alındığında yapılan düzenlemelerin ilgili kişinin kişisel verilerin korunması hakkının özünü zedelemediği gibi amaç ve araç arasında makul bir dengenin kurulduğunun açıkça görüldüğü,
Yönetmeliğin 8. maddesinin 2. fıkrası, 9. maddesinin 2. fıkrası, 10. maddesinin 3. fıkrası, 12. maddesinin 1. fıkrasının (b) bendi yönünden;
-Dava konusu Yönetmeliğin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları objektif, somut ve yeterli kurallarla ayrıntılı bir şekilde düzenlemediği, muğlâk ifadeler içermesi sebebiyle uygulamada birlik sağlanamayacağı, veri sorumlularının keyfi uygulamalarına yol açacağı, hukuka aykırı olduğu, eksik düzenleme niteliği taşıdığı iddia edilmekte ise de bu iddiaların kabulünün hukuken mümkün olmadığı,
-Yönetmeliğin 8. maddesinin 1. fıkrasında; kişisel verilerin silinmesinin, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı, bu tanımdan hareketle “ilgili kullanıcı” verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi yada birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri kapsadığı, Yönetmelikte tanımlandığı şekilde silme işleminden bahsedebilmek için silinen kişisel verinin ilgili kullanıcılar tarafından daha sonra erişilememesinin ve kullanılamamasının gerektiği,
-Yönetmeliğin 9. maddesinin 1. fıkrasında; kişisel verilerin yok edilmesinin, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı, bu şekilde bir yok etmeden bahsedebilmek için verilerin kayıtlı olduğu tüm kopyaların tespit edilerek belirli yöntemlerle geri getirilemeyecek hale getirilmesi gerektiği,
-Yönetmeliğin 10. maddesinin 1. fıkrasında; kişisel verilerin anonim hale getirilmesinin, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi olarak tanımlandığı, 2. fıkrasında, kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerektiğinin belirtildiği,
-Bu tedbirlerin standart bir şekilde Yönetmelikte yer almasının birbirinden çok farklı kayıt sistemlerine sahip veri sorumluları açısından uygulamada yaratacağı sorunlar, bununla birlikte gelişen teknoloji, öngörülemeyen değişik durum ve yöntemler karşısında Yönetmelikte düzenlenecek yöntemlerin yetersiz kalma riskinin olması ve sık sık güncellenmesinin gerekeceği dikkate alınarak, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde uygulanacak teknik yöntemlerin, alınacak teknik ve idari tedbirlerin uygulamada açıklık sağlaması ve iyi uygulama örnekleri oluşturma amacıyla Kişisel Verileri Koruma Kurulu kararları ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirtilmesi Rehberi” ile kişisel verilerin işlenme sürecinde veri sorumlularının alması gereken tedbir ve idari tedbirler konusunda da uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” hazırlandığı ve kamuoyuna sunulduğu,
-Yönetmeliğin 7. maddesinin 2. fıkrasında; “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.” denilmek suretiyle rehberlerde belirlenen esas ve usuller ile birlikte, veri sorumlusu tarafından oluşturulan kişisel veri saklama ve imha politikasına veri sorumluları tarafından uyulmasının zorunlu olduğunun düzenleme altına alındığı,
-Dava konusu Yönetmeliğin 12. maddesinin 1. fıkrasının (b) bendinde de, ilgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi durumunda kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildireceği; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin edeceğinin düzenlendiği, burada yer alan gerekli işlemler ifadesinin soyut ve belirsiz durumları ifade etmediği, üçüncü kişilere aktarılan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Yönetmelikte düzenlenen ve veri sorumlusunun yerine getirmekle yükümlü olduğu usul ve esaslara atıf yapılarak aynı işlemlerin bu kişisel veriler içinde uygulanması gerekliliğinin belirtildiği,
