Danıştay İdare Dava Daireleri Kurulu 2021/3377 Esas 2022/1649 Karar Sayılı İlamı

T.C.
D A N I Ş T A Y
İDARİ DAVA DAİRELERİ KURULU
Esas No : 2021/3377
Karar No : 2022/1649

TEMYİZ EDEN (DAVACI) : … Başkanlığı
VEKİLİ : Av. …

KARŞI TARAF (DAVALI) : … Kurumu
VEKİLİ : Av. …

İSTEMİN KONUSU :Danıştay Onuncu Dairesinin 26/11/2020 tarih ve E:2017/4211, K:2020/5468 sayılı kararının temyizen incelenerek bozulması istenilmektedir.

YARGILAMA SÜRECİ :
Dava konusu istem: 28/10/2017 tarih ve 30224 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 7. maddesinin 1. ve 5. fıkrasının, 8. maddesinin 2. fıkrasının, 9. maddesinin 2. fıkrasının, 10. maddesinin 3. fıkrasının, 11. maddesinin, 12. maddesinin 1. fıkrasının (a) bendinde yer alan ''Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.'' cümlesinin ve (b) bendinin iptali istenilmiştir.
Daire kararının özeti: Danıştay Onuncu Dairesinin 26/11/2020 tarih ve E:2017/4211, K:2020/5468 sayılı kararıyla;
Dava Konusu Yönetmeliğin 7. maddesinin 1. ve 5. fıkrası, 11. maddesinin 1. fıkrası, 12. maddesinin 1. fıkrasının (a) bendinnin ''Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.'' şeklindeki ilk cümlesi ve (b) bendi yönünden;
Dava konusu Yönetmeliğin 7. maddesinin 1. fıkrasının, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7. maddesin 1. fıkrasında yer alan düzenlemeyle aynı mahiyette olduğu; 6698 sayılı Kanun'un 13. maddesi uyarınca ilgili kişinin, veri sorumlusuna başvurarak Kanun'un 11. maddesinde düzenlenen, kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarını kullanabileceği; başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde 6698 sayılı Kanun'un 14. maddesi uyarınca Kurula şikâyette bulunulabileceği görüldüğünden, bu haliyle kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin düzenlemeler içeren Yönetmelik hükümlerinde Anayasa'ya, Kanun'a ve hukuka aykırı bir yön bulunmadığı,
Dava Konusu Yönetmeliğin 8. maddesinin 2. fıkrası, 9. maddesinin 2. fıkrası, 10. maddesinin 3. fıkrası, 12. maddesinin 1. fıkrasının (b) bendi yönünden;
Dava konusu Yönetmeliğin silme, yok etme ve anonim hale getirme kavramlarının tanımlandığı 8., 9. ve 10. maddelerinde, veri sorumlusunun bu işlemlerle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun belirtildiği; silme, yok etme ve anonim hale getirmeye ilişkin hususların ayrıntılı bir şekilde ve standart olarak Yönetmelikle düzenlenmesinin birbirinden çok farklı kayıt sistemlerine sahip veri sorumluları açısından uygulamada sorunlar yaratabileceği, bunun yanında gelişen teknoloji, öngörülemeyen değişik durum ve yöntemler karşısında Yönetmelikte düzenlenecek usullerin yetersiz kalma riskinin olabileceği ve yönetmeliğin sık sık güncellenmesinin gerekebileceğinin açık olduğu; Yönetmeliğin 7. maddesinin 2. fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun'un 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesinin zorunlu olduğunun düzenlendiği; bu kapsamda kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde uygulanacak teknik yöntemlerin, alınacak teknik ve idari tedbirlerin uygulamada açıklık sağlaması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu kararları ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirtilmesi Rehberi ve Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) hazırlandığı; Yönetmeliğin 12. maddesinin 1. fıkrasının (b) bendinde, ilgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi durumunda kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusunun bu durumu üçüncü kişiye bildireceği ve üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin edeceğinin düzenlendiği; burada yer alan 'gerekli işlemler' ifadesinin soyut ve belirsiz olmadığı, üçüncü kişilere aktarılan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Yönetmelikte düzenlenen ve veri sorumlusunun yerine getirmekle yükümlü olduğu usul ve esasların bu kişisel veriler için de uygulanacağını düzenlediği; bu haliyle kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin düzenlemeler içeren, iptali istenilen Yönetmelik hükümlerinde Anayasa'ya, Kanun'a ve hukuka aykırılık bulunmadığı;
Dava Konusu Yönetmeliğin 11. maddesi yönünden;
Kişisel verilerin, ilgilinin talebinin olmadığı hallerde periyodik aralıklarla idarece resen silinmesi, yok edilmesi ve anonim hale getirilmesinin, verilerin süresiz biçimde muhafaza edilmesi ihtimalini ortadan kaldırmaya yönelik olduğu, bu haliyle kişisel verileri resen silme, yok etme veya anonim hale getirme sürelerine ilişkin düzenlemeler içeren Yönetmelik maddesinde Anayasa'ya, Kanun'a ve hukuka aykırılık bulunmadığı,
gerekçesiyle davanın reddine karar verilmiştir.

