Gazete Memur - gazetememur.com
Hakkımızda Künye Gizlilik Politikası Çerez Poltikası Çerez Ayarları KVKK Metni İletişim
© Copyright 2025 Gazete Memur
533 053 44 95 gazetememur gazetememur gazetememur
Dolar : 40,0526 0,01 Değişim Euro : 46,9767 -0,02 Değişim Altın : 4.273,38 %0,16 Değişim BIST 100 : 10.167,26 %1,69 Değişim Brent Petrol : 70,19 0,06 Değişim

Avukatlara İlişkin Danıştay'dan Önemli Karar!

Avukat Hakları Grubu Ankara'nın Danıştay'a taşıdığı, avukatların uzmanlık alanını ve meslek bağımsızlığını zedeleyen tebliğ hakkında iptal kararı verildi.

Giriş : Güncelleme :
Avukatlara İlişkin Danıştay'dan Önemli Karar!

Danıştay 10. Daire kararında; “Tebliğ'in dayanağı olan 6698 sayılı Kanun'da düzenlenmemiş olan ve davalı Kuruma verilen görev ve yetkiler kapsamında da yer almayan "veri koruma görevlisi" statüsünü ihdas ederek "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esasları kurallaştıran, bu suretle dayanağı Kanun'u, normlar hiyerarşisi, kanuni idare ve idarenin düzenleme yetkisinin taliliği prensiplerini ihlal eden dava konusu Tebliğ’de hukuka uyarlık görülmemektedir.” ifadeleri kullanıldı.

"MESLEK BAĞIMSIZLIĞINI ZEDELER"

Avukat Hakları Grubu Ankara'dan yapılan açıklamada "6 Aralık 2021 tarihli, 31681 sayılı Resmî Gazete’de yayımlanan ve sertifika zorunluluğu getiren bu düzenleme; yasal bir dayanağı olmaksızın, avukatların uzmanlık alanını gasp eden ve meslek bağımsızlığını zedeleyen bir içerik taşımaktaydı.

Sadece avukatların yapabileceği bir işi, “Veri Koruma Görevlisi” adı altında ISO sertifikasına bağlayarak mesleğimizi ifa etmemizi engelleyen tebliğe karşı Danıştay’da açtığımız iptal davasını kazandık.

Dayanışma ile büyüyen bu hak mücadelesi, mesleğimizin ortak sorumluluğudur.

Mesleğimizi özgürce icra edebilmek ve hukuki yetkinliğimizi sınırlandıran bu düzenlemenin kaldırılması için mücadelemizi sürdüreceğiz.

Mesleğimize yönelik her saldırı da en önde biz olacağız." denildi.

T.C.
D A N I Ş T A Y
ONUNCU DAİRE

Esas No : 2022/691
Karar No : 2025/2023

DAVANIN KONUSU : Davacı tarafından; 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının yetki yönünden hukuka aykırı olduğu iddiasıyla iptali istenilmektedir.

DAVACININ İDDİALARI : Davacı tarafından; 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının yetki yönünden hukuka aykırı olduğu iddiasıyla iptali istenilmektedir.

