TASARLANMIŞ VE ÖNCEDEN TANIMLANMIŞ VERİ KORUMA İLE ZARARA KARŞI RİSK SORUMLULUĞU: KİŞİSEL VERİLERİ KORUMA KURULU’NUN 18 ŞUBAT 2019 TARİHLİ RESMİ GAZETE’DE YAYINLANAN KARARLARI NE ANLAMA GELİYOR?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15. maddesinin 6. fıkrası, Kişisel Verileri Koruma Kurumu’nun karar organı olan Kişisel Verileri Koruma Kurulu’na “ilke kararı” alma görev ve yetkisini vermiştir. Buna göre Kurul, şikayet üzerine veya resen yaptığı bir inceleme sonucunda ihlalin yaygın olduğunu tespit ederse, konuyla ilgili aldığı ilke kararı yayımlar. İhlalin yaygın olduğunun tespit edildiği konulara ilişkin olarak ilke karar alınması, Kurul’a verilen bir yetki türü olduğu kadar, Kurul’un görev kapsamına da girer.

Bu yetki ve görev kapsamında; Kişisel Verileri Koruma Kurulu bir çok farklı alanda ilke kararlar yayımlamış olup son olarak 18 Şubat 2019 tarihinde “Sağlık verilerini Kanununun 6’ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli, 2018/143 sayılı” kararını, “Kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulu’nun 26/07/2018 tarihli, 2018/91 sayılı” kararını ve “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması halinde, imha edilmemesi gerektiği hakkında Kişisel Verileri Koruma Kurulu’nun 28/06/2018 tarihli, 2018/69 sayılı” kararını ilke karar olarak yayımlamıştır.

Bu kararların özelliği, dikkatli okunduğunda, aslında hukuk sistemimizde olmayan ancak GDPR ile AB’nin gündemine gelen “tasarlanmış ve önceden tanımlanmış veri koruma” ile karşılaştırmalı hukukta var olan ülkemizde bugüne kadar kabul edilmeyen “risk sorumluluğu” kavramlarını hukuk sistemimize girmesinde öncü nitelikte olmasıdır.

Bu makalemde Kurul tarafından yayımlanan söz konusu kararları başta 6698 sayılı Kanun olmak üzere konuyla ilişkili diğer mevzuatları da göz önünde bulundurarak yukarıda belirtmiş olduğum kavramlar bağlamında ele alacağım.

I. “Sağlık Verilerini Kanun’un 6’ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” Kişisel Verileri Koruma Kurulu’nun 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı

Karar, sağlık verilerinin Kanun’un 6. maddesinde yer alan işleme şartlarından birine dayanmaksızın üçüncü kişilere aktarım yapılması hakkında olup doktor kontrolünde ilaç kullanan veri ilgilisinin özel nitelikli sağlık verisinin, ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanılmaksızın üçüncü kişilerle paylaşılması hususunda Kuruma yapılan şikayet başvurusu sonucunda verilmiştir.

Öncelikle belirtmek gerekir ki uyuşmazlık konusu sağlık verileri 6698 sayılı Kanun’un 6. maddesinin 1. fıkrasında da “Kişilerin (…) sağlığı (…) özel nitelikli kişisel veridir.” şeklinde belirtildiği üzere ulusal ve ulus üstü (sui generis)[1] düzenlemelerde özel nitelikli kişisel veri olarak düzenlenmiştir. 6698 sayılı Kanun’un 6. maddesinin 2. fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu belirtilmiş ve aynı maddenin 3. fıkrasında ise 1. fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Aynı zamanda 6698 sayılı Kanun’un 8. maddesinde ise 6. maddeye atıf yapılarak sağlık verilerinin aktarımı da aynı kurallara bağlanmıştır.

2018/143 sayılı Karar’da da; söz konusu bu düzenlemeler ve veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu gibi 6698 sayılı Kanun’un 12’nci maddesinde düzenlenmiş olan yükümlülükler göz önünde bulundurularak veri ilgilisinin somut olayda doktor kontrolünde ilaç kullanan kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, somut olayda ilaçları temin ettiği eczane tarafından 6698 sayılı Kanun’un 8. maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılması halinde Kanun’un 12. maddesinin 4. fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusunun 6698 sayılı Kanun’un 18. maddesi uyarınca sorumlu tutulacağı belirtilmiştir.

