DANIŞTAY 10. DAIRE

Danıştay 10. Daire Başkanlığı         2022/659 E.  ,  2025/2024 K.
"İçtihat Metni" T.C.
D A N I Ş T A Y
ONUNCU DAİRE
Esas No : 2022/659
Karar No : 2025/2024

DAVACI : ... Barosu Başkanlığı
VEKİLİ : Av. ...

DAVALI : ... Başkanlığı / ...
VEKİLİ : Av. ...

DAVANIN_KONUSU: Davacı tarafından; 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programı'nın "Başvuru" başlıklı 7.2. maddesinin hukuka aykırı olduğu iddiasıyla iptali istenilmektedir.

DAVACININ_İDDİALARI : Davacı tarafından, subjektif ehliyetinin bulunduğu, dava konusu düzenlemede sadece hukuk fakültesi mezunlarının değil tüm fakülte mezunlarının veri koruma görevlisi sertifika sınavına katılabileceklerinin düzenlendiği, 6698 sayılı Kanunda yer alan veri işleme ilkelerinin her kişisel veri işleme faaliyeti için irdelenmesinin hukuki yönden bir incelemeyi gerektirdiği, dava konusu Belgelendirme Programının “Öğrenme Çıktıları” başlıklı 6.5. maddesi incelendiğinde, veri koruma görevlisi olarak ifade edilen kişilerin kişisel verilerin korunması hukuku ve Kişisel Verilerin Korunması Kanunu'na uyum alanında danışmanlık faaliyeti vermek üzere yetiştirilmeye çalışıldığının anlaşıldığı, Avukatlık Kanunu'nun 35. maddesinin avukatın tekel hakkını düzenlediği, hukuki konularda danışmanlık yapmanın sadece avukatların yapabileceği iş ve işlemlerden olduğu, kişisel verilerin korunması alanı hukuk alanı olarak değerlendirilir ve veri koruma görevlisinin uzmanlık alanı ve yapacağı işler hukuk alanı içinde kalacak olursa avukatlar haricinde kimsenin bu alanda danışmanlık hizmeti vermesinin mümkün olmayacağı, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin Kurum tarafından yayınlanan düzenleyici işlem niteliğinde Program ile hukukçu bile olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu ileri sürülerek dava konusu düzenleyici işlemin iptali istenilmektedir.

DAVALININ_SAVUNMASI: Davalı idare tarafından, usul yönünden, menfaat ihlali şartı gerçekleşmeyen davacı Baronun dava açma ehliyeti bulunmadığı; esas yönünden, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği, bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, maddi kazanç sağlamaya yönelik olduğu, Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek amacıyla verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyonun sağlanmasının amaçlandığı, Kurum tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlisi programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ" hazırlandığı, Tebliğ ile eğitim ve sertifikanın doğru ve güvenilir kaynaklardan alınması ve kişisel verilerin korunmasına dair eğitim ve sertifika faaliyetlerinin Kurum tarafından regüle edilmesinin amaçlandığı, Tebliğ kapsamında belgelendirilmek üzere akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşuna müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, veri koruma görevlisi veya veri koruma görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla “Veri Koruma Görevlisi Belgelendirme Programı” hazırlandığı, dava konusu düzenlemelerin dayanağının 6698 sayılı Kanun’un 22/1-e maddesinde yer alan “Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak” düzenlemesi ile Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’nin 7/ı maddesinde yer alan “Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek” düzenlemesi olduğu, Tebliğ kapsamında yapılacak sertifikalandırma sonucunda kazanılacak unvanın Avrupa Birliği Genel Veri Koruma Tüzüğünde düzenlenen Data Protection Officer (DPO) unvanı ile benzer işleve sahip olacağı algısının yanlış olduğu, Avrupa Birliği Genel Veri Koruma Tüzüğünde veri sorumluları ve veri işleyenlerin veri koruma mevzuatı kapsamındaki yükümlülüklerini gereği gibi