DAVACININ İDDİALARI : Davacı tarafından, avukat olduğu ve subjektif ehliyetinin bulunduğu, "veri koruma görevlisi" kavramının 6698 sayılı Kişisel Verileri Koruma Kanunu ve diğer mevzuatta bulunmadığı, kanuni dayanağı bulunmayan, uygulamadaki yeri henüz belirlenmemiş olan veri koruma görevlisi kavramının düzenleyici işlem ile getirilmesinin hukuka aykırı olduğu, 2010 yılında yapılan Anayasa değişikliği ile “özel hayatın gizliliği ve korunması hakkı” kapsamında kişisel verilerin anayasal güvence altına alındığı, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyum amacıyla 07/04/2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girdiği, 6698 sayılı Kanun'da ve ilgili Yönetmeliklerde “veri koruma görevlisi” hakkında yapılmış bir düzenleme bulunmadığı, dava konusu Tebliğ ile veri koruma görevlisi kavramının hukuk sistemimize girdiği, veri koruma görevlisinin görev, yetki ve sorumlulukları hususunda hukuk sistemimizde henüz ayrıntılı düzenlemeler mevcut olmadığından konu hakkında detaylı bilgiye sahip olabilmek için Avrupa Birliği düzenlemelerine bakmak gerektiği, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde veri koruma görevlisi kavramının (Data Protection Officer) düzenlendiği, Avrupa Birliği Genel Veri Koruma Tüzüğüne uyum çalışmaları kapsamında “veri koruma görevlisi” kavramının Kişisel Verileri Koruma Kurumu tarafından hukuk sistemimize dahil edildiği, Avrupa Birliği Genel Veri Koruma Tüzüğü incelendiğinde veri koruma görevlisinin temel olarak kişisel verilerin korunması hukukuna uyumu izlediği, veri sorumlusu bünyesindeki uyum çalışmalarını gözlemlediği, gerekli konu ve durumlarda veri sorumlusuna kişisel verilerin korunması hukuku kapsamında danışmanlık yaptığı, tavsiye verdiği, gerektiğinde verisi işlenen kişiler ile denetim makamı ve veri sorumlusu arasındaki kişisel verilerin korunması hukuku alanında aracı bir görev gördüğü sonuçlarına ulaşıldığı, dava konusu Belgelendirme Programının “Öğrenme Çıktıları” başlıklı 6.5. maddesi incelendiğinde, veri koruma görevlisinin Avrupa Birliği Genel Veri Koruma Tüzüğüne uygun olarak düzenlenmeye çalışıldığının anlaşıldığı, anılan maddede yer alan öğrenme çıktıları incelendiğinde, veri koruma görevlisi olarak ifade edilen kişilerin kişisel verilerin korunması hukuku ve Kişisel Verilerin Korunması Kanunu'na uyum alanında danışmanlık faaliyeti vermek üzere yetiştirilmeye çalışıldığının anlaşıldığı, Avukatlık Kanunu'nun 35. maddesinin avukatın tekel hakkını düzenlediği, hukuki konularda danışmanlık yapmanın sadece avukatların yapabileceği iş ve işlemlerden olduğu, kişisel verilerin korunması alanı hukuk alanı olarak değerlendirilir ve veri koruma görevlisinin uzmanlık alanı ve yapacağı işler hukuk alanı içinde kalacak olursa avukatlar haricinde kimsenin bu alanda danışmanlık hizmeti vermesinin mümkün olmayacağı, Kişisel Verilerin Korunması Kanunu’na uyum çalışmalarının ve Kanun kapsamında yapılacak olan danışmanlık hizmetlerinin hukuki iş niteliğinde olduğu, hukuki konularda mütalaa verildiği, hukuk alanında danışmanlık hizmeti verildiği, hukuki niteliğe sahip dokümanlar oluşturulduğu, bu sebeple de kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin Kurum tarafından yayınlanan düzenleyici işlem niteliğinde Tebliğ ve Program ile hukukçu bile olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu ileri sürülerek dava konusu düzenleyici işlemin iptali istenilmektedir.