-6698 sayılı Kanunun 5. maddesinin 1. fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin belirtildiği ancak 2. fıkrasındaki şartların varlığı halinde açık rızanın aranmayacağı, 6. maddesinin 1. fıkrasında ise; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin özel nitelikli kişisel veri olduğunun, 2. fıkrasında, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun, 3. fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin, sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hüküm altına alındığı,
-Görüleceği üzere kişisel veri işleme şartlarının Kanunda ayrıntılı bir şekilde düzenlendiği, bu şartların ikincil düzenlemeler ile genişletilmesinin mümkün olmadığı, her bir kişisel veri işleme faaliyetinin amacının Kanun bakımından hukuki dayanağının oluştuğu, kişisel veri işleme faaliyetinin amacında birden fazla sayıda kişisel veri işleme şartının bulunabilmesinin mümkün olduğu, bu açıdan veri sorumlusunun verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine karar verirken kişisel veri işleme şartlarının tamamının ortadan kalkıp kalkmadığını belirlemesinin gerektiği,
-Anayasa Mahkemesinin 28/09/2017 tarih ve E:2016/125, K:2017/143 sayılı kararında 6698 sayılı Kanunun 5/2-c, ç, e, f maddeleri yönünden “bu bağlamda dava konusu kurallar madde gerekçeleriyle birlikte değerlendirildiğinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğu hallerin kapsam, amaç ve sınırlarının Kanun’da açıkça yer alması karşısında kuralların belirsiz olduğu söylenemez” gerekçesine yer verildiği,
Yönetmeliğin 11. maddesi yönünden;
-Yönetmeliğin 4. maddesinde; Periyodik imhanın, Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi olarak tanımlandığı, tanımdan da açıkça anlaşılacağı üzere özellikle çok sayıda ve çeşitlilikte kişisel veri işeyen veri sorumlularının belli periyotlarla silmeleri, yok etmeleri veya anonim hale getirmeleri gereken kişisel verileri tespit ederek resen bu işlemleri gerçekleştirmelerinin teminen bu usulün getirildiği, veri sorumlusunun kişi talebini beklemeksizin kendi içinde süreci belli periyotlarla kontrol ederek bu verilerin gecikmeksizin silinmesinin, yok edilmesinin veya anonim hakle getirilmesinin amaçlandığı,
-Yönetmeliğin 11. maddesi ile; kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusunun, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri sileceğinin, yok edeceğinin veya anonim hale getireceğinin, bu sürenin her halde altı ayı geçemeyeceğinin düzenlendiği,
-Aynı maddenin 3. fıkrasında ise; kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusunun, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde bu yükümlülüğünü yerine getireceğinin düzenlendiği,
-Söz konusu maddede geçen sürelerin maksimum süreler olduğu, maksimum süreler kadar bekleneceğine ilişkin olarak Yönetmelikte hüküm olmadığı,
-Maksimum süreler konularak sürelere ilişkin suistimallerin önüne geçilmesinin amaçlandığı,
-Yönetmeliğin 5. maddesinin 1. fıkrasında; Kanunun 16. maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü olduğunun belirtildiği, veri sorumluları siciline kayıt olmakla yükümlü olmayan veri sorumlularının kişisel veri saklama ve imha politikası hazırlamakla yükümlü olmadığı, bunların 6698 sayılı Kanun’un 16. maddesinde, 28. maddesinin 2. fıkrasında ve Veri Sorumluları Sicili Hakkında Yönetmeliğin 15. maddesinde sayıldığı,
belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HAKİMİ : …
DÜŞÜNCESİ : Davanın reddi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI : …
DÜŞÜNCESİ : Dava, 28/10/2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 7. maddesinin 1. ve 5. fıkrasının, 11. maddesinin ve 12. maddesinin 1. fıkrasının (a) bendinin" Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder ve veya anonim hale getirir." ilk cümlesinin, 8. maddesinin 2. fıkrasının, 9. maddesinin 2. fıkrasının ve 10. maddesinin 3. fıkrasının, 12. maddesinin 1. fıkrası (b) bendinin hukuka aykırılığı ve noksan düzenleme nedeniyle iptali istemiyle açılmıştır.