yerine getirebilmek için bu konuda yetkinliğe sahip bir kişiyi DPO olarak veri koruma mevzuatına uyum ile ilgili süreçlere dahil etme zorunlulukları olduğu, DPO olabilmek için bir sertifikasyon mekanizması kapsamında sertifika sahibi olunması zorunluluğu bulunmadığı, 6698 sayılı Kanun'da ise veri sorumluları ve veri işleyenler bakımından Kanuna ve ikincil mevzuata uyum çalışmaları kapsamında zorunlu olarak herhangi bir kişiyi istihdam etme veya hizmet alımı zorunluluğuna ilişkin düzenleme bulunmadığı, dava konusu Tebliğ ile düzenleme altına alınan sertifikasyon mekanizmasının da DPO’dan tamamen farklılık arz ettiği ve gönüllülük esasına dayandığı, veri sorumlusu ve veri işleyen tarafından veri koruma görevlisi istihdam edilmesinin veya bu kişilerden hizmet satın alınmasının tamamen isteğe bağlı olduğu, veri koruma görevlisinin yalnızca kişisel verilerin korunması mevzuatı açısında yeterli bilgiye sahip olduğu kabul edilen ve bu kapsamda yetkinliği gösterir bir sertifikaya sahip olan kişi olduğu, Tebliğ ile veri koruma görevlilerine herhangi bir yetki verilmediği, görev tanımı yapılmadığı, Tebliğde, veri koruma görevlisi unvanına sahip olacak kişilerin Avrupa Birliği Genel Veri Tüzüğünde düzenlenen DPO'ların ülkemiz hukukundaki karşılığı olarak düzenlenmediği, uyum çalışmalarında veri sorumlusu veya veri işleyeni bünyesinde faaliyet gösterebilmek için veri koruma görevlisi unvanını taşıma zorunluluğu bulunmadığı, davacının iddia ettiği gibi Avrupa Birliği Genel Veri Tüzüğünde yer alan DPO'ya benzer görev ve yetkileri haiz veri koruma görevlisi şeklinde 6698 sayılı Kanun'da yer almayan yeni bir unvanın ihdas edilmesinin söz konusu olmadığı, 6698 sayılı Kanun'un amacının, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, kişisel verilerin işleme şartlarının ve veri sorumlusunun yükümlülüklerinin, bu yükümlülüklere uyulmaması halinde uygulanacak idari yaptırımın düzenlendiği, veri sorumlusunun/veri işleyenenin, veri koruma görevlisi istihdam etmesi halinde Kanun'a ve mevzuata uyma zorunluluğunun ortadan kalkmadığı, veri sorumlusunun/veri işleyenin, veri koruma görevlisinden yardım almasının kendi inisiyatiflerinde olduğu, alınan bu yardımın danışmanlık olarak kabul edilemeyeceği, kişisel verilerin korunması mevzuatı kapsamında yeterli bilgiye sahip olduğu anlamına geleceği, veri koruma görevlisinden yardım alan veri sorumlusu/veri işleyenin, edinilen bilgilerin uygulamaya konulması noktasında bu bilgilerin doğruluğunu ve hukuka uygunluğunu her daim gözetmesi gerektiği, veri güvenliğine ilişkin ilkeler ile usul ve esaslara uyumu sağlayacak uygulamalar, hukuk alanında ve yazılım, bilgisayar teknolojileri, iktisadi ve idari bilimler veya veri sorumlusunun faaliyet gösterdiği diğer alanlarda bilgi sahibi olunması suretiyle hayata geçirilebileceği, hukuki analiz, inceleme ve değerlendirmelere ilave olarak diğer uzmanlık alanlarına yönelik de çalışmaların yapılması gerektiği, uluslararası alanda da benzer bir yaklaşımın benimsendiği, alan sınırlaması olmaksızın 4 yıllık lisans eğitimi veren fakültelerden mezun olan herkese Tebliğin gerekliliklerini yerine getirmek kaydıyla veri koruma görevlisi unvanının tanınmasının Avukatlık Kanunu’nun 35. maddesine aykırılık teşkil etmediği, Kişisel Verileri Koruma Kurumu bünyesinde istihdam edilen kişisel verileri koruma uzmanlarının da çeşitli fakültelerden mezun olanlar arasından atanmasının mümkün olduğu, kişisel verilerin korunması hukukunun multidisipliner bir alan olduğu belirtilerek davanın reddi gerektiği savunulmaktadır.

DANIŞTAY TETKİK HÂKİMİ: ...
DÜŞÜNCESİ : Dava konusu düzenlemenin iptaline karar verilmesi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI:...