DAVALININ SAVUNMASI : Davalı idare tarafından, usul yönünden, menfaat ihlali şartı gerçekleşmeyen davacının dava açma ehliyeti bulunmadığı; esas yönünden, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, maddi kazanç sağlamaya yönelik olduğu, Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek amacıyla verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyonun sağlanmasının amaçlandığı, Kurum tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlisi programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ" hazırlandığı, Tebliğ ile eğitim ve sertifikanın doğru ve güvenilir kaynaklardan alınması ve kişisel verilerin korunmasına dair eğitim ve sertifika faaliyetlerinin Kurum tarafından regüle edilmesinin amaçlandığı, Tebliğ kapsamında belgelendirilmek üzere akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşuna müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, veri koruma görevlisi veya veri koruma görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla “Veri Koruma Görevlisi Belgelendirme Programı” hazırlandığı, dava konusu düzenlemelerin dayanağının 6698 sayılı Kanun’un 22/1-e maddesinde yer alan “Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak” düzenlemesi ile Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’nin 7/ı maddesinde yer alan “Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek” düzenlemesi olduğu, Tebliğ kapsamında yapılacak sertifikalandırma sonucunda kazanılacak unvanın Avrupa Birliği Genel Veri Koruma Tüzüğünde düzenlenen Data Protection Officer (DPO) unvanı ile benzer işleve sahip olacağı algısının yanlış olduğu, Avrupa Birliği Genel Veri Koruma Tüzüğünde veri sorumluları ve veri işleyenlerin veri koruma mevzuatı kapsamındaki yükümlülüklerini gereği gibi yerine getirebilmek için bu konuda yetkinliğe sahip bir kişiyi DPO olarak veri koruma mevzuatına uyum ile ilgili süreçlere dahil etme zorunlulukları olduğu, DPO olabilmek için bir sertifikasyon mekanizması kapsamında sertifika sahibi olunması zorunluluğu bulunmadığı, 6698 sayılı Kanun'da ise veri sorumluları ve veri işleyenler bakımından Kanuna ve ikincil mevzuata uyum çalışmaları kapsamında zorunlu olarak herhangi bir kişiyi istihdam etme veya hizmet alımı zorunluluğuna ilişkin düzenleme bulunmadığı, dava konusu Tebliğ ile düzenleme altına alınan sertifikasyon mekanizmasının da DPO’dan tamamen farklılık arz ettiği ve gönüllülük esasına dayandığı, veri sorumlusu ve veri işleyen tarafından veri koruma görevlisi istihdam edilmesinin veya bu kişilerden hizmet satın alınmasının tamamen isteğe bağlı olduğu, veri koruma görevlisinin yalnızca kişisel verilerin korunması mevzuatı açısında yeterli bilgiye sahip olduğu kabul edilen ve bu kapsamda yetkinliği gösterir bir sertifikaya sahip olan kişi olduğu, Tebliğ ile veri koruma görevlilerine herhangi bir yetki verilmediği, görev tanımı yapılmadığı, Tebliğde, veri koruma görevlisi unvanına sahip olacak kişilerin Avrupa Birliği Genel Veri Tüzüğünde düzenlenen DPO'ların ülkemiz hukukundaki karşılığı olarak düzenlenmediği, uyum çalışmalarında veri sorumlusu veya veri işleyeni bünyesinde faaliyet gösterebilmek için veri koruma görevlisi unvanını taşıma zorunluluğu bulunmadığı, davacının iddia ettiği gibi Avrupa Birliği Genel Veri Tüzüğünde yer alan DPO'ya benzer görev ve yetkileri haiz veri koruma görevlisi şeklinde 6698 sayılı Kanun'da yer almayan yeni bir unvanın ihdas edilmesinin söz konusu olmadığı, 6698 sayılı Kanun'un amacının, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, kişisel verilerin işleme şartlarının ve veri sorumlusunun yükümlülüklerinin, bu yükümlülüklere uyulmaması halinde uygulanacak idari yaptırımın düzenlendiği, veri sorumlusunun/veri işleyenenin, veri koruma görevlisi istihdam etmesi halinde Kanun'a ve mevzuata uyma zorunluluğunun ortadan kalkmadığı, veri sorumlusunun/veri işleyenin, veri koruma görevlisinden yardım almasının kendi inisiyatiflerinde olduğu, alınan bu yardımın danışmanlık olarak kabul edilemeyeceği, kişisel verilerin korunması mevzuatı kapsamında yeterli bilgiye sahip olduğu anlamına geleceği, veri koruma görevlisinden yardım alan veri sorumlusu/veri işleyenin, edinilen bilgilerin uygulamaya konulması noktasında bu bilgilerin doğruluğunu ve hukuka uygunluğunu her daim gözetmesi gerektiği, veri güvenliğine ilişkin ilkeler ile usul ve esaslara uyumu sağlayacak uygulamalar, hukuk alanında ve yazılım, bilgisayar teknolojileri, iktisadi ve idari bilimler veya veri sorumlusunun faaliyet gösterdiği diğer alanlarda bilgi sahibi olunması suretiyle hayata geçirilebileceği, hukuki analiz, inceleme ve değerlendirmelere ilave olarak diğer uzmanlık alanlarına yönelik de çalışmaların yapılması gerektiği, uluslararası alanda da benzer bir yaklaşımın benimsendiği, alan sınırlaması olmaksızın 4 yıllık lisans eğitimi veren fakültelerden mezun olan herkese Tebliğin gerekliliklerini yerine getirmek kaydıyla veri koruma görevlisi unvanının tanınmasının Avukatlık Kanunu’nun 35. maddesine aykırılık teşkil etmediği, Kişisel Verileri Koruma Kurumu bünyesinde istihdam edilen kişisel verileri koruma uzmanlarının da çeşitli fakültelerden mezun olanlar arasından atanmasının mümkün olduğu, kişisel verilerin korunması hukukunun multidisipliner bir alan olduğu belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ :

DÜŞÜNCESİ : Dava konusu düzenlemenin iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI :

DÜŞÜNCESİ : Dava, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in iptali istemiyle açılmıştır.

Dava konusu düzenlemenin 1136 sayılı Avukatlık Kanunun 35. maddesine aykırı olduğu avukatlık mesleğinin hak ve menfaatlerini ilgilendirdiği iddialarıyla açılan davada davalı idarenin davacının menfaat ihlali şartının gerçekleşmediği iddiası yerinde görülmemiştir.

Anayasanın "Özel hayatın gizliliği" başlıklı 20. maddesinin üçüncü fıkrasında "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmü yer almıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Amaç" başlıklı 1. maddesinde "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." hükmü, "Tanımlar" başlıklı 3. maddesinde "Bu Kanunun uygulanmasında; a)Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, ... e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ... ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder." hükmü, "Genel ilkeler" başlıklı 4. maddesinde; (1) Kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, (2) Kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme, ilkelerine uyulmasının zorunlu olduğu, veri güvenliğine ilişkin yükümlülükler başlığını taşıyan 12. maddesinde veri sorumlusunun a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmü yer almıştır. "Kurulun görev ve yetkileri" başlıklı 22. maddesinin 1) fıkrasının (e) bendinde; Kurulun görev alanı ile kurumun işleyişine ilgili konularda gerekli düzenleyici işlemleri yapmak kurulun görev ve yetkileri arasında sayılmıştır.

Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7. maddesinin g) bendinde; Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, ı) bendinde; Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek Kurulun görev ve yetkileri arasında sayılmış, 18. maddesinin a) bendinde Kişisel verilerin korunması ile ilgili standartların belirlenmesi, yetkilendirme ve sertifika işlemlerini yürütmek Rehberlik Araştırma ve Kurumsal İletişim Dairesi Başkanlığının görevleri arasında sayılmıştır.

Yukarıda anılan mevzuat hükümlerine dayanılarak (TS) EN ISO/IEC 17024 standarda uygun olarak Veri Koruma Görevlisi Programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla Personel Sertifikasyon Mekanizmasına ilişkin Usul ve Esaslar Hakkında Tebliğ 06/12/2021 tarih ve 31681 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Bu kapsamda Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu'na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili esasları belirlemek üzere Veri Koruma Görevlisi Belgelendirme Programı düzenlemiştir.

Kişilerin temel hak ve özgürlüklerine korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılan 6698 sayılı Kanunla kişisel verilerin hangi kurula tabi olarak, hangi şartta işlenebileceği hususu düzenlenmiş, kanunla kişisel verilerin işlenmesine ilişkin denetim mekanizmaları getirilerek bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi sağlanmıştır.

Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişimini önleme ve bunların hukuka uygun olarak muhafazasının sağlama sorumluluğunu da kapsayan veri güvenliğini koruma görevi veri sorumlusuna verilmiştir. Bu kanun hükümlerinin uygulanmasını sağlamak amacıyla denetiminde veri sorumlusu tarafından yapılması öngörülmektedir.

Dava konusu tebliğ ile kişisel verilerin korunması amacıyla "Veri Koruma Görevlisi" meslek tanımı yapılarak, veri koruma görevlisinin istihdamını öngörmekte ve bunu sağlamak üzere sertifikasyon, sınav ve eğitim programı düzenlenmektedir.