Anayasamızın, "Kişinin Hakları ve Ödevleri" başlıklı İkinci Bölüm altında "A. Özel hayatın gizliliği" başlıklı 20. maddesinde; Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.(...)
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmü yer almıştır.
Türkiye tarafından da 30/01/2016 tarihinde 6669 sayılı Kanunla onaylanması uygun bulunan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin 9. maddesinde de; Devlet güvenliği, kamu güvenliği, Devletin ekonomik menfaatlerinin korunması ve suçların önlenmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlama getirilmesi kabul edilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4. maddesinde; (1) Kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, (2) Kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, ilkelerine uyulmasının zorunlu olduğu, "Kişisel verilerin işlenme şartları" başlıklı 5. maddesinde; (1) Kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) Aşağıdaki şartlardan birinin varlığı hâlinde; a) Kanunlarda açıkça öngörülmesi., b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması., c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması., ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması., d) İlgili kişinin kendisi tarafından alenileştirilmiş olması., e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması., f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde; (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, hükmüne yer verilmiş, 7. maddesinin 3. fıkrasında; "Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği hükme bağlanmış, "Kurulun görev ve yetkileri" başlıklı 22. maddesinin 1. fıkrası e) bendinde; "Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, görevi Kurulun görev ve yetkileri arasında sayılmıştır.
Anılan Yasa hükümleri dayanak alınmak suretiyle Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla, Kanunun 7. maddesi uyarınca veri sorumluları hakkında uygulanmak üzere yayımlanmıştır.
Yönetmeliğin 7.maddesinin 1. fıkrasında; Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.", 5. fıkrasında; "Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.", "Kişisel verilerin silinmesi" başlıklı 8. maddesinin 2. fıkrasında; veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.", "Kişisel verilerin yok edilmesi" başlıklı 9. maddesinin 2. fıkrasında; "Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.", "Kişisel verilerin anonim hale getirilmesi" başlıklı 10. maddesinin 3. fıkrasında; "Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.", "Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri" başlıklı 11. maddesinde; "(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
(4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.", "Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri" başlıklı 12. maddesinin 1. fıkrasının; İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder." kuralı getirilmiştir.
Anayasamız özel hayatın gizliliğini güvence altına almakla birlikte bazı hallerde; milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması gibi hallerde özel hayatın gizliliğine dokunulabilmesini olanaklı kılınmıştır.
Bu halde, temel hak ve özgürlükler özlerine dokunulmaksızın Anayasamızda öngörülen sebeplerle demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine uygun olarak ve ancak Kanunla sınırlanabilecektir.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 sayılı Kanun hazırlanmıştır.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tamınlanırken, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak ifade edilmiştir.