DÜŞÜNCESİ :Dava, 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının "Başvuru" başlıklı 7.2. maddesinin iptali istemiyle açılmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla yayımlanmış, 20. maddesinde; Kurumunun görevleri; a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak, b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak, c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak, ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna sunmak, d) Kanunlarla verilen diğer görevleri yerine getirmek, olarak sıralanmış, 31. maddesinde de; bu Kanunun uygulanmasına ilişkin yönetmeliklerin Kurum tarafından yürürlüğe konulacağı hükme bağlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 22 nci ve 23 üncü maddesine dayanılarak Kişisel Verileri Koruma Kurulu Çalışma Usul Ve Esaslarına Dair Yönetmelik hazırlanmış, Kurulun görev ve yetkilerinin düzenlendiği 7. maddesinin 1/ı) bendinde; Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek, görevine yer verilmiştir.
Kurumun Kurul aracılığı ile yerine getirdiği görevler arasında, sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek görevinin de yer aldığı dolayısıyla bu konuların, uygulamada standartın sağlanması için normlar hiyerarşisine uygun olarak belirlenecek kriterler ve koşullar çerçevesinde kurallarla düzenlenebileceği kuşkusuzdur.
Dava konusu Kurul kararıyla 25/11/2021 tarihinde 2021/1178 sayısı ile "Veri Koruma Görevlisi Belgelendirme Programı" adıyla düzenleme yapılmış, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında belgelendirilmek üzere TS EN ISO/IEC 17024 standardına göre akredite edilmesi ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu'na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden değerlendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesi amacıyla bu Program hazırlanmıştır.
Bu Program 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanmış olan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğin kapsamını esas almış olmakla, her ne kadar Kurul kararı Tebliğin yayım tarihinden önce ise de, metnin Kurumun internet sayfasında yayımlanarak ilanının daha sonra gerçekleştiği anlaşılmaktadır.
Dava konusu Program başlıklı düzenlemede, Sertifikasyon: Kanun ve ilgili mevzuat çerçevesinde, sertifika almak için gereken şartları taşıyan ve sınavda başarılı olanların belgelendirilmesi işlemi, olarak tanımlanmış ve "Yeterlilik Şartları" 5. maddesinde; sınav tarihinden önceki son 4 yıl içerisinde Katılım Belgesi almış olanlar veya başvuru tarihinde geçerli bir Veri Koruma Görevlisi Sertifikasına sahip olanların sınava başvurabileceği, belirtilmiş, 7.2. maddesinde de; Veri Koruma Görevlisi Sertifika sınavına, yurt içindeki üniversitelerin veya diploma denkliği Yükseköğretim Kurulu tarafından onaylanmış olmak kaydıyla yabancı üniversitelerin, en az dört yıllık lisans eğitimi veren fakültelerinden mezun olanlardan sınav tarihinden önceki son 4 yıl içerisinde katılım Belgesi almış olan veya geçerli bir Veri Koruma Görevlisi Sertifikasına sahip olanların başvuru yapabileceği kurala bağlanmıştır.
Dava konusu İşleme dayanak oluşturan Tebliğ ise 06/12/2021 tarih ve sayılı Resmi Gazete'de; Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentlerini de dayanak almak suretiyle, (TS) EN ISO/IEC 17024 nolu Standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek amacıyla yayımlanmış ve 4. maddesinin i) bendinde; Sertifikasyon: Kanun ve ilgili mevzuat çerçevesinde, sertifika almak için gereken şartları taşıyan ve sınavda başarılı olanların belgelendirilmesi işlemini, n) bendinde; Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi, ifade edeceği, "Veri koruma görevlisi" başlıklı 6. maddesinin 1. fıkrasında; Katılım belgesini alan kişilerden sınavda başarılı olanların veri koruma görevlisi unvanını kullanmaya hak kazanacakları, kurala bağlanmıştır. Veri koruma görevlisi sertifikası sınavlarına başvuru koşullarının düzenlendiği 11. maddesinde de; (1) Sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlar veya geçerli bir veri koruma görevlisi sertifikasına sahip olanlar arasından programda belirlenen şartları haiz olanlar veri koruma görevlisi sertifikası sınavına başvurmaya hak kazanacakları, (2) Personel belgelendirme kuruluşunun, bu madde kapsamında gelen başvuruların bu Tebliğde belirtilen ve programda belirlenen şartlara uygun olup olmadığının kontrolü ile sınav başvurusuna ilişkin iş ve işlemleri yürütme hususunda gerekli dikkat ve özeni göstermekle yükümlü olduğu kuralı getirilmiştir.
23/12/2021 tarih ve 2021/1296 sayılı Kurul kararı ile Katılım Belgesinin Verilmesine İlişkin Usul ve Esaslar başlıklı düzenleme yapılmış, temel eğitimin Kurum tarafından belirlenen yöntemlerle düzenleneceği belirtilmiş, Temel Eğitime Katılım başlığıyla 6. madde, Temel Eğitimin Prensipleri başlığıyla 7. madde, Sınav başlığıyla 8. madde düzenlenmiştir.