Kurul’un bu kararı hukuki açıdan oldukça yerinde olmakla birlikte; günlük hayatımızda sağlık verilerinin paylaşımı oldukça sık bir şekilde karşımıza çıkmaktadır. Sağlık verileri; kişinin kırılgan noktalarından birini oluşturması, ayrımcılığa tabi tutulması riskini barındırması, toplum sağlığını ilgilendirmesi, açıklanması halinde kişinin sağlık hizmetine erişimi engelleyebileceği vb. nedenlerle özel nitelikli kişisel veri kategorisinde yer almaktadır. Bu nedenle bu verilerin hukuka aykırı olarak işlenmesi hem temel hak ve özgürlüklerin ihlalini, hem suç hem de kişilik haklarına tecavüz oluşturur. Sağlık verilerinin 6698 sayılı Kanun kapsamında kural olarak açık rıza alınmaksızın işlenmesi ancak yukarıda belirtilen amaçlarla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum/kuruluşlar tarafından mümkündür. Burada “ve” bağlacından da açıkça anlaşılabileceği gibi sağlık verileri kanun tarafından yetkili kılınmış kişi/kurumlar tarafından kanunda sayılan amaçlar doğrultusunda işlenmesi halinde açık rıza aranmaksızın işlenebilecektir. Bu iki husustan birinin eksik olduğu durumlarda ise mutlaka açık rıza alınarak verinin işlenmesi gerekir. Aksi taktirde hukuka aykırı bir şekilde kişisel verilerin işlenmesi ve aktarımı söz konusu olacaktır.

Burada önemli olan bir diğer husus ise “sağlık verisi” olarak adlandırılan veri kategorisinin içeriği ve kapsamıdır; sağlık verisi kavramının tanımı Danıştay tarafından yürütmesi durdurulan “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik”[2] ile yapılmıştır. Yönetmeliğin “tanımlar” başlıklı 4. maddesinde, kişisel sağlık verileri “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetleriyle ilgili bilgileri” şeklinde tanımlanmıştır. Görüldüğü gibi yönetmelik sadece fiziksel sağlığa ilişkin değil ruhsal sağlığa ilişkin verileri de kapsamına almaktadır.

Yönetmelikteki bu tanımda “kişiye sunulan sağlık hizmetleriyle ilgili bilgiler”in de sağlık verisi olduğu hususu dikkat çekicidir. Buna göre, kişinin sağlık durumu, kullandığı ilaçlar veya hastalığı gibi sağlığına ilişkin bilgilerin yanı sıra hizmet aldığı sağlık birimi ve uygulanan herhangi bir tedavi aşaması bilgisi de sağlık verisi olarak kabul edilmektedir. Kaldı ki bu husus Kurul kararında da açıkça belirtilmiştir. Örneğin; nöroloji bölümünde tedavi gören hastanın hastalığı, tedavi süreci veya kullandığı ilaçlarıyla birlikte, hastanenin sunduğu nöroloji servis hizmeti bilgisi dahi, o kişinin sağlık verisidir. Öte yandan tek başına hastane adının bilinmesi dahi kimi zaman kişinin ruh dünyasında onarılamayacak zararlar doğurabilir. Bazı sağlık kuruluşlarının kadın doğum hastanesi ve çocuk hastanesi gibi uzmanlaşarak sadece belirli konularda hizmet verdiği bilinmektedir. Özellikle nüfus bakımından küçük ölçekli şehirlerde bu hastanelerde tedavi olmak isteyenlerin hastanenin adının bilinmemesini istemelerini doğal karşılamak gerekir.

Hastaya ait bilgilerin gizli tutulması hasta hakları ile ilgili bir konudur. Bu hususun 01.08.1998 tarih ve 23420 sayılı Resmi Gazete’de yayımlanan Hasta Hakları Yönetmeliği’nde (HHY) açık bir şekilde düzenlendiği görülür. “Bilgilerin Gizli Tutulması” konusu HHY’nin 23. maddesinde ifade edilmektedir. HHY hükümleri bilgilerin gizli tutulması ile ilgili bazı ilkeler öngörmüştür. Bilgilerin gizli tutulması zorunluluğu ile ilgili ilkeler şunlardır:

Gizlilik İlkesi: Yasal düzenlemede genel kural olarak tıbbi uygulama sürecinde edinilen hastaya ilişkin bilgiler gizli tutulmak zorundadır. Bu ilke gereğince, sağlık hizmetinin verilmesi sebebiyle edinilen hastaya ait tüm kayıt ve bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamayacaktır (HHY m. 23/1).

Bireylerin en mahrem bilgileri tıbbi uygulama sürecinde sağlık hizmeti veren özneler ile paylaşılmaktadır. Sağlık hizmeti veren öznelerin bu bilgileri gizli tutması gerekir. Bu gizlilik, kişinin sağlık durumu ile ilgili kendisine yönelik yapılabilecek olan ayrımcılığın önüne geçebilmek, hasta kişinin toplum önünde küçük düşmesini önlemek ve benzeri psikolojik, toplumsal ve hukuksal nedenlere dayanabilir.

Hukuki sorumluluk ilkesi: Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz (HHY m. 23/2).

Zarar görme ihtimali ilkesi: Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hem hukuki hem de cezai sorumluluğunu da doğuracaktır (HHY m. 23/3).

Araştırma/eğitim amacı ve onay ilkesi: Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri, rızası olmaksızın açıklanamaz (HHY m. 23/4). Tıp biliminin gelişmesi açısından tıp öğrenimi önemli bir konudur. Tıpla ilgili bilimsel bilginin ortaya çıkarılması ve tıp alanında gerekli teknik eleman sıkıntısının giderilmesi noktasında, yeni hekim adaylarına ve genç hekimlere tıbbın öğretilmesi gerekir.