TEMYİZ EDENİN İDDİALARI : Davacı tarafından, dava konusu Yönetmeliğin başka herhangi bir düzenlemeye veya yoruma gerek duyulmaksızın uygulamayı göstermesi gerekmesine rağmen ayrıntılara yer vermediği; kişisel veri sahibi gerçek kişinin temel haklarından birinin kendine ait verinin silinmesini talep etme hakkı olduğu, bu hakkın Anayasanın 20. maddesinin son fıkrasında herhangi bir sınırlama getirilmeden mutlak bir hak olarak düzenlediği; dava konusu maddeler ile idareye veriyi silme ya da anonim hale getirme konusunda sınırsız bir takdir yetkisi tanındığı, veri sahibi kişilerin sürece hiçbir şekilde müdahalede bulunamayan, itiraz hakları olamayan pasif süjeler olarak tasarlandığı; soyut biçimde ifade edilen “her türlü tedbir” gibi ifadelerin içini dolduran hükümlere Yönetmelikte yer verilmediği, Kanun'un kendisi son derece muğlâk iken uygulamayı gösteren düzenlemelerin hukuka aykırı ve muğlâk oluşunun, kişisel verilerin işlenmesine ilişkin iş ve işlemleri uygulayıcıların keyfiyetine teslim ettiği; Yasayla belirlenen koşulların ortadan kalkmasına rağmen verilerin 6 ay daha veri sorumlusunun hakimiyetinde olmasının usulsüz erişim niteliğinde olduğu ve Türk Ceza Kanunu'nun 138. maddesinde düzenlenen kişisel verileri yok etmeme suçunu oluşturduğu, yönetmelik ile suç olan bir davranışa meşruiyet kazandırılamayacağı; Yönetmelikte kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusundan ne anlaşılması gerektiğinin düzenlenmediği, bir kısım otomatik veri işleyen kişi ya da kuruluşların alana ilişkin yükümlülüklerden muaf tutulduğu, bunların kimler olduğunun ve hangi ölçütlere göre belirleneceğinin Yönetmelikten anlaşılamadığı ileri sürülmektedir.

KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, Danıştay Onuncu Dairesince verilen kararın usul ve hukuka uygun bulunduğu ve temyiz dilekçesinde öne sürülen nedenlerin, kararın bozulmasını gerektirecek nitelikte olmadığı belirtilerek temyiz isteminin reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ …'NUN DÜŞÜNCESİ : Temyiz isteminin reddi ile Daire kararının onanması gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay İdari Dava Daireleri Kurulunca, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

HUKUKİ DEĞERLENDİRME:
Danıştay dava dairelerinin nihai kararlarının temyizen incelenerek bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde yer alan;
"a) Görev ve yetki dışında bir işe bakılmış olması,
b) Hukuka aykırı karar verilmesi,
c)Usul hükümlerinin uygulanmasında kararı etkileyebilecek nitelikte hata veya eksikliklerin bulunması"
sebeplerinden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, temyiz dilekçesinde ileri sürülen iddialar kararın bozulmasını gerektirecek nitelikte görülmemiştir.

KARAR SONUCU:
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2.Davanın yukarıda özetlenen gerekçeyle reddine ilişkin Danıştay Onuncu Dairesinin temyize konu 26/11/2020 tarih ve E:2017/4211, K:2020/5468 sayılı kararının ONANMASINA,
3. Kesin olarak, 27/04/2022 tarihinde, 7. maddenin 5. fıkrası yönünden oyçokluğu, diğer kısımlar yönünden oybirliği ile karar verildi.


KARŞI OY
X- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 4. maddesinde, imha; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi olarak tanımlanmış; 7. maddesinin 5. fıkrasında, veri sorumlusunun, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçeceği, ilgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçeceği belirtilmiştir.
Dava konusu 7. maddesinin 5. fıkrasında ise, veri sorumlusunun resen imha yükümlülüğünün ortaya çıkması halinde, hangi yöntemle imha işlemini gerçekleştireceğine, hangi durumlarda hangi imha yöntemini tercih edeceğine, tercih ettiği imha yönteminin nasıl denetleneceğine ilişkin bir düzenleme yapılmamıştır. Fıkrada ilgili kişinin talebi halinde uygun yöntemin gerekçesi açıklanarak seçileceği düzenlenmesine rağmen imha yöntemine resen karar vermesi halinde bu seçimin gerekçesinin denetimine olanak sağlanmamıştır. Bu yönüyle Yönetmeliğin 7. maddesinin 5. fıkrasında, eksik düzenleme nedeniyle hukuka uygunluk bulunmadığı sonucuna varılmıştır.
Bu nedenle, Yönetmeliğin 7. maddesinin 5. fıkrası yönünden verilen ret kararının bozulması gerektiği oyuyla, anılan kısım yönünden verilen onama kararına katılmıyorum.