Davacı tarafından, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, ülkemizce onaylanarak iç hukukta yasalar üstü bir hukuki statü kazandırıldığı ve bu Sözleşmede sağlık verilerinin özel kategoride hassas veriler olarak kabul edildiği, iç hukukta uygun güvenceler sağlanmadıkça otomatik işleme tabi tutulmalarının yasaklandığı, dolayısıyla iç hukukta sağlanması gereken güvencelerden birinin kişisel verilerin silinmesini, kullanılamaz hale getirilmesini ve anonimleştirilmesini temin edin düzenlemelerin yapılması ve kaydedilme amacını aşmayacak şekilde saklanmalarının gerekliliği, amacı ve işlenme şartları ortadan kalkan verilerin derhal silinmesi zorunluluğuna karşın,Yönetmelikte sağlık verisi sahibi kişilerin bu haklarını temin etmeye yönelik hüküm bulunmadığı ileri sürülmüştür.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olmasına karşın istisnası olarak özel nitelikli kişisel verilerden olan sağlık ve cinsel hayata ilişkin kişisel verilerin, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği yasa ile düzenlenmiştir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasları Yönetmeliğe bırakan Yasa hükmüne göre sağlığa ilişkin kişisel verilerin silinme talep hakkını Yönetmeliğin 7. maddesi ilgiliye tanımıştır. Ancak silinmenin ön şartı, kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halidir. Şartların tamamının ortadan kalkıp kalkmadığının denetimi Veri Sorumlusu Sicili Hakkında Yönetmeliğin 9. maddesinde yer verilen Sicile yapılan kayıt başvurusu sırasında iletilecek bilgiler arasında; kişisel verilerin hangi amaçla işleneceği, kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi ve bu sürenin veri kategorileri ile eşleştirilerek Sicile bildirimi ile amaç için gerekli olan azami muhafaza süresi belirlenirken dikkate alınacak olan; faaliyet gösterilen sektörde genel teammül gereği kabul edilen süre, ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların devam edeceği süre, verilerin saklanmasının zorunlu olduğu süre ve zamanaşımı gibi sürelerin bildirim yükümlülüğünün bulunduğu dikkate alındığında, kişisel verilerin işlenme şartlarının ortadan kalkma halinin belirlenmesi sağlanmıştır.
Yönetmeliğin 11. maddesinin, "kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihini takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir" kuralındaki yükümlülüğün ortaya çıkma halinin de yine Veri Sorumluları Sicil Yönetmeliği hükümleri ile değerlendirildiğinde, kayıt altın alınan, tespit edilebilir bir ortaya çıkma halinin mevcut olduğu ve anılan Madde hükmündeki altı ay olarak belirtilen sürenin ise azami süre olduğu görülmektedir.
Kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibinde, veri sorumlularınca hazırlanan, kişisel veri saklama ve imha politikasında kayıt altına alınan sürelerle denetimi mümkün kılınmıştır.
Özel nitelikli Kişisel verilerin işlenmesinde veri sorumlulularınca alınması gereken yeterli önlemlerin, 07/03/2018 tarihli Resmi Gazete de yayımlanan 31/01/2018 tarihli Kişisel Verileri Koruma Kurul Kararı ve Kurumca yayımlanan Kişisel Veri Güvenliği Rehberi ile uygun güvenlik düzeyinin teminine yönelik idari tedbirlerin açıklığa kavuşturulduğu görülmektedir.
Kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, illgili kişilerin bilgilendirilmesi gerekmekte ve asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebini ortaya koyan aydınlatma yükümlülüğünün yerine getirilmesi sırasında uyulacak usul ve esaslar ile kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü, idare tarafından yürürlüğe konulan Tebliğ ile açıklığa kavuşturulmuştur.
Dava konusu Yönetmeliğin 7. maddesinin 5. fıkrasına yönelik olarak; madde metninde "veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer." kuralına yer verilmiş, ancak veri sorumlusu tarafından resen kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, hangi yöntemle bu işlemi gerçekleştireceği, bir başka deyişle hangi durumda tercihini nasıl kullanacağı ya da kullandığı yöntemin doğru yöntem olup olmadığının denetimine olanak sağlayan bir düzenleme yapılmamıştır. İlgili kişinin talebi halinde uygun yöntemin gerekçesinin açıklanması bir zorunluluk olmakla birlikte, resen karar vermesi halinde uygun yöntemin denetimine olanak sağlanmamıştır.