İşte tıp biliminin gelişmesi amacıyla yapılan bu araştırma ve eğitim faaliyetleri sırasında da, hastanın bilgilerinin gizli kalması zorunludur. Yapılan araştırma ve eğitim faaliyetleri sırasında kişisel bilgiler dış aleme karşı gizli tutulmalı ve bu konuda gereken hassasiyet gösterilmelidir.

Önlem alma ve özen ilkesi: HHY’nin 5. maddesinde sağlık hizmetlerinin sunulmasında uyulması gereken ilkeler sayılmış olup (f) bendinde; kanun ile müsaade edilen haller ile tıbbi zorunluluklar dışında hastanın özel hayatının ve aile hayatının gizliliğine dokunulamayacağı, yönündeki emredici kurala yer verilmiş; Yönetmelik’in “Mahremiyete Saygı Gösterilmesi” başlıklı 21. maddesinde; her türlü tıbbi müdahalenin, hastanın mahremiyetine saygı gösterilmek suretiyle icra edileceği belirtilerek ölüm olayının dahi mahremiyetin bozulması hakkını vermeyeceğinin vurgulanmış; “Bilgilerin Gizli Tutulması” başlıklı 23. maddesinde ise; sağlık hizmetinin verilmesi sebebiyle edinilen bilgilerin, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamayacağı; kişinin rızasına dayansa bile kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanmasının, bunları açıklayanın hukuki sorumluluğunu kaldırmayacağı belirtilerek; araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgilerinin rızası olmaksızın açıklanamayacağı hususu ifade edilmiştir.

Temel insan hakları kapsamında yer alan hasta haklarının korunması için tıbbi uygulama sürecinde olan ve sağlık hizmeti veren öznelerin sağlık mevzuatı çerçevesinde hareket etmesi, hasta haklarının korunması için gereken özeni göstermesi ve bu özen gereği tüm önlemleri alması zorunluluğu vardır.

Tıbbi uygulama sürecinde, hekim ve sağlık personelinin hasta hakkında öğrendikleri bilgileri gizli tutma yükümlülüğü bulunmaktadır. Bu yükümlülük, tıp etiği kurallarına dayanmaktadır.

Hastanın özel hayatının ve aile hayatının gizliliğine dokunulamayacağı ilkesi: Kanun ile müsaade edilen haller ile tıbbi zorunluluklar dışında, hastanın özel hayatının ve aile hayatının gizliliğine dokunulamaz (HHY m. 5/f).

Hastaların özel hayatının gizliği iki ilke çerçevesinde değerlendirilmelidir:

- Birincisi, “saygı gösterme” yani müdahale etmeme ilkesi.

- İkincisi ise, “kişisel verilerin gizliliği ve bu verilerin korunması” ilkesidir.

Sağlık hizmeti veren kurum ve kuruluşlar ile sağlık personeli, hastaya ait tahlil sonuçlarının gizliliğini korumak zorundadır. Bu korumanın kapsamına ise sonuç ve raporları hasta dışında yetkisiz kişilerin erişimine engel olunması da dâhildir. AİHM’e göre de, sağlık verilerinin gizliliğine saygı gösterilmesi, Sözleşme’ye Taraf Devletlerin yasal sistemlerinde temel bir ilkedir[3].

Hastanın bilgilendirilmesinde gizlilik ilkesi: Hastanın bilgilendirilmesi de uygun ortamda ve hastanın mahremiyeti korunarak yapılmalıdır. (HHY m. 18/5)

Tıbbi kayıtlar, hastanın kişisel verileri niteliğindedir ve hasta bu bilgileri başkalarının bilmesini istemeyebilir. Örneğin; evli olmayan bir kadının hamile olduğuna, hastanın cinsel kimliğine ilişkin bilgiler bu türden bir nitelik taşır. Bu, genelde bireylerin toplum içinde kötü duruma düşme tehlikesi oluşturan durumlar için geçerli olabilir. Bundan başka, hastanın kendi tercihi ile yaptığı yasaklamalar da söz konusu olabilir. Hekim ve sağlık personeli, tıbbi uygulama sürecinde gizlilik ilkesine uymalı ve hastanın kişisel verilerini, başkalarının öğrenmemesi için gerekli özeni göstermelidirler.

Tıbbi kayıtlar, hastanın kişisel verileri niteliğinde olduğundan, bu bilgilerin hukuka aykırı bir şekilde açıklanması halinde 5237 sayılı TCK’nin 136 ve 137. maddeleri kapsamında tanımlanan suçlar oluşabilecektir.

Yukarıdaki açıklamalarım ve Kurul kararı doğrultusunda tüm kişilerin sağlıklarına ilişkin verilerin özel nitelikli kişisel veri kategorisinde kabul edildiği ve bu verilerin işlenmesinin özel nitelikli olmayan kişisel verilerden daha sıkı şartlara tabi tutulduğu göz önünde bulundurulmalı ve günümüzde temel bir hak olarak kabul edilen ve gerek uluslar arası gerekse ulusal düzenlemelerle koruma altına alınan bireylerin kişisel verilerinin korunması hakkı ve mahremiyet hakkı ihlal edilmemelidir.