Yukarıda yer verilen Tebliğ hükümlerinde Katılım belgesini alan kişilerden sınavda başarılı olanların veri koruma görevlisi unvanını kullanmaya hak kazanacakları ve sertifikasyon sınavına, sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlar veya geçerli bir veri koruma görevlisi sertifikasına sahip olanlar arasından sertifikasyon sınavına başvurunun mümkün olacağı belirtilmiş olmakla, sertifikasyon sınavına başvuracakların iki belge sahibi olanlar arasından yani ya katılım belgesi ya da sertifika sahibi olanlar olarak sınırlandırıldığı görülmekte, ancak bu iki belge sahibi olabilmek için aranılan koşulları da taşımanın gerekliliği vurgulanmış olmaktadır. Dolayısıyla Tebliğ ile sınava başvurmanın şartları belirlenirken üçüncü bir şart getirilmemiştir.
Davalı Kurum ve Kurulun, Yasa ve Yönetmelik hükümlerine istinaden düzenleme yapma konusunda yetkisi bulunduğu tartışmasız olmakla birlikte, normlar hiyerarşi çerçevesinde bir üst düzenlemeyle belirlenmeyen şartın bir alt düzenleme ile getirilmesi mümkün bulunmamaktadır. Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile veri katılım belgesi alan kişilerden sınavda başarılı olanların veri koruma görevlisi olacağı başka bir şart aramaksızın belirlenirken, sertifika sınavına başvuru koşullarının da sınav öncesi 4 yıl içinde katılım belgesi almış olma veya 4 yıl içinde alınmış olan sertifika sahibi olma olarak belirlendiği görülmektedir.
Tebliğin bu kuralında sertifika sahibi olanlardan tekrar başvuranlar için programda belirlenen şartların taşıması aranmış olsa da, kaybedilmemesi gereken koşulların sertifika düzenlenmiş olduğu tarihte aranılmış olan koşullar olacağı kuşkusuz olup, Tebliğde sınava başvuru için ayrıca bir 4 yıllık lisans mezunu olma şartı aranmadığı görülmekte, Kurul kararı ile Tebliğde sınava başvuru için aranmayan 4 yıllık lisans mezunu olma koşulunun normlar hiyerarşisine aykırı olarak getirilme olanağı bulunmadığı gibi Tebliğ ile yapılması gereken düzenlemenin Tebliğ de yer almadığı halde uygulamayı kolaylaştırmaya yönelik olarak yapılan bir düzenlemeye atfettiğinin kabulü ile normlar hiyerarşisine aykırı olarak yeni bir şartın Kurul kararı ile getirilebileceğinin kabulü mümkün bulunmamaktadır.
Kaldı ki Kurul tarafından temel eğitime katılım başlığı ile bir düzenleme yapılmış ise de, temel eğitime kimlerin başvurabileceği konusu düzenlenmemiş, bu husus açıklığa kavuşturulmamıştır.
Bu durumda, temel eğitime ya da sertifika sınavına başvuru için 4 yıllık lisans mezunu olma koşuluna dair Tebliğ de bir düzenleme yapılmamış olmasına karşın Kurul kararı ile Sertifika sınavı için yapılacak başvuruda aranılacak şartlar arasında 4 yıllık lisans mezunu olma şartının da getirilmesi dayanağı düzenleyici işlemi aşar nitelikte bulunmakta, dolayısıyla dava konusu Kurul kararının 7.2. maddesinde hukuka uyarlık bulunmamaktadır.
Açıklanan nedenlerle, dava konusu Kurul kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programının, "Başvuru" başlıklı 7.2. maddesinin iptali gerektiği, düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onuncu Dairesince duruşma için taraflara önceden bildirilen 15/04/2025 tarihinde, davacı Antalya Barosu Başkanlığı'nı temsilen Av....'ın geldiği, davalı idare Kişisel Verileri Koruma Kurumu'nu temsilen Av....'nın geldiği, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı.Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE :
MADDİ OLAY:
Davacı tarafından; 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programı'nın "Başvuru" başlıklı 7.2. maddesinin iptali istemiyle bakılmakta olan davanın açıldığı anlaşılmıştır.

USUL YÖNÜNDEN:
Davalı idare tarafından; davacı Baro'nun dava konusu Programın iptali istemiyle dava açma ehliyetinin bulunmadığı ileri sürülmüştür.