Açıklanan nedenlerle, davanın; Yönetmeliğin 7/1, 8/2, 9/2 10/3 ve 11 12/1-a(ilk cümlesi) ve 12/b maddelerine yönelik olarak reddine, 7/5 fıkrasına yönelik olarak eksik düzenleme nedeniyle iptaline karar verilmesi gerektiği, düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onuncu Dairesince duruşma için taraflara önceden bildirilen 26/11/2020 tarihinde, davacı vekili Av. …'un ve davalı idare vekili Av. …'ün geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı. Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

MADDİ OLAY VE HUKUKİ SÜREÇ :
Dava, 28/10/2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 7. maddesinin 1. ve 5. fıkrasının, 11. maddesinin ve 12. maddesinin 1. fıkrasının (a) bendinin "Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder ve veya anonim hale getirir." şeklindeki ilk cümlesinin, 8. maddesinin 2. fıkrasının, 9. maddesinin 2. fıkrasının, 10. maddesinin 3. fıkrasının ve 12. maddesinin 1. fıkrasının (b) bendinin iptali istemiyle açılmıştır.

İNCELEME VE GEREKÇE:
İlgili Mevzuat:
Anayasanın, "Özel hayatın gizliliği" başlıklı 20. maddesinde; "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.(...)
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmü yer almıştır.
Türkiye tarafından 30/01/2016 tarihinde 6669 sayılı Kanunla onaylanması uygun bulunan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin 5. maddesinde, otomatik işleme konu olan kişisel verilerin, adil biçimde ve yasal yoldan elde edileceği ve işleneceği, belli ve meşru amaçlar için kaydedileceği ve bu amaçlara aykırı şekilde kullanılamayacağı, kaydedilme amaçlarına göre uygun ve yerinde olacağı ve aşırı olamayacağı, doğru bilgileri yansıtacağı ve gerektiğinde güncelleneceği, kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliklerini belirlemeye imkan veren bir şekilde saklanacağı belirtilmiş; 6. maddesinde, iç hukukta uygun güvenceler sağlanmadıkça ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel verilerin, otomatik işlemeye tabi tutulmayacağı, aynı şeyin ceza mahkumiyetiyle ilgili kişisel veriler için de geçerli olduğu düzenlenmiş, 9. maddesinde de, Devlet güvenliği, kamu güvenliği, Devletin ekonomik menfaatlerinin korunması ve suçların önlenmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlama getirilebileceği kabul edilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4. maddesinde; (1) Kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, (2) Kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, ilkelerine uyulmasının zorunlu olduğu, "Kişisel verilerin işlenme şartları" başlıklı 5. maddesinde; (1) Kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) Aşağıdaki şartlardan birinin varlığı hâlinde; a) Kanunlarda açıkça öngörülmesi., b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması., c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması., ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması., d) İlgili kişinin kendisi tarafından alenileştirilmiş olması., e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması., f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde; (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği, (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu, hükmüne yer verilmiş, 7. maddesinin 1. fıkrasında; Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği, 3. fıkrasında; Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği hükme bağlanmış, "Kurulun görev ve yetkileri" başlıklı 22. maddesinin 1. fıkrasının (e) bendinde; Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, Kurulun görev ve yetkileri arasında sayılmıştır.
Anılan Yasa hükümleri dayanak alınmak suretiyle Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla, Kanunun 7. maddesi uyarınca veri sorumluları hakkında uygulanmak üzere hazırlanmış ve 28/10/2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanmıştır.
Dava Konusu Yönetmeliğin 7. maddesinin 1. ve 5. fıkrasının, 11. maddesinin 1. fıkrasının, 12. maddesinin 1. fıkrasının (a) bendinin ''Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.'' şeklindeki ilk cümlesinin ve (b) bendinin İncelenmesi:
Davacı tarafından, Yönetmeliğin 7. maddesinin 1. ve 5. fıkrası, 11. maddesinin 1. fıkrası ile 12. maddesinin 1. fıkrasının (a) bendinin ilk cümlesinde yer alan düzenlemelere yönelik olarak; kişisel verinin ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin hükümlerin, idareye verinin akıbeti konusunda sınırsız bir takdir yetkisi tanınması anlamına geldiği, kişilere ait sağlık verileri gibi hassas verilerin işlendikleri sistemde işlenme koşulları kalksa da -talep olmadığı için- tutulmaya devam edilmesine yol açacağı, bu yöntemin kişisel veri sahibince bilinebilir ve denetlenebilir olmadığı; veri sorumlusunun resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçmesini öngören hükümlerin ise, kişisel veri sahibi kişiyi sürece hiçbir biçimde müdahalede bulunamayan, itiraz hakkı olmayan pasif süje haline getirdiği, bu durumun ülkemizce usulüne uygun biçimde onaylanarak yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'nin 5/e maddesine ve Anayasa'nın 20. maddesine aykırı olduğu ileri sürülmektedir.