Kişisel Verileri Koruma Kurul’u sağlık verilerinin işlenmesinde dikkat edilmesi gereken hususları ve 6698 sayılı Kanun’un söz konusu veriler açısından koruma kapsamının oldukça geniş olduğunu vermiş olduğu 2018/143 sayılı ilke karar ile de bir kez daha ortaya koymuş bulunmaktadır. Söz konusu karar özellikle sağlık verilerini işleyen Kurum ve Kuruluşlar açısından emsal niteliği teşkil etmektedir.

Bu karar ve daha önce kişisel sağlık verisi olmasa da benzer şekilde verilen kararlarda veri işleme ve veri aktarımda “sistemsel ve/veya yöntemsel bir hata” bulunmaktadır. Veri sorumlularının kasıtlı davranışları olmasa da bu tür davranışlar gerçekleşebilmekte ve veri ilgililerinin maddi ve manevi kayıplarına yol açabilmektedir. Bu tür uygulumaların önüne geçilmesi sonradan alınan önlemlerle oldukça zor olmaktadır. Bu nedenle GDPR’ın 25. maddesinde düzenlenen “tasarlanmış ve önceden tanımlanmış veri koruma” (data protection by design and by default) kuralı bu kararlara dayandırılarak hukukumuz için de geçerli sayılmalı ve GDPR’daki şekliyle uygulanmalıdır. Yapılacak bir kanun değişikliğinde de bu kural 6698 sayılı Kanun’a alınmalıdır. Uygulamada da veri sorumluları benzer sorunlarla karşılaşmamak için veri işleme süreçlerinin en başında süreçlerini tanımlarken veri işleme ilkelerine ve şartlarına dikkat ederek, daha en başta süreçlerini önceden buna göre tasaralamalı ve uygulamaya almalıdır. Özellikle “özel nitelikli kişisel verilerin”, bunların içerisinde de “sağlık verilerinin” işlenmesi konusunda bu ilkeye uyum sağlanmalıdır.

II. Kişisel Verileri Koruma Kurulu’nun “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı

2018/91 sayılı Karar kişisel verilerin hukuka aykırı erişilmesinin önlenmesi ile ilgili olup; hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, adı, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilere erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirket’ten aldığı cevabı yetersiz bulması neticesinde Kuruma başvuru yapması ve Kurum’un yapmış olduğu inceleme neticesinde vermiş olduğu ihlal kararıdır.

Belirtmek gerekir ki; 6698 sayılı Kanun’un 11. maddesinde “ilgili kişinin hakları” düzenlenmiştir. Söz konusu düzenlemede ve ilgili Kurul kararında da açıkça belirtildiği üzere; herkesin veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, aynı Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde de kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlenmektedir.

Diğer yandan 6698 sayılı Kanun’un 12’nci maddesinin birinci fıkrasında veri sorumlusuna; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbirleri almak zorunluluğu vb. yükümlülükleri yüklenmiştir.

Tüm bu hak ve yükümlülükler çerçevesinde değerlendirilecek olan Kurul kararındaki temel hususlar şunlardır:

Kurul kararında “Şikayetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikayete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları ile değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanun’un 12’nci maddesinin 1’inci fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından;…” şeklinde belirtilerek Şirket hakkında Kanun’un 18. maddesi uyarınca idari para cezasının uygulanmasına karar verilmiştir.

Söz konusu kararda değerlendirilmesi gereken husus; şirketin söz konusu sistemsel hatadan haberdar olur olmaz gerekli tedbiri almış olmasına rağmen Kurum tarafından neredeyse risk sorumluluğu kadar geniş bir kapsam göz önünde bulundurularak sorumlu tutulmuş olmasıdır. Hukuk sistemimizde genel olarak karşılaştırmalı hukukta aksi durumların varlığından söz edilebiliyor olsa da risk sorumluluğu “yaşam hakkı” kapsamında dahi kabul görmemektedir. Şu zamana kadar sadece idare hukukunda sosyal risk ilkesi gibi başlıklar altında çok sınırlı alanlarda risk sorumluluğunun kabul edildiğini görmekteyiz. Ancak 2018/91 sayılı Kurul kararında da açıkça ortaya konduğu üzere artık Kişisel Verilerin Korunması Hakkı kapsamında da risk sorumluluğu veri sorumlusunun somut olay kapsamında sorumluluğunun doğmasında yeterli görülmüştür.