Veri sorumlularının kişisel verilerin kaydedilmesinden veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu, veri güvenliği sağlama hususundaki yetki ve sorumluluklarına ilişkin düzenlemeler, birlikte değerlendiğinde, veri sorumlularının görev alanına hangi katkıyı sağladığı anlaşılmayan veri koruma görevlisi meslek tanımının görev, yetki ve sorumluluk alanının üst norm ile belirlenmesi gerekirken soyut ve belirsiz bir kavram olarak tebliğ ile düzenlenmesinde "hukuki güvenlik", "hukuki belirlilik" ilkesine ve hukuka uyarlık bulunmadığı sonucuna ulaşılmıştır.

Diğer yandan 25/05/2018 tarihinde yürürlüğe giren Avrupa Birliği Veri Koruma Tüzüğü (GVKT) de veri Koruma Görevlisi kavramının (Data Proceksion Officer) olarak düzenleme altına alındığı, ülkemizde kişisel verilerin korunması alanındaki mevzuatın Avrupa Birliği standartları ile uyumlu hale getirilmesi amacıyla gerçek kişilerin kişisel verilerinin işlenmesi ile korunmasına ilişkin kurallar ile kişisel verilerin serbest dolaşımına ilişkin kuralların belirlendiği adı geçen tüzükle uyumun sağlanmaya çalışıldığının anlaşıldığı, (GVKT) de veri kişisel verilerin işlemesine ilişkin amaç ve yöntemleri belirlemede yetkinliği olan koruma hukuku ve uygulamalarına ilişkin uzmanlık bilgisine sahip olan, birlik ve üye devletlerin diğer veri koruma hükümlerine uyumunun izlenmesi gibi görev, yetki ve sorumluluk alanı belirlenen Veri Koruma Görevlisi'nin dava konusu düzenlemede ilgili tüzükte yer alan Veri Koruma Görevlisi tanımı kapsamında bulunmadığı da dikkate alındığında, düzenlemenin Avrupa Birliği mevzuatı ile uyumlu olmadığı da görüldüğünden kamu yararına uygunluk görülmemiştir.

Açıklanan nedenlerle dava konusu tebliğin iptali gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onuncu Dairesince duruşma için taraflara önceden bildirilen 15/04/2025 tarihinde, davacı B. H. ve vekilleri Av. Emrah Altunoğlu, Av. E. R. T., Av. Sevde Ata ve Av. V. K.'nın geldiği, davalı idare Kişisel Verileri Koruma Kurumu'nu temsilen Av. Furkan İlhan'ın geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı.Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE :

MADDİ OLAY:

Davacı tarafından, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in tamamının iptali istemiyle bakılmakta olan davanın açıldığı anlaşılmıştır.

USUL YÖNÜNDEN:

Davalı idare tarafından; davacının dava konusu Tebliğin iptali istemiyle dava açma ehliyetinin bulunmadığı ileri sürülmüştür.

Dava konusu Tebliğde, bir olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından,"veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) ve kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden kazanılacak "veri koruma görevlisi" unvanına dair usul ve esaslar yer almaktadır.

Davacı tarafından, dava konusu düzenlemenin; Avukatlık Kanunu'nun 35. maddesinde düzenlenen avukatın tekel hakkına aykırılık teşkil ettiği, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin dava konusu Tebliğ ve Program ile hukukçu olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu savıyla açılan davanın, bu özelliği itibarıyla avukatlık mesleğini yapanların çıkarlarının ve meslek düzeninin korunması ile ilgili bulunduğu açıktır.

Bu nedenle, davacının mesleki düzen ve menfaatlerinin korunması amacıyla dava konusu düzenlemenin değinilen niteliği gereği dava açma ehliyeti bulunmakta olup, davalı idarenin aksi yöndeki itirazının yerinde olmadığı sonucuna varılmaktadır

ESAS YÖNÜNDEN;

İlgili Mevzuat: 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1.maddesinde, "(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."; "Tanımlar" başlıklı 3.maddesinde, "(1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."; "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir."; "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesinde, "(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir."; "Veri Sorumluları Sicili" başlıklı 16. maddesinin 1. fıkrasında, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur."; 2. fıkrasında, "(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir."; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek..." düzenlemeleri yer almıştır.