Yönetmeliğin 7. maddesinin 1. fıkrasında, Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesinin gerektiği; 5. fıkrasında, veri sorumlusunun, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçeceği, ilgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçeceği belirtilmiş; 11. maddesinin 1. fıkrasında, kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusunun, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri sileceği, yok edeceği veya anonim hale getireceği düzenlenmiş; 12. maddesinin 1. fıkrasının (a) bendinin ilk cümlesinde, ilgili kişi talep ettiğinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun talebe konu kişisel verileri sileceği, yok edeceği veya anonim hale getireceği düzenlenmiştir.
Anayasa'nın "Özel hayatın gizliliği" başlıklı 20. maddesinin 3. fıkrasında "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
Bu doğrultuda, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7. maddesinde "(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir." şeklinde düzenlemeler bulunmaktadır.
Yönetmeliğin dava konusu edilen; 6698 sayılı Kanun'un 5. ve 6. maddelerinde yer alan kişisel verilerin, işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesinin gerektiğini; veri sorumlusunun, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmesini; kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusunun, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmesi, yok etmesi veya anonim hale getirmesini; ilgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, veri sorumlusunun talebe konu kişisel verileri silmesi, yok etmesi veya anonim hale getirmesini öngören hükümleri incelendiğinde; Yönetmeliğin 7. maddesinin 1. fıkrasının, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7. maddesin 1. fıkrasında yer alan düzenlemeyle aynı mahiyette olduğu, kişisel verilerin işlenmeleri için gerekli şartlar ortadan kalktığında periyodik aralıklarla resen silme, yok etme veya anonim hale getirme işlemlerinden birinin gerçekleştirileceği, bunun için muhakkak kişinin talebinin aranmadığı, resen silme, yok etme, anonim hale getirme işlemlerinden birine konu edilecek kişisel verinin talep üzerine bu işlemlerden birine tabi tutulmasına engel hüküm de bulunmadığı, 6698 sayılı Kanun'un 13. maddesi uyarınca ilgili kişinin, veri sorumlusuna başvurarak Kanun'un 11. maddesinde düzenlenen kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarını kullanabileceği, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde 6698 sayılı Kanun'un 14. maddesi uyarınca Kurula şikâyette bulunabileceği görüldüğünden, bu haliyle kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin düzenlemeler içeren, iptali istenilen Yönetmelik hükümlerinde Anayasa, Kanun'a ve hukuka aykırı bir yön bulunmamaktadır.
Dava Konusu Yönetmeliğin 8. maddesinin 2. fıkrasının, 9. maddesinin 2. fıkrasının, 10. maddesinin 3. fıkrasının, 12. maddesinin 1. fıkrasının (b) bendinin İncelenmesi:
Davacı tarafından, Yönetmeliğin 8. maddesinin 2. fıkrası, 9. maddesinin 2. fıkrası, 10. maddesinin 3. fıkrası ve 12. maddesinin 1. fıkrasının (b) bendinde yer alan düzenlemelere yönelik olarak; Kanun'un 7/3. maddesi uyarınca kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenlenmesi gerekirken, Yönetmeliğin bu hususlarda yeterli ve objektif hükümler içermediği, maddelerde yer alan 'gerekli her türlü teknik ve idari tedbirler'in neler olduğunun Yönetmelik'te gösterilmediği, uygulamanın idarenin keyfiyetine ve kanaatine bırakıldığı, bu şekilde alınan kararların ilgili kişi ya da kamuoyu nezdinde denetlenebilirliği olmayacağı ve uygulamada birlik sağlanmasını zorlaştıracağı, anılan hükümlerin hukuka aykırı ve noksan düzenleme niteliği taşıması nedeniyle iptali gerektiği ileri sürülmektedir.