Kanaatimce risk sorumluluğunun söz konusu alanda kabul edilmesinin en önemli sebebi Kişisel Verilerin Korunması Hakkını ihlalin çoğu zaman klasik hukuk sisteminde alışılagelmiş bir mağduriyet yaratmıyor olmasıdır. Klasik anlamda hukukumuzda kabul gören zarar kavramı çoğu zaman Kişisel Verilerin Korunması Hakkının ihlali sonucunda ortaya çıkan “zarar ve mağduriyeti” karşılayamamaktadır. Öte yandan veri işleyen ve bir şekilde bundan bir yarar sağlayan veri sorumlusu, bu verilerin işlenmesinden doğabilecek riskleri de üstlenmektedir. Nitekim 6698 sayılı Kanun’da da veri işleyenin yapmış olduğu işlemlerden veri sorumlusunun müştereken sorumlu olduğu düzenlenmektedir. Veri sorumlusunun, olabilecek en iyi veri işleyeni, en titiz biçimde seçtiğini ortaya koyması halinde dahi bu sorumluluktan kurtulması mümkün değildir. İşte bu düzenleme, bana göre, Kişisel Verileri Koruma Hukuku’nda risk sorumluluğunun kabul edildiğinin pozitif dayanağını oluşturmaktadır. Nitekim bu benzeri kararlar da Kurul’un sorumluluk kapsamını bu kadar geniş yorumlamasının buna dayandığını düşündürmektedir. Görüldüğü üzere bu hukuk disiplini, hukukun yerleşik kavram ve uygulamalarını etkilemektedir.

Karar’da aynı zamanda “şikayetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılmaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15’nci maddesinin 5’nci fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikayetçiye iletilmesi yönünde talimatlandırılmasına” karar verilmiştir. Bu karar ile birlikte veri sorumlularına sadece para ceza uygulamamış aynı zamanda veri sorumlusuna belirli bir yönde hareket etmesi yönünden de talimat verilmiş olup söz konusu talimatın uygulanması için verilecek süre de 30 gün olarak belirlenmiştir. Ayrıca talimata uyulduğuna dair şikayetçiye yapılacak bildirimi yeterli görülmeyip veri sorumlusuna, bu bildirimi tevsik edici belgeler sunulması yükümlülüğü getirilmiştir. Söz konusu karar ile Kurul tarafından para cezalarının yanında bu şekilde cezai yaptırımlar da uygulanacağı ve bu yaptırımların bizzat Kurum tarafından denetlemesinin ve takibinin gerçekleştirileceği hususu ortaya konulmuştur.

Kurul’un vermiş olduğu 24.01.2019 tarih ve 2019/10 sayılı kararında da veri sorumlusu tarafından Kurula haklı bir gerekçe ile bildirim yapılması, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması için veri sorumlularına 72 saatlik bir süre verilmiş olup her iki karar ve ilgili mevzuat bir arada değerlendirildiğinde; veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması, 6698 sayılı Kanunun 15. maddesi gereğince de Kurul’un vermiş olduğu ihlal kararını kendisine tebliğinden itibaren 30 gün içerisinde kararın gereğini yerine getirmesi ve bunu yine aynı süre içerisinde tevsik edici belgelerle veri ilgilisine bildirilmesi gerekmektedir.

2018/91 sayılı Karar ile veri sorumlularının uygulanan yaptırımlara uyup uymadığının Kurum’un denetim ve gözetimi altında tutulacağı ve kanunda öngörülmüş olan sistem etkili bir şekilde uygulamaya konulmuştur. Kişisel verilerin korunması hakkının ihlalinin ortadan kaldırılması için veri sorumlularına yeni bir takım yükümlülükler getirmesi açısından önemli olup denetim mekanizmasını güçlendirici bir etkiye sahiptir.

Ayrıca bir önceki karara ilişkin açıklamalarda belirtmiş olduğum üzere burada sistemsel bir hata vardır ve Kurul’un vermiş olduğu karar ile “tasarlanmış ve önceden tanımlanmış veri koruma” (data protection by design and by default) kuralı burada da uygulanmıştır. Dolayısıyla doğrudan bir normatif dayanağı olmasa da söz konusu kural veri işlemenin genel ilkelerinden yola çıkılarak Kurul tarafından kabul edilmekte ve verilen Karar ile uygulanmaktadır.

III. Kişisel Verileri Koruma Kurulu’nun “Sicil dosyasındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı

Karar, sicil dosyalarındaki kişisel verilerin imha edilmesi ile ilgili olup devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme – soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru sonucunda verilmiş bir ilke kararıdır.

Karar’da da açıkça belirtildiği üzere; 6698 sayılı Kişisel Verilerin Korunması Kanununun 7. maddesinde verilerin yok edilmesi, silinmesi ve anonimleştirilmesine ilişkin hükümlere yer verilmiştir. Ayrıca bu konuda bir de yönetmelik çıkarılmıştır.

657 sayılı Devlet Memurları Kanunu’nun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109. maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Tüm bunlara ek olarak Devlet Arşiv Hizmetleri Hakkında Yönetmelikte ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun hükümlerinde de özlük dosyalarının saklanması hüküm altına alınmış ve ayrıca Bakanlıklar, Genel Kurmay Başkanlığı, TBMM, Cumhurbaşkanlığı 3473 sayılı Kanun kapsamında kanuni mükellefler olarak değerlendirilmektedir. Bu kapsamda mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı, ayrıca “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19’uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemelerinin “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Kurul tüm bu hususlar kapsamında yaptığı değerlendirme sonucunda; “Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme – soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme – soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanun’un 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna” karar vermiştir.

