Danıştay 10. Daire Başkanlığı 2020/3289 E. , 2024/2505 K. "İçtihat Metni" T.C. D A N I Ş T A Y ONUNCU DAİRE Esas No : 2020/3289 Karar No : 2024/2505 DAVACILAR : 1- ... Derneği 2- ... Derneği 3- ..., ... Derneği VEKİLİ : Av. ... DAVALI : ... Başkanlığı / ANKARA VEKİLİ : Av. ... DAVANIN KONUSU : Davacılar tarafından, Veri Sorumluları Siciline (VERBİS) kayıt olma yükümlülüğünden istisna tutulan meslekler arasında "hekimlik" mesleğine de yer verilmesi talebiyle yapılan başvurunun reddine ilişkin Kiş
Danıştay 10. Daire Başkanlığı 2020/3289 E. , 2024/2505 K. "İçtihat Metni" T.C. D A N I Ş T A Y ONUNCU DAİRE Esas No : 2020/3289 Karar No : 2024/2505 DAVACILAR : 1- ... Derneği 2- ... Derneği 3- ..., ... Derneği VEKİLİ : Av. ... DAVALI : ... Başkanlığı / ANKARA VEKİLİ : Av. ... DAVANIN KONUSU : Davacılar tarafından, Veri Sorumluları Siciline (VERBİS) kayıt olma yükümlülüğünden istisna tutulan meslekler arasında "hekimlik" mesleğine de yer verilmesi talebiyle yapılan başvurunun reddine ilişkin Kişisel Verileri Koruma Kurumunun ... tarih ve ... sayılı işleminin iptali istenilmektedir. DAVACININ İDDİALARI : Davacılar tarafından, kişisel verileri işleyen gerçek ve tüzel kişilere 6698 sayılı Kanun ile bir takım yükümlülükler getirildiği, bunlardan birinin de Veri Sorumluları Sicili (VERBİS) adındaki sicile kayıt olma yükümlülüğü olduğu, 6698 sayılı Kanun'un 16. maddesinde Kişisel Verileri Koruma Kurulu Başkanlığında kamuya açık olarak Veri Sorumluları Sicili'nin tutulacağı, kişisel veri işleyenlerin işlemlerine başlamadan önce bu Sicile kayıt olmak ve kaydın gerektirdiği yükümlülükleri yerine getirmek zorunda olduğunun düzenlendiği, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceğinin düzenlendiği, Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde, Kurulun istisnaları belirlerken esas alması gereken kriterlerin sayıldığı, Kanun'da ve ilgili Yönetmelikte kayıt yükümlülüğünün istisnalarını belirlerken tanınan yetkinin mutlak ve sınırsız bir yetki olmadığı, Kurul'un sayılan ölçütler ile bağlı olduğu, yapılan belirlemenin somut, objektif ve denetlenebilir biçimde ortaya konulabilmesi gerektiği, Kurulun bu konuyla ilgili verdiği ve Resmî Gazete'de yayımlanan kararlarında, anılan ölçütlere uygun davranmadığı, noterlik, avukatlık, arabuluculuk, serbest muhasebeci/mali müşavirlik, gümrük müşavirliği gibi mesleklerin VERBİS kayıt yükümlülüğünden istisna tutulduğu, ancak Kurulun hekimler yönünden sayılan ölçütleri dikkate almadığı, hekimlerin hastalarına sağlık hizmeti sunabilmekle sınırlı bilgileri, tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kendileri için kaydettikleri, bunun veri işleme değil, anamnez alma, hastayı muayene etme, tetkik yapma, yapılan tetkikleri değerlendirme gibi yürütülen işin/mesleğin uygulaması olduğunun göz ardı edildiği, Kurumun istisna kapsamına aldığı mesleklerin, özellikle de avukatlık mesleğinin tıpkı hekimlik gibi mesleğin doğası gereği bir takım kişisel veriler edinilmeden, o mesleğe ilişkin hizmetin sunulması olanaklı olmayan mesleklerden olduğu, bu meslek mensupları da mesleğini yürütürken tıpkı hekimler gibi 6698 sayılı Kanun'da sayılan özel nitelikli kişisel verileri edinmekte, bunları yürütülen hukuki girişimler kapsamında kullanmakta olduğu, bilgilerin uzun süreler ile saklandığı, mesleğin yapılabilmesinin doğal bir uzantısı olarak kişisel verilerin edinilmesi gerekliliğinin, hekimlik mesleği için en az istisna tutulan meslekler kadar söz konusu olduğu, hastanın bilgilerinin alınmasının anamnez olarak tedavinin ilk basamağını oluşturduğu, hekimin bu bilgileri tanı ve tedavi sürecini yürütebilmek, hastasını sağlığına kavuşturabilmek amacıyla hastasına sorarak edinmekle yükümlü olduğu, hekimlik mesleğinin bu yönlerinin gözardı edildiği, idarenin yetkisini Kanun ve ilgili Yönetmelik'te sayılan objektif ölçütler üzerinden yapmadığı ve yetkisini keyfi kullandığı, benzer mesleklere istisna hali öngörülürken hekimlik mesleğine öngörülmemesinin eşitlik ilkesine de aykırı olduğu, hukuki norm haline getirilmiş etik ilkeler ve haklar çerçevesinde hastanın rızasının olmadığı veya bilginin saklanmasının başkalarının hayatını tehlikeye sokmadığı sürece hastaya ait