Yönetmeliğin 8. maddesinin 2. fıkrasında, veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu; 9. maddesinin 2. fıkrasında, veri sorumlusunun, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu, 10. maddesinin 3. fıkrasında, veri sorumlusunun, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmiş; 12. maddesinin 1. fıkrasının (b) bendinde ilgili kişinin, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusunun bu durumu üçüncü kişiye bildireceği, üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin edeceği düzenlenmiştir.
Yönetmelik'te yer alan düzenlemeler bir bütün olarak incelendiğinde, Yönetmeliğin silme, yok etme ve anonim hale getirme kavramlarının tanımlandığı 8., 9. ve 10. maddelerinde veri sorumlusunun bu işlemlerle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmiştir. Silme, yok etme ve anonim hale getirmeye ilişkin hususların ayrıntılı bir şekilde ve standart olarak Yönetmelikle düzenlenmesinin birbirinden çok farklı kayıt sistemlerine sahip veri sorumluları açısından uygulamada sorunlar yaratabileceği, bunun yanında gelişen teknoloji, öngörülemeyen değişik durum ve yöntemler karşısında Yönetmelikte düzenlenecek usullerin yetersiz kalma riskinin olabileceği ve yönetmeliğin sık sık güncellenmesinin gerekebileceği açıktır. Yönetmeliğin 7. maddesinin 2. fıkrasında, Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesinin zorunlu olduğu düzenlenmiştir. Bu kapsamda kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde uygulanacak teknik yöntemlerin, alınacak teknik ve idari tedbirlerin uygulamada açıklık sağlaması ve iyi uygulama örnekleri oluşturma amacıyla Kişisel Verileri Koruma Kurulu kararları ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirtilmesi Rehberi” ile kişisel verilerin işlenme sürecinde veri sorumlularının alması gereken tedbir ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturulması amacıyla “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” hazırlandığı görülmektedir. Yönetmeliğin 12. maddesinin 1. fıkrasının (b) bendinde, ilgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi durumunda kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildireceği; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin edeceğinin düzenlendiği, burada yer alan gerekli işlemler ifadesinin soyut ve belirsiz olmadığı, üçüncü kişilere aktarılan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Yönetmelikte düzenlenen ve veri sorumlusunun yerine getirmekle yükümlü olduğu usul ve esasların bu kişisel veriler içinde uygulanacağını düzenlediği görülmektedir. Bu haliyle kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin düzenlemeler içeren, iptali istenilen Yönetmelik hükümlerinde Anayasa, Kanun'a ve hukuka aykırılık bulunmamaktadır.

Dava Konusu Yönetmeliğin 11. maddesinin İncelenmesi:
Davacı tarafından, Yönetmeliğin kişisel verileri resen silme, yok etme veya anonim hale getirme sürelerine ilişkin 11. maddesinde yer alan düzenlemelere yönelik olarak; 108 sayılı Sözleşme ile kişisel verilerin "kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde" saklanacağının kurala bağlandığı, dolayısıyla ilkesel olarak işleniş amacı ortadan kalkan verinin derhal sistemden silinmesi gerektiği, buna rağmen madde ile veri sorumlusuna veriyi imha için tanınan zaman aralıklarının ölçüsüz biçimde uzun olduğu, derhal silinmesi gereken verinin ilk periyodik imha işlemine kadar sistemde tutulmasının hakkın özüne dokunur nitelikte olduğu, Kanunla belirlenen koşullar gerçekleştiği halde verinin periyodik imha işlemi için öngörülen altı aylık süre boyunca sistemde kalmasının Türk Ceza Kanunu'nun 138. maddesi kapsamında "Kişisel verileri yok etmeme" suçunu oluşturacağı, Yönetmelikle suç olan bir davranışa meşruiyet kazandırıldığı, ihtiyatlılık ilkesi uyarınca telafisi güç veya imkansız zararların doğması beklenilmeden sürelerin minimum düzeyde tutulması gerektiği, hukuka aykırı düzenlemeler içeren hükmün tamamının iptali gerektiği ileri sürülmektedir.