2018/69 sayılı Kurul kararının Silinme Hakkı kapsamında değerlendirilmesinin yerinde olacağı kanaatindeyim.

Teknolojinin ilerlemesi ile birlikte bilgiye ulaşım ve ulaşılabilen bilgisinin yok olmasını önlemek oldukça kolay bir hale gelmiştir. Bu ilerlemeyle siyasal, sosyal ve ekonomik alanlarda oldukça hızlı bir değişim meydana gelmektedir. Söz konusu değişim kişilerin hak ve özgürlüklerini de doğrudan etkilemektedir. Teknolojik ilerlemelerin, bilgiye ulaşımın kolaylaşmasının bireylerin hayatı üzerindeki olumlu etkileri bulunmakla birlikte bir o kadar da olumsuz etkileri bulunmaktadır. Teknolojik ilerlemenin, bilgiye ulaşmanın ve bilginin yok olmasını önlemenin kolaylaşmasının bireyler üzerindeki olumsuz etkisi sıklıkla söz konusu gelişmelerin bireyin temel hak ve özgürlüklerine müdahale teşkil etmesi aşamasında meydana gelmektedir.

Bu kapsamda temel hak ve özgürlükler arasında en fazla müdahaleye maruz kalan ve belki de en çok ihlal edilen hak bireyin kişisel verilerinin korunması ve mahremiyet hakkıdır. Söz konusu gelişmeler bireyin mahremiyet hakkının sürekli ihlal edilir hale gelmesine sebep olmaktadır. İletişim teknolojilerinin gelişmesiyle bireylerin kendi aralarındaki ve dünya ile arasındaki sınırlar kalkmakta ve bireyin kişisel verileri ile mahremiyet alanı daha da görünür ve ulaşılabilir hale gelmektedir. İlk olarak unutulma hakkı tüm bu konjonktürün bir sonucu olarak gündeme gelmiştir. Daha sonra bu hak Kişisel Verileri Koruma Hukuku kapsamında “silinmeyi talep hakkına” evrilmiştir.

GDPR öncesindeki düzenlemelerde açık ve münhasır bir hak olarak yer almayan silinme hakkı, ilk olarak ABAD’ın Google Spain kararında dile getirilmiş ve daha sonraki aşamada da GDPR’da söz konusu hakka yer verilmiştir. Söz konusu kararda ABAD, kişinin ismiyle yayınlanmış kişisel verilerinin geçersiz veya ilgisiz hale gelmesinde sonra ve artık bu bilgilerin işlenmesinin meşru bir amaç için gerekli olmadığı bu nedenle kişisel verilerin silinmesi gerektiğine karar vermiştir.

Bu kapsamda aşağıdaki hallerden birinin geçerli olması durumunda, veri sorumlusunun kişisel verileri herhangi bir gecikme olmaksızın silme yükümlülüğü söz konusudur:

- Kişisel verilerin toplanma veya işlenme amacıyla ilişkili olarak artık gerekli olmaması,

- Veri sahibinin işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka yasal bir gerekçe bulunmaması,

- Veri sahibinin, işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması,

- Kişisel verilerin yasa dışı biçimde işlenmiş olması,

- Veri sorumlusunun tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin işlenmesinin zorunlu olması,

- Kişisel verilerin GDPR’ın 8(1) maddesinde atıfta bulunulan bilgi toplum hizmetlerinin sağlanması ile ilgili toplanmış olması.

Aynı şekilde GDPR ile silinmenin talep edilebilmesi hakkına bazı sınırlamalar da getirmiştir:

- İfade ve bilgi edinme hakkının kullanılması,

- Veri sorumlusunun tabi olduğu Birlik veya üye devlet hukuku çerçevesinde işleme faaliyeti gerektiren bir yasal yükümlülüğe uygunluk açısından veya kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya veri sorumlusuna verilen resmi bir yetkinin uygulanması açısından,

- Halk sağlığı alanındaki kamu yararı sebepleri nedeniyle,

- Silinme hakkının ilgili işleme hedeflerinin yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde, kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda veya

- Yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması

halinde silinme talep edilemeyecektir.

Silinme hakkının unutulma hakkından farklı olarak yalnızca hukuka aykırı işleme, artık işleme amacının gereksiz hale gelmesi gibi belirli durumların varlığı halinde söz konusu olduğu göz önünde bulundurulmalıdır.

6698 sayılı Kanun’un 7. ve 11. maddesinde bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde veri ilgilisinin kişisel verilerinin silinmesini talep etme hakkını ve ayrıca veri ilgilisinin talebi olmasa dahi koşullar veri sorumlusu tarafından re’sen gözetilerek kişisel verinin işlenmesini gerektiren sebebin ortadan kalkması halinde veri sorumlusu tarafından silinme yükümlülüğünü düzenlenmiştir.