verilerin hekimlerce açıklanması ve paylaşılmasının hukuka ve meslek etiği ilkelerine aykırı olduğu, hekimlerin, mesleklerini serbest olarak icra ettikleri muayenehaneleri başta olmak üzere, muayenehane niteliğinde olan poliklinik, merkez, müessese ismi ile anılan yerlerdeki meslek icrası vesilesiyle veya herhangi bir sağlık kuruluşunda salt hekimlik mesleğinin icrası kapsamında edindikleri ve kaydettikleri hastaya ait kişisel bilgiler nedeniyle, veri siciline kayıt yükümlülüğü yönünden benzer mesleklerden farklı, ayrımcı bir uygulamaya tabi tutulmaları için objektif, hukuki bir neden bulunmadığı, dava konusu işlemin yetki, sebep ve amaç unsurları yönünden hukuka aykırı olduğu iddia edilerek dava konusu işlemin iptaline karar verilmesi istenilmektedir. DAVALININ_SAVUNMASI : Davalı idare tarafından, dava konusu işlemin sadece başvurucuların talebinin değerlendirilmesine yönelik bir idari işlem olduğu, Kurul tarafından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları ile ilgili olarak alınmış ve genel bir düzenleyici işlem niteliğinde bir işlemin varlığından söz edilemeyeceği, bu nedenle ülke çapında uygulanacak bir düzenleyici işlem olmadığından davanın görev yönünden reddi ve dosyanın görevli idare mahkemesine gönderilmesi gerektiği, 6698 sayılı Kanun'un 16. maddesinin 2. fıkrasına göre kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunda olduğu, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline (VERBİS) kayıt zorunluluğuna istisna getirebildiği, ancak bu istisnanın sadece VERBİS'e kayıttan muafiyet sağlamakta olduğu, yoksa Kanun'un bütün hükümlerinden bir muafiyet söz konusu olmadığı, Kurum tarafından istisna getirilirken Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde sayılan kriterlerin dikkate alındığı, bu kapsamda Kişisel Verileri Koruma Kurulu tarafından muhtelif tarihlerde kararlar alındığı ve Resmî Gazete'de yayımlandığı, veri sorumlularına, 6698 sayılı Kanun'la Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacının; kişisel verilerin işlenmesinde şeffaflığın, kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek bu alanda veri sorumlularının kişisel veri işlemesi faaliyetlerinin disiplin altına alınmasının, kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesinin, veri sorumlularının Kanun'a uyumunun, istisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının sağlanması olduğu, Veri Sorumluları Sicilinin kamuya açık olarak tutulmasının ise, kişisel verisi işlenen gerçek kişilere, kendi verileri üzerinde kontrolün sağlanabilmesi imkânı sunduğundan VERBİS'in şeffaflık ve hesap verebilirlik özelliği ile ön plana çıktığı, kişisel sağlık verilerinin işlenmesinde asıl önemli olanın, 6698 sayılı Kanun'da sayılan genel ilkelere ve Kanun'un emredici kurallarına uygun bir veri işleme faaliyetini gerçekleştirebilmek ve bu faaliyetler esnasında kişisel verilerin hukuka aykırı olarak işlenmesini ve hukuka aykırı olarak erişilmesini önlemek veya kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri içeren bir veri kayıt sistemi oluşturabilmek olduğu, özellikle sağlık verisi işleyen veri sorumlularının Kanun'dan doğan yükümlülüklerini yerine getirebilmesi, Kanun'a uygun şekilde veri işleme faaliyeti gerçekleştirebilmesi ve veri güvenliğinin sağlanabilmesi amacıyla daha hassas korumaya tabi bu verilerin işlenmesinde azami özeni göstermeleri gerektiği, bu çerçevede hekimlerin doğrudan ana faaliyet konusu olarak özel nitelikli kişisel veri işlemekte olduğu, Kanun'un lafzından da özel nitelikli kişisel veriler bakımından bir ayrım yapıldığı ve genel nitelikli kişisel verilere göre daha sıkı şekilde korunmalarının istendiğinin görüldüğü, hekimlerin Kanun'da ve ilgili Kurul kararlarında yer verilen istisnaların dışında bırakılmasının mesleklerinin bir gereği olarak değil, işledikleri kişisel verilerin niteliği ile ilgili olduğu, ayrıca kanun koyucu tarafından farklı bir kategoride değerlendirilmesi neticesinde Kurul kararlarına yansıyan istisna hallerinin, doğrudan hekimlik mesleği ile ilgisi bulunmadığı ve Sicil kayıt yükümlülüğünün ana faaliyet konusu özel nitelikli kişisel veri işleme olan her veri sorumlusu için geçerli olduğu, dolayısıyla