1136 sayılı Avukatlık Kanunu'nun 76. maddesinde; Baroların, avukatlık mesleğini geliştirmek, meslek mensuplarının birbirleri ve iş sahipleri ile olan ilişkilerinde dürüstlüğü ve güveni sağlamak, meslek düzenini, ahlâkını, saygınlığını, hukukun üstünlüğünü, insan haklarını savunmak ve korumak, avukatların ortak ihtiyaçlarını karşılamak amacıyla tüm çalışmaları yürüten, tüzel kişiliği bulunan, çalışmalarını demokratik ilkelere göre sürdüren kamu kurumu niteliğinde meslek kuruluşları olduğu belirtilmiştir.
Dava konusu Belgelendirme Programı ve dayanağı Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'de bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından,"veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) ve kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden kazanılacak "veri koruma görevlisi" unvanına dair usul ve esaslar yer almaktadır.
Davacı tarafından, dava konusu düzenlemenin; Avukatlık Kanunu'nun 35. maddesinde düzenlenen avukatın tekel hakkına aykırılık teşkil ettiği, kişisel verilerin korunması alanının bir hukuk disiplini olduğu, münhasır olarak avukatlara ait olan hukuki konularda danışmanlık yapma işinin dava konusu Program ile hukukçu olmayan 4 yıllık lisans mezunu herkese verilmeye çalışılmasının hukuka aykırı olduğu savıyla açılan davanın, bu özelliği itibarıyla Baro üyelerinin ortak çıkarlarının ve meslek düzeninin korunması ile ilgili bulunduğu açıktır.
Bu nedenle, hukukun üstünlüğünü ve üyelerinin ortak çıkarlarını koruma görevi ve yükümlülüğü bulunan davacı Baro Başkanlığının, dava konusu düzenlemenin değinilen niteliği gereği dava açma ehliyeti bulunmakta olup, davalı idarenin aksi yöndeki itirazının yerinde olmadığı sonucuna varılmaktadır.

ESAS YÖNÜNDEN;
İlgili Mevzuat:
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1.maddesinde, "(1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."; "Tanımlar" başlıklı 3.maddesinde, "(1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder."; "Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir."; "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12. maddesinde, "(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir."; "Veri Sorumluları Sicili" başlıklı 16. maddesinin 1. fıkrasında, "(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur."; 2. fıkrasında, "(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir."; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek..." düzenlemeleri yer almıştır.
Anılan Kanuna dayanılarak hazırlanan ve 30/12/2017 tarihli ve 30286 sayılı Resmi Gazete'de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin "Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri " başlıklı 11. maddesinde, " (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz. (2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur... (5) Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir." düzenlemesi yer almaktadır.
06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in "Amaç" başlıklı 1. maddesinde, "(1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir."; "Kapsam" başlıklı 2. maddesinde, "(1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar."; "Dayanak" başlıklı 3. maddesinde, "(1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır."; "Tanımlar" başlıklı 4. maddesinin 1. fıkrasında, "(1) Bu Tebliğin uygulanmasında;...ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,...n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,... ifade eder."; "Veri koruma görevlisi" başlıklı 6. maddesinde, "(1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar. (2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir. (3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir."; "Veri koruma görevlisi sertifikası sınavlarına başvuru" başlıklı 11. maddesinde, "(1) Sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlar veya geçerli bir veri koruma görevlisi sertifikasına sahip olanlar arasından programda belirlenen şartları haiz olanlar veri koruma görevlisi sertifikası sınavına başvurmaya hak kazanırlar.(2) Personel belgelendirme kuruluşu, bu madde kapsamında gelen başvuruların bu Tebliğde belirtilen ve programda belirlenen şartlara uygun olup olmadığının kontrolü ile sınav başvurusuna ilişkin iş ve işlemleri yürütme hususunda gerekli dikkat ve özeni göstermekle yükümlüdür." düzenlemesi yer almıştır.