Tüm bu açıklamalar doğrultusunda Kurul’un 2018/69 sayılı Kararı ile veri ilgilisinin kişisel verilerinin silinmesini talep etme hakkının sınırlarının olduğu, somut olayda verilerin hukuka uygun olarak işlenip işlenmediği ve işlenmesinde hala geçerli sebeplerin söz konusu olup olmadığı hususları değerlendirilmiş olup somut olayın özellikleri göz önünde bulundurulduğunda sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalmadığı tespit edilerek, veri ilgilisinin kişisel verilerinin silinmesini talep etme hakkının şikayete konu olay bakımından uygulama alanı bulmayacağı yönünde karar verilmiştir.

Tüm bu açıklamalar doğrultusunda kişilerin verilerinin silinmesini talep etme hakkının temel olduğu ancak söz konusu hakkında belirli sınırlamaları olduğu hususu göz önünde bulundurulmalı ve her olay bakımından yapılacak değerlendirme ile hak ve yükümlülükler arasındaki denge sağlanmalıdır. İşte bu noktada yukarıda belirtmiş olduğumuz ilgili mevzuattaki “yüz bir yıllık” sürenin yeniden gözden geçirilmelidir. Acaba devletin sicil kayıtlarını tutmakla güttüğü amaç ve elde ettiği yarar ile kişisel verileri bu kadar uzun süre tutulan ve işlenen kişilerin gördüğü zararlar arasında bir denge ve orantı var mıdır? Bu sorunun yanıtı ancak söz konusu sicil arşvinin hangi amaçla ve hangi hallerde kullanıldığının doğru ve şeffaf bir şekilde yanıtlanmasıya verilebilir. Kurul’un vermiş olduğu karar normatif düzenleme açısından hukuka uygundur ancak olması gereken hukuk açısından ise durum tartışmalıdır.

Sonuç

Yukarıda Kişisel Verileri Koruma Kurulu tarafından verilen “Sağlık verilerini kanunun 6’ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında” 05/12/2018 tarihli ve 2018/143 sayılı Karar, “Kişisel verilere hukuka aykırı erişilmesini önlem yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında” 26/07/2018 tarihli ve 2018/91 sayılı Karar ve “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” 28/06/2018 tarihli ve 2018/69 sayılı Karar’ı ayrıntılı olarak değerlendirmeye çalıştım. Söz konusu değerlendirme çerçevesinde ulaştığım sonuçlar şunlardır:

- Kişisel Verileri Koruma Kurulu sağlık verilerinin işlenmesinde dikkat edilmesi gereken hususları ve 6698 sayılı Kanun’un söz konusu veriler açısından koruma kapsamının oldukça geniş olduğunu, vermiş olduğu 2018/143 sayılı ilke karar ile bir kez daha ortaya koymuş bulunmaktadır. Söz konusu karar özellikle sağlık verilerini işleyen Kurum ve Kuruluşlar açısından emsal niteliğindedir.

- Bu karar ve daha önce kişisel sağlık verisi olmasa da benzer şekilde verilen kararlarda veri işleme ve veri aktarımda “sistemsel ve/veya yöntemsel bir hata” bulunmaktadır. Veri sorumlularının kasıtlı davranışları olmasa da bu tür davranışlar gerçekleşebilmekte ve veri ilgililerinin maddi ve manevi kayıplarına yol açabilmektedir. Bu tür uygulumaların önüne geçilmesi sonradan alınan önlemlerle oldukça zor olmaktadır. Bu nedenle GDPR’ın 25. maddesinde düzenlenen “tasarlanmış ve önceden tanımlanmış veri koruma” (data protection by design and by default) kuralı bu kararlara dayandırılarak hukukumuz için de geçerli sayılmalı ve GDPR’daki şekliyle uygulanmalıdır. Yapılacak bir kanun değişikliğinde de bu kural 6698 sayılı Kanun’a alınmalıdır.

- Uygulamada da veri sorumluları benzer sorunlarla karşılaşmamak için veri işleme süreçlerinin en başında süreçlerini tanımlarken veri işleme ilkelerini ve şartlarına dikkat ederek, daha en başta süreçlerini önceden buna göre tasaralamalı ve uygulamaya almalıdır. Özellikle “özel nitelikli kişisel verilerin”, bunların içerisinde de “sağlık verilerinin” işlenmesi konusunda bu ilkeye uyum sağlanmalıdır.

- Kurul tarafından verilen 2018/91 sayılı Karar ile veri sorumlusunun yükümlülük ve sorumlulukları oldukça geniş yorumlanmaktadır.

- Söz konusu Karar ile veri sorumlularının uygulanan yaptırımlara uyup uymadığının Kurum’un denetim ve gözetimi altında tutulacağı ve kanunda öngörülmüş olan sistemin Kurul tarafından etkili bir şekilde uygulanmaya başladığı anlaşılmaktadır.