avukatlık, noterlik, arabuluculuk, serbest muhasebeci/mali müşavirlik ve gümrük müşavirliği gibi mesleklere tanınan Sicile kayıt olmaya yönelik istisna kararının, özel nitelikli kişisel verileri işleyen hekimlere de uygulanması talebinin, Kanun tarafından düzenleme altına alınan özel nitelikli kişisel verilere yönelik korunması gereken hukuki yarar ile bağdaşmayacağı, nitekim Kurul'un almış olduğu kararlar dikkate alındığında, ana faaliyet konusu özel nitelikli kişisel veri işleme olan tüm veri sorumlularının istisna kapsamı dışında tutulduğu, meslekler yönünden dikkate alınan ölçütün kişisel verilerin kaydedilme zorunluluğu ya da kişisel verinin işlenme amacı ile sınırlı olmadığının açıkça görüldüğü, dolayısıyla istisna kriterinin doğrudan bir meslek grubu ile ilgili olmayıp, hekim olsun ya da olmasın ana faaliyet konusu özel nitelikli kişisel veri işleme olan her veri sorumlusunu kapsadığı, mesleğin yapılabilmesinin doğal bir uzantısı olarak kişisel verilerin edinilmesi gerekliliği hususunun sadece hekimlik mesleğini kapsamadığı, bilakis görevin ifası gereği kişisel veri işleme zorunluluğu bulunan sayısız meslek ve iş kolu bulunduğu, Sicile kayıt istisnalarının belirlenmesinde "kişisel veri işleme zorunluluğu bulunma" kıstasının kabul edilmesi halinde birçok mesleğin ve iş kolunun istisna kapsamına alınması gereğinin doğacağı, 6698 sayılı Kanun ve ilgili Yönetmelik hükümlerine göre, veri sorumlularının kişisel veri işleme envanteri ve Sicile yaptıkları kayıtlarda, VERBİS'e ve dolayısıyla Kuruma hiçbir şekilde kişisel veri aktarılmasının söz konusu olmadığı, buna karşılık veri sorumlularının hazırladıkları kişisel veri işlem envanteri ve Sicil kayıtlarında, işledikleri kişisel verilere sadece kategorik olarak yer vermekte ve bu kapsamda işledikleri kişisel verilerin amaçları, veri konusu kişi grubu ve veri kategorilerinin aktarım söz konusu olması halinde alıcı grupları ve yurtdışına aktarım söz konusu ise aktarılacak kişisel veriler, verilere ilişkin saklama süreleri ile alınan teknik ve idari tedbirleri kamuya açıkladığı, Veri Sorumluları Sicilinin kamuya açık olarak tutulmasının, kişisel verisi işlenen gerçek kişilere, kendi verileri üzerinde kontrolün sağlanabilmesi imkânı sunduğu, bu yönüyle VERBİS'in veri sorumlularınca şeffaflık ve hesap verebilirlik yükümlülüklerini yerine getirdikleri bir platform niteliği taşıdığı belirtilerek davanın reddi gerektiği savunulmaktadır. DANIŞTAY TETKİK HAKİMİ : ... DÜŞÜNCESİ : Davada, Veri Sorumluları Siciline kayıt yükümlülüğüne, 6698 sayılı Kanun'un 16. maddesinin 2. fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinin 1. fıkrasında belirtilen objektif kriterler çerçevesinde Kişisel Verileri Koruma Kurulunca istisna getirilebileceği, davacılar tarafından, anılan Sicile kayıt olma yükümlülüğünden istisna tutulan meslekler arasında "hekimlik" mesleğine de yer verilmesi istemiyle yapılan başvurunun Kurulca değerlendirilmesi gerektiği halde Kişisel Verileri Koruma Kurumu Veri Yönetimi Dairesi Başkanlığı işlemiyle reddedildiği anlaşıldığı, dava konusu işlem yetki unsuru yönünden hukuka uygun bulunmadığından iptaline karar verilmesi gerektiği düşünülmektedir. DANIŞTAY SAVCISI : ... DÜŞÜNCESİ : Dava; Veri Sorumluları Siciline (VERBİS) kayıt olma yükümlülüğünden istisna tutulan meslekler arasında "hekimlik" mesleğine de yer verilmesi talebiyle yapılan başvurunun reddine ilişkin Kişisel Verileri Koruma Kurumunun ... tarih ve... sayılı işleminin iptali istemiyle açılmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Amaç" başlıklı 1. maddesinde; ''Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.'', "Tanımlar" başlıklı 3. maddesinin birinci fıkrasında; "... d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, .... ifade eder." hükümleri yer almaktadır. Aynı Kanun'un "Veri Sorumluları Sicili" başlıklı 16. maddesinde ise, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. (3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. b) Kişisel verilerin hangi amaçla işleneceği. c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. e) Kişisel veri güvenliğine ilişkin alınan tedbirler. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. (4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. (5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir." hükmüne yer verilmiştir. Anılan hükme dayanılarak, 30/12/2017 tarih ve 30286 sayılı Resmî Gazete'de yayımlanarak çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamak amaçlanmış olup, bu Yönetmeliğin, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsayacağı belirtilmiştir. Aynı Yönetmeliğin 5. maddesinin birinci fıkrasında ise, Sicilin oluşturulması, idaresi ve gözetimi hususunda uyulması gereken ilke, usul ve esaslara yer verilmiş, buna göre 6698 sayılı Kanun'un 16. maddesinde de yer verildiği şekilde, veri sorumlularının, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorunda olduğu, Sicilin kamuya açık biçimde tutulacağı, Kurul'un, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haiz olduğu kuralına yer verilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde de, "(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir: a) Kişisel verinin niteliği, b) Kişisel verinin sayısı, c) Kişisel verinin işlenme amacı, ç) Kişisel verinin işlendiği faaliyet alanı, d) Kişisel verinin üçüncü kişilere aktarılma durumu, e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması, f) Kişisel verilerin muhafaza edilmesi süresi, g) Veri konusu kişi grubu veya veri kategorileri, ğ) (Ek:RG-28/4/2019-30758) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi, (2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur." hükmüne yer verilerek, kayıt yükümlülüğüne istisna getirme yetkisi bulunan Kişisel Verileri Koruma Kurulunun, söz konusu yetkiyi kullanırken hangi objektif kriterleri göz önününde bulundurması gerektiği açıkça belirtilmiştir. Yukarıda yer verilen yetkiye dayanılarak, davalı idare tarafından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları ile ilgili olarak 2018/32, 2018/68, 2018/75, 2018/87, 2019/353, 2019/387 ve 2020/315 sayılı Kurul kararları alınmış ve alınan kararlar Resmî Gazete'de yayımlanmıştır. Söz konusu kararlara bakıldığında, kayıt yükümlülüğüne istisna getirilen veri sorumluları arasında otomatik olmayan yollarla kişisel veri işleyenler, noterler, avukatlar, siyasi partiler, dernekler, vakıflar, sendikalar, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, gümrük müşavirleri, arabulucular ile yıllık çalışan sayısı 50'den az ve yıllık mali bilanço 25 milyon TL'den az olup ana faaliyeti özel nitelikli kişisel veri işleme olmayanların sayıldığı görülmektedir. Davacılar tarafından, hekimlerin hastalarına sağlık hizmeti sunabilmekle sınırlı bilgileri, tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kendileri için kaydettikleri, bunun veri işleme değil, anamnez alma, hastayı muayene etme, tetkik yapma, yapılan tetkikleri değerlendirme gibi yürütülen işin/mesleğin uygulaması olduğu, bu nedenle Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde sayılan objektif kriterler çerçevesinde, istisna kapsamına alınan avukatlar ve diğer meslek grupları gibi hekimlerin de Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmaları talep edilmiş, talebin, davalı idare tarafından dava konusu işlem ile reddedilmesi üzerine bakılmakta olan dava açılmıştır. Kişisel sağlık verileri esasen hassas veri olarak kabul edilmekte, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin birinci fıkrasında kişilerin sağlık verileri, "özel nitelikli kişisel veri" olarak tasnif edilmektedir. Hekim, mesleğinin doğası gereği özel nitelikli birtakım kişisel verileri işlemek zorunda olup, hastanın kişisel verileri olmaksızın mesleğini gereği gibi ifa edememekte, hastanın tanısını koymamakta ve tedavisini gerçekleştirememektedir. Hekimin, yaptığı iş ve hizmet gereği, hastasının mahremiyetini gözeterek, sadakat ve özen yükümlülüğü ile sır saklama yükümlülüğü bulunmaktadır. Bu yükümlülükler de ulusal ve uluslararası mevzuatın birçok yerinde somutlaştırılmıştır. Kanun'da ve ilgili Yönetmelikte kayıt yükümlülüğünün istisnaları belirlenirken tanınan yetki mutlak ve sınırsız bir yetki olmayıp, Kurul'un, mevzuatta sayılan ölçütler ile bağlı olduğu ve yapılan belirlemenin somut, objektif ve denetlenebilir biçimde ortaya konulmasının gerektiği açıktır. Kurumun istisna kapsamına aldığı