Yönetmeliğin 11. maddesinde, "(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
(4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir." hükümleri yer almaktadır.
Kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi kişisel verilerin korunmasının en önemli ilkelerinden biridir. 6698 sayılı Kanun'un 7. maddesinde işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği kuralı getirilmiştir. Yönetmeliğin 4/ğ maddesinde "Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi" olarak tanımlanmıştır. Böylelikle kişinin talebi beklenmeksizin belli periyotlarla verilerin silinmesinin sağlaması amaçlanmıştır. Buna göre, kişisel verilerin bu işlemlere tabi tutulması için ilgilinin talebinin olmadığı hallerde periyodik aralıklarla idarece resen silinmesi, yok edilmesi, anonim hale getirilmesi verilerin süresiz biçimde muhafaza edilmesi ihtimalini ortadan kaldırmaya yöneliktir. Bu haliyle kişisel verileri resen silme, yok etme veya anonim hale getirme sürelerine ilişkin düzenlemeler içeren, iptali istenilen Yönetmelik hükümlerinde Anayasa, Kanun'a ve hukuka aykırılık bulunmamaktadır.

KARAR SONUCU:
Açıklanan nedenlerle;
1. 28/10/2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 7. maddesinin 1. ve 5. fıkrasının, 8. maddesinin 2. fıkrasının, 9. maddesinin 2. fıkrasının, 10. maddesinin 3. fıkrasının, 11. maddesinin ve 12. maddesinin 1. fıkrasının (a) bendinin "Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder ve veya anonim hale getirir." şeklindeki ilk cümlesinin ve 12. maddesinin 1. fıkrasının (b) bendinin iptali istemiyle açılan DAVANIN REDDİNE,
2. Ayrıntısı aşağıda gösterilen toplam … TL yargılama giderinin davacı üzerinde bırakılmasına,
3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen … TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,
4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
5. Bu kararın tebliğinden itibaren 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, Yönetmeliğin 7. maddesinin 5. fıkrası yönünden oy çokluğuyla, diğer maddeler yönünden oy birliğiyle, 26/11/2020 tarihinde karar verildi.

X - KARŞI OY :

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 4. maddesinde, imha; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi olarak tanımlanmış; 7. maddesinin 5. fıkrasında, veri sorumlusunun, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçeceği, ilgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçeceği belirtilmiştir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 7. maddesinin 5. fıkrasında, veri sorumlusunun resen imha yükümlülüğünün ortaya çıkması halinde, hangi yöntemle imha işlemini gerçekleştireceğine, hangi durumlarda hangi imha yöntemini tercih edeceğine, tercih ettiği imha yönteminin nasıl denetleneceğine ilişkin bir düzenleme yapılmamıştır. Fıkrada ilgili kişinin talebi halinde uygun yöntemin gerekçesi açıklanarak seçileceği düzenlenmesine rağmen imha yöntemine resen karar vermesi halinde bu seçimin gerekçesinin denetimine olanak sağlanmamıştır. Bu yönüyle Yönetmeliğin 7. maddesinin 5. fıkrasında, eksik düzenleme nedeniyle hukuka uygunluk bulunmamaktadır.
Açıklanan nedenlerle, Yönetmeliğin 7. maddesinin 5. fıkrasının iptaline karar verilmesi gerektiği oyuyla Daire kararına katılmıyorum.