Anayasa Mahkemesi’nin 2018/118 E. ve 2023/180 K. sayılı 26/10/2023 tarihli kararı ile 1 Numaralı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi’nin (“Kararname”) çeşitli hükümleri, Anayasa’nın 20. maddesi uyarınca güvence altına alınan kişisel verilerin korunmasını isteme hakkı kapsamında iptal edildi. İptal edilen ilgili hükümler kısaca şu şekildedir:

  1. Kararname’nin 8. maddesinin f bendi kapsamında, Personel ve Prensipler Genel Müdürlüğü’nün görevlerinden biri olarak düzenlenen aşağıdaki hükümdeki “bilgi toplamak” ifadesi iptal edildi. Bu kapsamda, kişisel verilerin korunmasını isteme hakkının; Anayasa’nın 20. maddesi uyarınca anayasal güvenceye bağlanmış olduğu, Personel ve Prensipler Genel Müdürlüğü’nün ilgili görevi göz önünde bulundurulduğunda; devletin sevk ve idaresinde görevli üst kademe yöneticileri hakkında toplanacak bilgilerin önemli ölçüde kişisel veri niteliği taşıyan çeşitli bilgilerden oluşacağı, kuralın kişisel verilere ilişkin bir düzenleme olması nedeniyle Kararname ile düzenlenemeyecek yasak alan dahilinde olduğu vurgulanarak iptaline karar verildi.

Personel ve Prensipler Genel Müdürlüğü

MADDE 8 – (1) Personel ve Prensipler Genel Müdürlüğünün görevleri şunlardır:

  1. f) Devletin sevk ve idaresinde görevli üst kademe yöneticileri hakkında bilgi toplamak, sicil özetlerini ve biyografilerini tutmak,

…”

  1. Cumhurbaşkanlığı politika kurullarının çalışma usul ve esaslarını düzenleyen Kararname’nin 33. maddesinin 3. fıkrası kapsamında “her türlü bilgi ve belgeyi” ibaresi nedeniyle ilgili fıkra iptal edildi. Kuralın kişisel verilere ilişkin bir düzenleme olması nedeniyle Kararname ile düzenlenemeyecek yasak alan dahilinde olduğu vurgulanarak iptaline karar verildi.

Kurulların çalışma usul ve esasları

MADDE 33 –

(3) Kurullar, kendi görev alanlarıyla ilgili olarak her türlü bilgi ve belgeyi ilgili bakanlıklar ile kamu kurum ve kuruluşlarından talep edebilir. Söz konusu talepler kurum ve kuruluşlarca öncelikle değerlendirilir.

…”

  1. Kurulların bilgi toplama ve sır saklama yükümlülüğünü düzenleyen, Kararname’nin 36. maddesinin 1. fıkrası kapsamında “gerekli olan bilgileri” ibaresi nedeniyle ilgili madde tamamıyla iptal edildi. Kuralın kişisel verilere ilişkin bir düzenleme olması nedeniyle Kararname ile düzenlenemeyecek yasak alan dahilinde olduğu vurgulanarak iptaline karar verildi.

Bilgi toplama ve sır saklama yükümlülüğü

MADDE 36 – (1) Kurullar, görevleri ile ilgili olarak gerekli olan bilgileri bütün kamu kurum ve kuruluşlarından istemeye yetkilidir. Kendilerinden bilgi istenen bütün kamu kurum ve kuruluşları bu bilgileri vermekle yükümlüdürler.

(2) Bu şekilde elde edilen bilgilerden ticari sır niteliğinde olanların gizliliğine uyulur.

(3) Kurulların başkan ve üyeleri ile personeli, görevlerini yerine getirmeleri sırasında edindikleri, kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgileri, kişisel verileri, gizlilik taşıyan bilgileri, ticari sırları ve bunlara ait belgeleri, bu konuda mevzuat gereği yetkili kılınan mercilerden başkasına açıklayamaz, kendilerinin veya üçüncü kişilerin yararına kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.”

  1. Kararname’nin onüçüncü bölümü kapsamında, Sağlık Bakanlığı’nın bilgi toplama, işleme ve paylaşma yetkisini düzenleyen 378. maddesi, kuralın sağlık hizmetleriyle ilgili olarak kişisel verilerin toplanmasına, işlenmesine, aktarılmasına, bu kişisel verilere erişim sisteminin kurulmasına, sistemin güvenliğinin sağlanmasına ilişkin düzenlemeler içermesi nedeniyle Kararname ile düzenlenemeyecek yasak alan dahilinde olduğu vurgulanarak iptal edildi.

“Bilgi toplama, işleme ve paylaşma yetkisi

MADDE 378 – (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanununda öngörülen şartlar dışında aktarılamaz.

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, ilgili mevzuat uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.

(6) Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir.”

Karar kapsamında iptal edilen ibare, bent, fıkra, cümle, bölüm ve maddelerin neden olduğu hukuki boşluğun doldurulabilmesi adına karar kapsamındaki bazı iptal hükümlerinin, kararın Resmî Gazete’ de yayımlanmasından başlayarak 9 ay sonra yürürlüğe gireceği kararlaştırılmıştır.