mesleklerde, mesleğin doğası gereği bir takım kişisel veriler edinilmeden, o mesleğe ilişkin hizmetin sunulmasının olanaklı olmadığı, istisna kapsamındaki meslek mensuplarının, mesleğini yürütürken tıpkı hekimler gibi, 6698 sayılı Kanun'da sayılan özel nitelikli kişisel verileri edinerek bunları, yürütülen işlemler kapsamında kullandıkları, başka bir deyişle, mesleğin yapılabilmesinin doğal bir uzantısı olarak kişisel verilerin edinilmesi gerekliliğinin, hekimlik mesleği için de, en az istisna tutulan meslekler kadar söz konusu olduğu, nitekim, hastanın bilgilerinin alınmasının anamnez olarak tedavinin ilk basamağını oluşturduğu, hekimin bu bilgileri tanı ve tedavi sürecini yürütebilmek, hastasını sağlığına kavuşturabilmek amacıyla hastasına sorarak edinmekle yükümlü olduğu görülmektedir. Uyuşmazlıkta ise, davalı idarece, hekimlik mesleğinin belirtilen yönlerinin gözardı edilerek, kanunla tanınan yetkinin, Kanun ve ilgili Yönetmelik'te sayılan objektif ölçütler üzerinden kullanılmadığı, Veri Sorumluları Siciline (VERBİS) kayıt olma yükümlülüğünden istisna sayılma koşullarını haiz olma bakımından benzer mesleklere istisna hali öngörülürken, hekimlik mesleğinin istisna kapsamına alınmamasının eşitlik ilkesine de aykırı olduğu, hukuki norm haline getirilmiş etik ilkeler ve haklar çerçevesinde hastanın rızasının olmadığı veya bilginin saklanmasının başkalarının hayatını tehlikeye sokmadığı sürece hastaya ait verilerin hekimlerce açıklanması ve paylaşılmasının hukuka ve meslek etiği ilkelerine aykırı olduğu, hekimlerin, mesleklerini serbest olarak icra ettikleri muayenehaneleri başta olmak üzere, muayenehane niteliğinde olan poliklinik, merkez, müessese ismi ile anılan yerlerdeki meslek icrası vesilesiyle edindikleri ve kaydettikleri hastaya ait kişisel bilgiler nedeniyle, veri siciline kayıt yükümlülüğü yönünden benzer mesleklerden farklı bir uygulamaya tabi tutulmaları için objektif, hukuki bir nedenin ortaya konulamadığı tespit edilmiştir. Buna göre, hekimin üstlendiği işin mahiyeti gereği olarak, ihtiyaç duyduğu bilgi ve belgeyi edinmesinin ve bu sağlık verilerini işlemesinin, mesleğini özenle ifa etme ve sır saklama yükümlülüğü kapsamında kabul edilmesi gerekirken, davalı idare tarafından davacıların, hekimlerin veri sorumluları siciline kayıt yükümlülüğünden istisna tutulma taleplerinin Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde sayılan objektif kriterler çerçevesinde değerlendirilmediği görüldüğünden, istisna kapsamına alınan diğer mesleklerle aynı verileri işlemekte olan hekimlerin de istisna kapsamına alınmamasına yönelik dava konusu işlemin sebep unsuru yönünden hukuka aykırı olduğu sonucuna varılmıştır. Açıklanan nedenlerle, hukuka aykırı olduğu sonucuna varılan dava konusu işlemin iptaline karar verilmesi gerektiği düşünülmektedir. TÜRK MİLLETİ ADINA Karar veren Danıştay Onuncu Dairesince, duruşma için taraflara önceden bildirilen 11/06/2024 tarihinde, davacılardan... Derneği temsilcisi ... ve davacı vekili Av. ... ile davalı idareyi temsilen Av.... ve Av. ...'nın geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı. Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü: Davalı idare tarafından, savunma dilekçesinde, dava konusu işlem ülke çapında uygulanacak bir düzenleyici işlem olmadığından davanın görev yönünden reddi ve dosyanın görevli idare mahkemesine gönderilmesi gerektiği belirtilmiş ise de, Veri Sorumluları Siciline (VERBİS) kayıt olma yükümlülüğünden istisna tutulan meslekler arasında "hekimlik" mesleğine de yer verilmesi isteminin, ülke çapında uygulanacak bir düzenleyici işlem tesis edilmesi istemi olduğu, dolayısıyla bu istemin reddine ilişkin dava konusu işlemin de ülke çapında uygulanacak nitelikte olduğu anlaşıldığından, davalı idarenin göreve ilişkin usul itirazı yerinde görülmeyerek işin esasına geçildi. MADDİ OLAY VE HUKUKİ SÜREÇ : Davacılar tarafından, Veri Sorumluları Siciline (VERBİS) kayıt olma yükümlülüğünden istisna tutulan meslekler arasında "hekimlik" mesleğine de yer verilmesi istemiyle davalı idareye başvuruda bulunulmuş, bu başvurunun Kişisel Verileri Koruma Kurumunun ... tarih ve ... sayılı işlemiyle, "istisna getirilen veri