Kişisel Verileri Koruma Kurulu'nun 25/11/2021 tarih ve 2021/1178 sayılı kararıyla yürürlüğe konulan ve davalı Kurumun resmi internet sayfasında 07/12/2021 tarihinde yayımlanan dava konusu "Veri Koruma Görevlisi Belgelendirme Programı"nın "Amaç" başlıklı 1. maddesinde, "Bu programın amacı, 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında belgelendirilmek üzere TS EN ISO/IEC 17024 standardına göre akredite edilmiş ve Kurum tarafından yetkilendirilmiş Personel Belgelendirme Kuruluşu’na müracaat eden adayların başvurularının değerlendirilmesi, sınavların yapılması ve değerlendirilmesi, Veri Koruma Görevlisi veya Veri Koruma Görevlisi adayının belgelendirilmesi veya yeniden belgelendirilmesi ve belgelendirme yöntemi ile ilgili bütün esasların belirlenmesidir."; "Kapsam" başlıklı 2. maddesinde, "Bu program, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ çerçevesinde yapılacak belgelendirme faaliyetlerini kapsar.
"; "Tanımlar" başlıklı 3. maddesinde, "...Veri Koruma Görevlisi (VKG): Sınavda başarılı olarak Veri Koruma Görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi
ifade eder."; "İş ve Görev Tanımı" başlıklı 4. maddesinde, "Katılım belgesine sahip kişilerden sınavda başarılı olanlar Veri Koruma Görevlisi sertifikası almaya hak kazanırlar. Veri Koruma Görevlilerinin sertifikalandırıldıkları işbu program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir."; "Öğrenme Çıktıları" başlıklı 6.5. maddesinde, "6.5.1. Kanunun amacını ve kapsamı bilir. 6.5.2. Kanunda yer alan temel kavramlara hâkimdir. 6.5.3. Kanunda yer alan genel/temel ilkeler ile kişisel veri işleme şartlarına hâkimdir. 6.5.4. Kişisel verilerin korunması alanında uluslararası mevzuatı bilir. 6.5.5. Silme, yok etme ve anonim hale getirme kavramlarının neler olduğunu ve hangi durumlarda uygulanması gerektiğini bilir. 6.5.6. Kişisel verilerin yurt içinde ve yurt dışına aktarım konusuna hâkimdir. 6.5.7. Aydınlatma yükümlülüğüne dair bilgi sahibidir. 6.5.8. İlgili kişinin hakları, veri sorumlusuna başvuru ve Kurula şikâyet konularına hâkimdir. 6.5.9. Veri güvenliğine ilişkin teknik ve idari tedbirler ve veri ihlal bildirim süreçleri hakkında neler yapılması gerektiğini bilir. 6.5.10. Veri Sorumluları Siciline Kayıt noktasında bilgi sahibidir. 6.5.11. Yaptırımlar, Kurumun yapısı, Kurul, tam ve kısmi istisnalar hakkında bilgi sahibidir."; "Başvuru" başlıklı 7.2. maddesinde, "Veri Koruma Görevlisi Sertifika sınavına, yurt içindeki üniversitelerin veya diploma denkliği Yükseköğretim Kurulu tarafından onaylanmış olmak kaydıyla yabancı üniversitelerin, en az dört yıllık lisans eğitimi veren fakültelerinden mezun olanlardan sınav tarihinden önceki son 4 yıl içerisinde Katılım Belgesi almış olan veya geçerli bir Veri Koruma Görevlisi Sertifikasına sahip olanlar başvuru yapabilir.
" düzenlemesine yer verilmiştir.

HUKUKİ DEĞERLENDİRME :
İdare Hukukunda "yetki", idareye Anayasa ve yasalarla tanınmış olan karar alma gücünü ifade etmektedir. İdari işlemin en temel unsurunu oluşturan "yetki", yasayla hangi makama verilmiş ise ancak onun tarafından kullanılabilir; ilke olarak "yetkisizlik kural, yetkili olma istisna"dır.
Anayasanın 123. maddesi uyarınca kuruluş ve görevleri yasayla düzenlenmek durumunda olan idare, kendi düzenleme yetkisini de yasalar çerçevesinde ve yasalara uygun olarak kullanmak zorundadır. Bu ilke, Anayasanın 124. maddesinde, "Cumhurbaşkanı, bakanlıklar ve kamu tüzelkişileri, kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla, yönetmelikler çıkarabilirler." hükmüyle ifade edilmiştir. Esasen bu husus, idarenin ikincil (tali) düzenleme yetkisinin doğal sonucudur.
Normlar hiyerarşisi kuramına göre, hukuk düzeni, farklı kademede yer alan Anayasa, kanun, yönetmelik ve diğer düzenleyici işlemlerden oluşan birçok normu içermekte ve her norm geçerliliğini bir üst basamakta yer alan normdan almaktadır. Hukukun genel ilkeleri arasında yer alan normlar hiyerarşisi gereği, kanundan sonra gelen yönetmelik, genelge, tebliğ, talimat gibi düzenlemelerin ancak kanunda verilmiş olan hakkın kullanılmasının açıklanması ile ilgili olacağı, bu metinlerde kanun ile verilmiş olan hakkı genişletici veya daraltıcı mahiyette hükümlere yer verilemeyeceği kabul edilmektedir.