Anılan Kanuna dayanılarak hazırlanan ve 30/12/2017 tarihli ve 30286 sayılı Resmi Gazete'de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin "Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri " başlıklı 11. maddesinde, " (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur... (5) Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir." düzenlemesi yer almaktadır.

06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır."; "Tanımlar" başlıklı 4. maddesinin 1. fıkrasında, "(1) Bu Tebliğin uygulanmasında;...ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,...n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,... ifade eder."; "Veri koruma görevlisi" başlıklı 6. maddesinde, "(1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar. (2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir. (3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir." düzenlemesi yer almıştır.

HUKUKİ DEĞERLENDİRME :

İdare Hukukunda "yetki", idareye Anayasa ve yasalarla tanınmış olan karar alma gücünü ifade etmektedir. İdari işlemin en temel unsurunu oluşturan "yetki", yasayla hangi makama verilmiş ise ancak onun tarafından kullanılabilir; ilke olarak "yetkisizlik kural, yetkili olma istisna"dır.

Anayasanın 123. maddesi uyarınca kuruluş ve görevleri yasayla düzenlenmek durumunda olan idare, kendi düzenleme yetkisini de yasalar çerçevesinde ve yasalara uygun olarak kullanmak zorundadır. Bu ilke, Anayasanın 124. maddesinde, "Cumhurbaşkanı, bakanlıklar ve kamu tüzelkişileri, kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla, yönetmelikler çıkarabilirler." hükmüyle ifade edilmiştir. Esasen bu husus, idarenin ikincil (tali) düzenleme yetkisinin doğal sonucudur.

Normlar hiyerarşisi kuramına göre, hukuk düzeni, farklı kademede yer alan Anayasa, kanun, yönetmelik ve diğer düzenleyici işlemlerden oluşan birçok normu içermekte ve her norm geçerliliğini bir üst basamakta yer alan normdan almaktadır. Hukukun genel ilkeleri arasında yer alan normlar hiyerarşisi gereği, kanundan sonra gelen yönetmelik, genelge, tebliğ, talimat gibi düzenlemelerin ancak kanunda verilmiş olan hakkın kullanılmasının açıklanması ile ilgili olacağı, bu metinlerde kanun ile verilmiş olan hakkı genişletici veya daraltıcı mahiyette hükümlere yer verilemeyeceği kabul edilmektedir.

Buna göre, idari teşkilat yapısı içinde yer alan Bakanlıklar ile diğer kamu kurum ve kuruluşları, görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasada belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahiptir.

Bir başka ifadeyle; tebliğ, genelge ve yönerge gibi düzenleyici işlemler; üst normların uygulanmasını göstermek amacıyla ve onlara aykırı hükümler içermemek şartıyla, yine üst normlarda gösterilen usul ve yöntemleri açıklayıcı hükümler taşıyan, yeni bir yöntem ve usul getirmeyen; dayanağı olan mevzuatta yer alan hükümler dışında yeni bir düzenleme içermeyen adsız düzenleyici işlemlerdir.

Uyuşmazlık; amacı, kapsamı, dayanağı ve düzenleme alanına yukarıda yer verilen Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'ni hazırlama, düzenleme ve yürürlüğe koyma konusunda yetki kullanan davalı idarenin bu yetkisinin yasal dayanağının bulunup bulunmadığı noktasındadır.

Dava konusu Tebliğ ve bu Tebliğin uygulanması amacıyla hazırlanan ve davalı Kurumun resmi internet sayfasında 07/12/2021 tarihinde yayımlanan "Veri Koruma Görevlisi Belgelendirme Programında bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından, kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri, Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen yetkili personel belgelendirme kuruluşu tarafından yapılacak sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden "veri koruma görevlisi" unvanını kullanmaya hak kazanacakları öngörülmektedir. Dolayısıyla, dava konusu düzenlemede "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esaslar yer almaktadır.