sorumluları arasında özel muayenehanesinde çalışan hekimlerin yer almadığı, kişisel veri işleme yetkisinin kanunlarda öngörülmüş olması durumu ile hekimlerin hastaya ait bilgileri hekimlik mesleğinin icrası kapsamında edindikleri ve bunun mesleki bir gereklilik olduğu hususunun, 6698 sayılı Kanun'un 5. ve 6. maddelerinde sayılan kişisel veri işleme şartlarından olmakla birlikte Sicile kayıt yükümlülüğünden istisna için tek başına yeterli bir gerekçe olmadığı dikkate alınarak özel muayenehane tarzında çalışan hekimlerin Sicile kayıt yükümlülüğünden istisna taleplerinin uygun olmadığı" belirtilerek reddi üzerine, anılan işlemin iptali istemiyle bakılan dava açılmıştır. İNCELEME VE GEREKÇE: İlgili Mevzuat: 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Amaç" başlıklı 1. maddesinde, ''Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.'' hükmü; "Tanımlar" başlıklı 3. maddesinin 1. fıkrasında, "Bu Kanunun uygulanmasında; ... d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ... h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder." hükmü yer almaktadır. Aynı Kanun'un "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı - dava konusu işlem tarihinde yürürlükte olan haliyle - 6. maddesinde, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmü; "Veri Sorumluları Sicili" başlıklı 16. maddesinde ise, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. (3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır: a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri. b) Kişisel verilerin hangi amaçla işleneceği. c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar. ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler. e) Kişisel veri güvenliğine ilişkin alınan tedbirler. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. (4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir. (5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir." hükmüne; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. ... ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. ... g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ..." hükmüne; "İstisnalar" başlıklı 28. maddesinde, "(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. (2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. " hükmüne yer verilmiştir. Bu Kanun'a dayanılarak hazırlanan ve 30/12/2017 tarih ve 30286 sayılı Resmî Gazete'de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamak amaçlanmış, bu Yönetmeliğin, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsayacağı belirtilmiştir. Aynı Yönetmeliğin "Tanımlar" başlıklı 4. maddesinin 1. fıkrasında, "Bu Yönetmelikte geçen; ... e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi, ... l) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini, m) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını, n) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini, o) Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini, ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ... ifade eder." kuralına; "İlke, usul ve esaslar" başlıklı 5. maddesinin 1. fıkrasında, Sicilin oluşturulması, idaresi ve gözetimi hususunda uyulması gereken ilke, usul ve esaslara yer verilmiş, buna göre 6698 sayılı Kanun'un 16. maddesinde de yer verildiği şekilde, veri sorumlularının, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorunda olduğu, Sicilin kamuya açık biçimde tutulacağı, Kurul'un, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haiz olduğu kuralına yer verilmiş; "İstisna uygulanacak haller" başlıklı 15. maddesinde, "(1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması." kuralı yer almış; "İstisna kriterleri" başlıklı 16. maddesinde ise, "(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir: a) Kişisel verinin niteliği. b) Kişisel verinin sayısı. c) Kişisel verinin işlenme amacı. ç) Kişisel verinin işlendiği faaliyet alanı. d) Kişisel verinin üçüncü kişilere aktarılma durumu. e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması. f) Kişisel verilerin muhafaza edilmesi süresi. g) Veri konusu kişi grubu veya veri kategorileri. ğ) (Ek:RG-28/4/2019-30758) Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi. (2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur." kuralına