Buna göre, idari teşkilat yapısı içinde yer alan Bakanlıklar ile diğer kamu kurum ve kuruluşları, görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasada belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahiptir.
Bir başka ifadeyle; tebliğ, genelge ve yönerge gibi düzenleyici işlemler; üst normların uygulanmasını göstermek amacıyla ve onlara aykırı hükümler içermemek şartıyla, yine üst normlarda gösterilen usul ve yöntemleri açıklayıcı hükümler taşıyan, yeni bir yöntem ve usul getirmeyen; dayanağı olan mevzuatta yer alan hükümler dışında yeni bir düzenleme içermeyen adsız düzenleyici işlemlerdir.
Uyuşmazlık; amacı, kapsamı, dayanağı ve düzenleme alanına yukarıda yer verilen Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliği ve bu Tebliğ kapsamında belgelendirme faaliyetlerini düzenlemek üzere yayımlanan Veri Koruma Görevlisi Belgelendirme Programını düzenleme konusunda yetki kullanan davalı idarenin bu yetkisinin yasal dayanağının bulunup bulunmadığı noktasındadır.
Dava konusu Belgelendirme Programı, dayanağı Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile bir bütün olarak, gerçek kişilerin, Kişisel Verileri Koruma Kurulu tarafından, kişisel verilerin korunması mevzuatı açısından yeterli bilgiyle donatılması amacıyla belirlenen Program esasları dahilinde katıldıkları eğitim sonucu girdikleri, Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen yetkili personel belgelendirme kuruluşu tarafından yapılacak sınavda başarılı olmaları halinde adlarına düzenlenecek sertifikalara istinaden "veri koruma görevlisi" unvanını kullanmaya hak kazanacaklarını öngörmektedir. Dolayısıyla, her iki düzenlemede de "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esaslar yer almaktadır.
Dava konusu Belgelendirme Programı, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında veri koruma görevlisi ve veri koruma görevlisi adaylarının belgelendirme faaliyetlerini düzenlemekte olup, anılan Tebliğin dayanağı olan 6698 sayılı Kanun'da "veri işleyen" ve "veri sorumlusu" dışında ayrı bir kavram olduğu anlaşılan "veri koruma görevlisi" tanımına yer verilmediği gibi, aynı Kanun'un 22. maddesinde "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna da bir görev verilmediği, anılan Kanun maddesinde yer alan "veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak" şeklindeki bendin, veri işleyen ile veri sorumlusunun "veri koruma görevlisi" istihdamı ya da bunlardan hizmet alımı mecburiyetinin olmaması ve Kanun'da yer almayan veri koruma görevlisinin veri güvenliğine ilişkin bir yükümlülüğünün de bulunmaması karşısında, Tebliğ ve Belgelendirme Programının yasal dayanağını teşkil edemeyeceği, yine "veri koruma görevlisi"nin veri sorumlusu ya da temsilcisinden farklı bir gerçek kişi olması nedeniyle, Tebliğ ve Belgelendirme Programının, anılan maddede yer alan "veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak" şeklindeki bendin de kapsamına girdiğinden söz edilemeyeceği, davalı idarece söz konusu düzenlemelerin dayanağı olarak gösterilen "Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak" bendinin ise, Kanunda "veri koruma görevlisi" statüsünün ihdası ve düzenlenmesi konusunda Kişisel Verileri Koruma Kuruluna bir görev verilmemesi ve konunun Kurumun işleyişine de ilişkin bulunmaması karşısında, yine dayanak olarak kabulüne hukuken olanak bulunmadığı sonucuna varılmaktadır.
Nitekim; Dairemizin 15/04/2025 tarih ve E:2022/817, K:2025/2020 sayılı kararıyla, 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'in iptaline karar verilmiştir.
Bu haliyle, dayanağı 6698 sayılı Kanun'da düzenlenmemiş olan ve davalı Kuruma verilen görev ve yetkiler kapsamında da yer almayan "veri koruma görevlisi" statüsünü ihdas ederek "veri koruma görevlisi" olma koşullarına (eğitim, sınav, belgelendirme vb.) dair usul ve esasları kurallaştıran, bu suretle dayanağı Kanun'u, normlar hiyerarşisi, kanuni idare ve idarenin düzenleme yetkisinin taliliği prensiplerini ihlal eden Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ve bu tebliğe dayanılarak yayımlanan dava konusu Veri Koruma Görevlisi Belgelendirme Programı'nda hukuka uyarlık bulunmamaktadır.