Oysa, dava konusu Tebliğ'in dayanağı olan 6698 sayılı Kanun'da "veri işleyen" ve "veri sorumlusu" dışında ayrı bir kavram olduğu anlaşılan "veri koruma görevlisi" tanımına yer verilmediği gibi, aynı Kanun'un 22. maddesinde "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna da bir görev verilmediği, anılan Kanun maddesinde yer alan "veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak" şeklindeki bendin, veri işleyen ile veri sorumlusunun "veri koruma görevlisi" istihdamı ya da bunlardan hizmet alımı mecburiyetinin olmaması ve Kanun'da yer almayan veri koruma görevlisinin veri güvenliğine ilişkin bir yükümlülüğünün de bulunmaması karşısında, dava konusu düzenlemenin yasal dayanağını teşkil edemeyeceği, yine "veri koruma görevlisi"nin veri sorumlusu ya da temsilcisinden farklı bir gerçek kişi olması nedeniyle, dava konusu düzenlemenin, anılan maddede yer alan "veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak" şeklindeki bendin de kapsamına girdiğinden söz edilemeyeceği, davalı idarece dava konusu düzenlemenin dayanağı olarak gösterilen "Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak" bendinin ise, Kanunda "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna bir görev verilmemesi ve konunun Kurumun işleyişine de ilişkin bulunmaması karşısında, yine dayanak olarak kabulüne hukuken olanak bulunmadığı sonucuna varılmaktadır.

Bu haliyle, dayanağı 6698 sayılı Kanun'da düzenlenmemiş olan ve davalı Kuruma verilen görev ve yetkiler kapsamında da yer almayan "veri koruma görevlisi" statüsünü ihdas ederek "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esasları kurallaştıran, bu suretle dayanağı Kanun'u, normlar hiyerarşisi, kanuni idare ve idarenin düzenleme yetkisinin taliliği prensiplerini ihlal eden dava konusu Tebliğ'de hukuka uyarlık görülmemektedir.

Öte yandan, davalı idarenin savunma dilekçesinde de ifade edildiği üzere, dava konusu Tebliğ'de "veri koruma görevlisi"nin açık ve net bir görev tanımı yapılmadığından, hukuki belirlilik ilkesinin de ihlal edildiği anlaşılmaktadır.

Bu itibarla, hukuki dayanaktan yoksun bulunan ve hukuki belirsizlik yaratan dava konusu Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'nin iptaline karar verilmesi gerekmektedir.

KARAR SONUCU :

Açıklanan nedenlerle;

1. 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliği'nin İPTALİNE,

2. Ayrıntısı aşağıda gösterilen toplam 512,80TL yargılama giderinin davalı idareden alınarak davacıya verilmesine,

3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen 56.000,00 TL vekâlet ücretinin davalı idareden alınarak davacıya verilmesine,

4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,

5. Bu kararın tebliğ tarihini izleyen 30 (otuz gün) içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 15/04/2025 tarihinde oy çokluğuyla karar verildi.

Kaynak: hukukihaber.net

Son Dakika
  1. Bakan Şimşek hakkında ortaya atılan iddialar yalanlandı
  2. Fazladan ÖTV ödeyenler farkı geri alabilir mi?
  3. Bursa Uludağ Üniversitesi 32 Sözleşmeli Personel Alacak
  4. Milli Savuma Bakanlığı 3097 Sürekli İşçi Alacak
  5. Deutsche Bank: TCMB'den faiz indirimi bekliyoruz
Öne Çıkanlar
Üstünü eleştiren polise verilen disiplin cezası Anayasaya aykırı bulundu
Üstünü eleştiren polise verilen disiplin cezası Anayasaya aykırı bulundu
Anayasa Mahkemesinden 'ek gösterge' kararı
Anayasa Mahkemesinden 'ek gösterge' kararı
Çerez Politikası: Web sitemizde size daha iyi, kişiselleştirilmiş ve güvenli bir deneyim sunabilmek için çerezler kullanıyoruz. Çerezler; site kullanımınızı analiz etmek, içerikleri ve reklamları kişiselleştirmek, sosyal medya özellikleri sağlamak amacıyla kullanılabilir. Çerezler hakkında detaylı bilgi almak için Gizlilik ve Çerez Politikamızı inceleyebilirsiniz.