yer verilerek, kayıt yükümlülüğüne istisna getirme yetkisi bulunan Kişisel Verileri Koruma Kurulunun söz konusu yetkiyi kullanırken hangi objektif kriterleri göz önününde bulundurması gerektiği açıkça belirtilmiştir. Hukuki Değerlendirme : Yukarıda yer verilen düzenlemelerin birlikte incelenmesinden, 6698 sayılı Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanan veri sorumlularının, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmakla yükümlü oldukları, ancak, Kanun'un 16. maddesinde, Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından Sicile kayıt zorunluluğuna istisna getirilebileceğinin, 28. maddesinin 2. fıkrasında da, anılan fıkrada belirtilen haller söz konusu olduğunda veri sorumlularının Sicile kayıt zorunluluğunun bulunmadığının açıkça düzenlendiği görülmektedir. Bununla birlikte, Kanun'un 5. maddesinde kişisel verilerin işlenme şartları, 6. maddesinde ise özel nitelikli kişisel verilerin işlenme şartları sayılmış, Veri Sorumluları Siciline kayıt yükümlülüğü yönünden işlenecek kişisel verinin özel nitelikli olup olmamasına göre herhangi bir ayrım yapılmamış, ancak, Kanun'un 16. maddesinin 2. fıkrası ile Yönetmeliğin 16. maddesinin 1. fıkrasında Kurulun Sicile kayıt yükümlülüğüne getireceği istisnalara ilişkin değerlendirme kriterleri arasında kişisel verinin niteliğine de yer verilmiştir. Davalı idare tarafından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen veri sorumluları ile ilgili olarak 2018/32, 2018/68, 2018/75, 2018/87, 2019/353, 2019/387 ve 2020/315 sayılı Kurul kararları alınmış ve alınan kararlar Resmî Gazete'de yayımlanmıştır. Söz konusu kararlara bakıldığında, kayıt yükümlülüğüne istisna getirilen veri sorumluları arasında otomatik olmayan yollarla kişisel veri işleyenler, noterler, avukatlar, siyasi partiler, dernekler, vakıflar, sendikalar, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, gümrük müşavirleri, arabulucular ile yıllık çalışan sayısı 50'den az ve yıllık mali bilanço 25 milyon TL'den az olup ana faaliyeti özel nitelikli kişisel veri işleme olmayanların sayıldığı görülmektedir. Davacılar tarafından, hekimlerin hastalarına sağlık hizmeti sunabilmekle sınırlı bilgileri, tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kendileri için kaydettikleri, bunun veri işleme değil, anamnez alma, hastayı muayene etme, tetkik yapma, yapılan tetkikleri değerlendirme gibi yürütülen işin/mesleğin uygulaması olduğu, bu nedenle Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde sayılan objektif kriterler çerçevesinde, istisna kapsamına alınan avukatlar ve diğer meslek grupları gibi hekimlerin de Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmaları gerektiği iddia edilerek dava konusu işlemin iptaline karar verilmesi istenilmekte; davalı idare tarafından ise, özellikle sağlık verisi işleyen veri sorumlularının daha hassas korumaya tabi bu verilerin işlenmesinde azami özeni göstermeleri gerektiği, bu çerçevede hekimlerin doğrudan ana faaliyet konusu olarak özel nitelikli kişisel veri işlemekte olduğu, hekimlerin Kanun'da ve ilgili Kurul kararlarında yer verilen istisnaların dışında bırakılmasının işledikleri kişisel verilerin niteliği ile ilgili olduğu, Kurul kararlarına yansıyan istisna hallerinin, doğrudan hekimlik mesleği ile ilgisi bulunmadığı ve Sicil kayıt yükümlülüğünün ana faaliyet konusu özel nitelikli kişisel veri işleme olan her veri sorumlusu için geçerli olduğu, nitekim Kurul'un almış olduğu kararlar dikkate alındığında, ana faaliyet konusu özel nitelikli kişisel veri işleme olan tüm veri sorumlularının istisna kapsamı dışında tutulduğu belirtilerek davanın reddi gerektiği savunulmaktadır. Kanun'un gerekçesinde, özel nitelikli kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte hassas veriler olduğu belirtilmiştir. Dolayısıyla bu hassas verilerin işlenmeleri de diğer kişisel verilere göre daha sıkı şartlara bağlanmıştır. Kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen her türlü işlem, veri işleme faaliyeti olarak karşımıza çıkmaktadır. Nitekim, Kanun'da kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, bu kapsamda sayılmıştır. Ayrıca, Kanun'un dava konusu işlem tarihi