- Klasik anlamda hukukumuzda kabul gören zarar kavramı çoğu zaman Kişisel Verilerin Korunması Hakkının ihlali sonucunda ortaya çıkan “zarar ve mağduriyeti” karşılayamamaktadır. Öte yandan veri işleyen ve bir şekilde bundan bir yarar sağlayan veri sorumlusu, bu verilerin işlenmesinden doğabilecek riskleri de üstlenmektedir. Nitekim 6698 sayılı Kanun’da da veri işleyenin yapmış olduğu işlemlerden veri sorumlusunun müştereken sorumlu olduğu düzenlenmektedir. Veri sorumlusunun, olabilecek en iyi veri işleyeni, en titiz biçimde seçtiğini ortaya koyması halinde dahi bu sorumluluktan kurtulması mümkün değildir. İşte bu düzenleme, bana göre, Kişisel Verileri Koruma Hukuku’nda risk sorumluluğunun kabul edildiğinin pozitif dayanağını oluşturmaktadır. Nitekim bu benzeri kararlar da Kurul’un sorumluluk kapsamını bu kadar geniş yorumlamasının buna dayandığını düşündürmektedir. Görüldüğü üzere bu hukuk disiplini, hukukun yerleşik kavram ve uygulamalarını etkilemektedir.

- 2018/91 sayılı Kararın kişisel verilerin korunması hakkının ihlalinin ortadan kaldırılması için veri sorumlularına tevsik edici belgelerle bildirim yapmak gibi yeni bir takım yükümlülüklerin getirilmesi açısından önemli olup denetim mekanizmasını güçlendirici bir etkiye sahip olduğu görülmektedir.

- 2018/69 sayılı Karar çerçevesinde; kişilerin verilerinin silinmesini talep etme hakkının temel ancak söz konusu hakkında belirli sınırlamaları olduğu, hukuka uygun olarak işlenmiş ve işlenmesini gerektiren sebebin var olmaya devam ettiği hallerde veri ilgilisinin kişisel verisinin silinmesi talebinin gerçekleştirilmeyebileceği anlaşılmaktadır.

- Kişilerin verilerinin silinmesini talep etme hakkının temel olduğu ancak söz konusu hakkında belirli sınırlamaları olduğu hususu göz önünde bulundurulmalı ve her olay bakımından yapılacak değerlendirme ile hak ve yükümlülükler arasındaki denge sağlanmalıdır. İşte bu noktada yukarıda belirtmiş olduğumuz ilgili mevzuattaki “yüz bir yıllık” sürenin yeniden gözden geçirilmelidir. Acaba devletin sicil kayıtlarını tutmakla güttüğü amaç ve elde ettiği yarar ile kişisel verileri bu kadar uzun süre tutulan ve işlenen kişilerin gördüğü zarara arasından bir denge ve orantı var mıdır? Bu sorunun yanıtı ancak söz konusu sicil arşinin hangi amaçla ve hangi hallerde kullanıldığının doğru ve şeffaf bir şekilde yanıtlanmasıya verilebilir. Ancak Kurul’un vermiş olduğu karar normatif düzenleme açısından hukuka uygundur, olması gereken hukuk açısından ise durum tartışmalıdır.

.

Doç. Dr. Murat Volkan Dülger*

.

--------------------------------------------

* Akademisyen / Avukat.

[1] Bkz: GDPR m. 9.

[2] Söz konusu yönetmelik 20 Ekim 2016 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 6 Temmuz 2017 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hakkında yürütmenin durdurulması kararı verilmiştir (Danıştay 15. D. 2016/10488, 2016/10500 YD. T. 06.07.2017). 24 Kasım 2017 tarihinde, belirtilen yürütmenin durdurulması kararı da göz önünde bulundurularak Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik, 30250 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 9 Ekim 2018 tarihinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik hakkında yürütmenin durdurulması kararı verilmiştir (Danıştay 15. D. 2018/1490 YD. T. 09.10.2018). Yönetmelik ve yürütmeyi durdurma kararlarına ilişkin süreç hakkında ayrıntılı bilgi için bkz: Murat Volkan Dülger, “Kişisel Sağlık Verileri Yönetmeliğinin Yürütmesinin Durdurulmasına İlişkin Danıştay’ın 9.10.2018 Tarihli Kararına İlişkin Değerlendirme”; www.academia.edu.tr.

[3] Bkz: Z. v. Finlandiya, Başvuru No. 22009/93, 25 Şubat, 1997; S. ve Marper v. Birleşik Krallık, Başvuru No. 30562/04 ve 30566/04; M.S. v. İsveç, Başvuru No. 74/1996/693/885, 27 Ağustos 1997; Uslu v. Türkiye (No. 2), 23815/04, 20 Ocak 2009;

[4] Hasta Bilgilerinin Gizli Tutulmasına Dair İlkeler, Hukuki Haber, 10 Temmuz 2018 https://www.hukukihaber.net/hasta-bilgilerinin-gizli-tutulmasina-dair-ilkeler-makale,5960.html , son erişim tarihi 22 Ocak 2019.