Bu itibarla, "veri koruma görevlisi" statüsüne erişim koşullarının düzenlendiği, hukuki dayanaktan yoksun bulunan ve hukuki belirsizlik yaratan Veri Koruma Görevlisi Belgelendirme Programı'nın "Başvuru" başlıklı 7.2. maddesinin iptaline karar verilmesi gerekmektedir.

KARAR SONUCU:
Açıklanan nedenlerle;
1. 25/11/2021 tarih ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulan Veri Koruma Görevlisi Belgelendirme Programı'nın "Başvuru" başlıklı 7.2. maddesinin İPTALİNE,
2. Ayrıntısı aşağıda gösterilen toplam ... TL yargılama giderinin davalı idareden alınarak davacıya verilmesine,
3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı işler için belirlenen ... TL vekâlet ücretinin davalı idareden alınarak davacıya verilmesine,
4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
5. Bu kararın tebliğ tarihini izleyen 30 (otuz gün) içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 15/04/2025 tarihinde oy çokluğuyla karar verildi.

(X)KARŞI OY :
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
" hükmüne; "Kurulun görev ve yetkileri" başlıklı 22. maddesinde, "(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. ... e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. ... l) Kanunlarla verilen diğer görevleri yerine getirmek." hükmüne yer verilmiştir.
Kişisel Verileri Koruma Kurumu'nun, kendi görev alanlarına ilişkin olmak (kanuni idare) ve dayanak üst normlara aykırı olmamak (normlar hiyerarşisi) kaydıyla, Anayasa'nın 124. maddesinde belirtilen "yönetmelik" veya Anayasada adının zikredilmemesi sebebiyle "adsız düzenleyici işlem" olarak tanımlanan ve hiyerarşik olarak yönetmelikten alt düzeyde bulunan yönerge, tebliğ, genelge ve talimat gibi çeşitli adlar altında düzenleme yapma görev ve yetkisine sahip bulunduğu tartışmasızdır.
6698 sayılı Kanun'un 1. maddesinde öngörülen amaç ile Kanun'un 22. maddesiyle Kurula verilen görev ve yetkiler birlikte değerlendirildiğinde; davalı idarece 06/12/2021 tarih ve 31681 sayılı Resmi Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında veri koruma görevlisi ve veri koruma görevlisi adaylarının belgelendirme faaliyetlerini düzenleyen Veri Koruma Görevlisi Belgelendirme Programı'nın dava konusu "Başvuru" başlıklı 7.2. maddesinin, anılan Kanunla davalı idareye tanınan kişisel verilerin korunmasına yönelik regülasyon görev ve yetkisi kapsamında düzenlendiği, dolayısıyla anılan Tebliğ'de ve bu Tebliğ'e dayanılarak hazırlanan dava konusu Belgelendirme Programında yetki, şekil ve konu unsuru yönüyle hukuka aykırılık bulunmadığı sonucuna varılmaktadır.
Diğer taraftan, kişisel verilerin korunması alanına yönelik çeşitli platformlarda eğitim programları düzenlendiği ve bu programların objektif kriterlere dayalı ve konuya ilişkin temel usul ve esaslar hakkında yeterli bilgiyi aktarmadığı, dava konusu düzenlemenin, Kurum tarafından bu alana ilişkin eğitim programlarının ve bu eğitime katılan kişilerin konu hakkındaki yetkinliğini tescil etmek ve verilecek sertifikalara ilişkin usul ve esasların düzenlenmesi suretiyle bir standardizasyon sağlamak amacıyla çıkarılan Tebliğ kapsamında veri koruma görevlisi ve veri koruma görevlisi adaylarının belgelendirme faaliyetlerinin yapılması için başvuru koşullarını düzenlediği anlaşıldığından, düzenlemede amaç ve sebep unsuru yönleriyle de hukuka aykırılık görülmemektedir.
Bu durumda, davalı idarenin hazırlayıp yürürlüğe koyma yetkisini haiz olduğu dava konusu düzenleyici işleme karşı açılan davanın reddine karar verilmesi gerektiği görüşüyle aksi yöndeki çoğunluk kararına katılmıyorum.