itibarıyla yürürlükte olan 6. maddesine bakıldığında, özel nitelikli kişisel verilerin işlenme şartlarında, sağlık ve cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler olarak ayrım yapıldığı, buna göre, sağlık ve cinsel hayata ilişkin kişisel verilerin, ilgilinin açık rızası olmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği, tüm özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının da şart olduğu görülmektedir. Uyuşmazlıkta, hekimlerin, mesleki faaliyetlerinin 6698 sayılı Kanun kapsamında kaldığı, hastaları ile ilgili olarak kişisel verileri elde etmelerinin dahi bir veri işleme faaliyeti olduğu, bu kapsamda edindikleri kişisel verilerin, sağlığa ve cinsel hayata ilişkin olmaları sebebiyle özel nitelikli (hassas) kişisel veriler olduğu, bu verileri işlemek için Kanun'un 6. maddesinin 3. fıkrasında sayılan şartlarının bulunduğu, veri sorumlusu oldukları, kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolma yükümlülüklerinin bulunduğu anlaşılmaktadır. Bu durumda, özel nitelikli kişisel veriler arasında sağlık ve cinsel hayata ilişkin kişisel verilerin de özellikli bir yerinin bulunduğu, Kanun'un Sicile kayıt yükümlülüğünün istisnaları belirlenirken işlenecek kişisel verilerin niteliğinin de göz önünde bulundurulacağına ilişkin amir hükmü karşısında, davalı idarenin sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesini gerektiren faaliyetlerin Sicile kayıt yükümlülüğünün istisnaları arasına almaya zorlanamayacağı, bu hususun davalı idarenin takdir yetkisi kapsamında kaldığı anlaşıldığından, dava konusu işlemde üst hukuk normlarına ve hukuka aykırılık bulunmadığı sonucuna varılmaktadır. KARAR SONUCU : Açıklanan nedenlerle; 1. DAVANIN REDDİNE, 2. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davacılar üzerinde bırakılmasına, davalı idare tarafından yapılan ve vekalet harcından oluşan ...TL yargılama giderinin davacılardan alınarak davalı idareye verilmesine, 3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca .. TL duruşmalı vekâlet ücretinin davacılardan alınarak davalı idareye verilmesine, 4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine, 5. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 11/06/2024 tarihinde oy çokluğuyla karar verildi. (X) - KARŞI OY : Kişisel sağlık verileri esasen hassas veri olarak kabul edilmekte, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinin 1. fıkrasında kişilerin sağlık verileri, "özel nitelikli kişisel veri" olarak tasnif edilmektedir. Hekim, mesleğinin doğası gereği özel nitelikli birtakım kişisel verileri işlemek zorunda olup, hastanın kişisel verileri olmaksızın mesleğini gereği gibi ifa edememekte, hastanın tanısını koymamakta ve tedavisini gerçekleştirememektedir. Hekimin, yaptığı iş ve hizmet gereği, hastasının mahremiyetini gözeterek, sadakat ve özen yükümlülüğü ile sır saklama yükümlülüğü bulunmaktadır. Bu yükümlülükler de ulusal ve uluslararası mevzuatın birçok yerinde somutlaştırılmıştır. Buna göre, hekimin üstlendiği işin mahiyeti gereği olarak gerek duyduğu bilgi ve belgeyi edinmesinin ve bu sağlık verilerini işlemesinin, mesleğini özenle ifa etme ve sır saklama yükümlülüğü kapsamında kabul edilmesi gerekmektedir. Ancak davalı idare tarafından davacıların, hekimlerin veri sorumluları siciline kayıt yükümlülüğünden istisna tutulma taleplerinin Veri Sorumluları Sicili Hakkında Yönetmeliğin 16. maddesinde sayılan objektif kriterler çerçevesinde değerlendirilmediği, dava konusu işlemin sebep unsurunun somut ve objektif olarak ortaya konulamadığı görülmektedir. Bu durumda, hekimin, hastasına ait özel nitelikli kişisel veri mahiyetinde bulunan sağlık bilgilerinin kayıt altına alınmasına ilişkin yükümlülüğünün, yukarıda yer verilen mevzuat hükümleri doğrultusunda belirlenen objektif kriterler çerçevesinde değerlendirilerek, tıpkı istisna kapsamına alınan diğer meslekler gibi aynı verileri işlemekte olan hekimlerin de istisna kapsamına alınması gerektiği ve dava konusu işlemin sebep unsuru yönünden hukuka aykırı olduğu sonucuna ulaşılmıştır. Açıklanan nedenlerle, dava konusu işlemin hukuka aykırı olduğu anlaşıldığından iptaline karar verilmesi gerektiği oyu ile Daire kararına katılmıyoruz.