İÇİNDEKİLER
İÇİNDEKİLER
ÖNSÖZ KISALTMALAR
BU EL KİTABI NASIL KULLANILIR
1. AVRUPA VERİ KORUMA HUKUKUNUN TARİHSEL GELİŞİMİ VE İÇERİĞİ
1.1.Verilerin korunması hakkı Ana başlıklar
1.1.1. Avrupa İnsan Hakları Sözleşmesi
1.1.2. 108 Sayılı Avrupa Konseyi Sözleşmesi
1.1.3. Avrupa Birliği Veri Koruma Mevzuatı
1.2. Hakların dengelenmesi Ana başlıklar
1.2.1. İfade özgürlüğü
1.2.2. Belgelere erişim
1.2.3. Sanat ve bilim özgürlüğü
1.2.4. Mülkiyetin korunması
2. VERİ KORUMA TERMİNOLOJİSİ
2.1. Kişisel veriler Ana başlıklar
2.1.1. Kişisel veri kavramının temel unsurları
2.1.2. Özel nitelikli kişisel veriler
2.1.3. Anonim hale getirilmiş veya takma isim ile değiştirilmiş veriler
2.2. Veri işleme Ana başlıklar
2.3. Kişisel verilerin ku lanıcıları Ana başlıklar
2.3.1. Veri sorumluları ve veri işleyenler
2.3.2. Veri alıcıları ve üçüncü kişiler
2.4. Xxxx Xxx başlıklar
2.4.1. Geçerli rızanın unsurları
2.4.2. Rızayı her daim geri çekme hakkı
3. AVRUPA VERİ KORUMA HUKUKUNUN TEMEL İLKELERİ
3.1. Hukuka uygun işlenme ilkesi Ana başlıklar
3.1.1. AIHS kapsamında haklı müdahalenin şartları
3.1.2. Avrupa Birliği Temel Haklar Şartı kapsamında hukuka uygun sınırlamaların şartları
3.2. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi Ana başlıklar
3.3. Veri kalitesi ilkeleri Ana başlıklar
3.3.1 Verilerde gereklilik ilkesi
3.3.2. Doğruluk ilkesi
3.3.3. Verilerin sınırlı muhafazası ilkesi
3.4. Adil işleme ilkesi Ana başlıklar
3.4.1. Xxxxxxxxx
3.4.2. Güven oluşturulması
3.5. Hesap verilebilirlik ilkesi Ana başlıklar
4. AVRUPA VERİ KORUMA HUKUKUNUN KURALLARI
4.1. Hukuka uygun işlemeye dair kura lar Ana başlıklar
4.1.1. Hassas olmayan verilerin hukuka uygun olarak işlenmesi
4.1.2. Özel nitelikli (hassas) kişisel verilerin hukuka uygun olarak işlenmesi
4.2. İşleme sürecinin güvenliğine dair kurallar Ana başlıklar
4.2.1. Veri güvenliğinin unsurları
4.2.2. Gizlilik
4.3. Verilerin işlenmesinde şeffaflığa dair kura lar Ana başlıklar
4.3.1. Bilgilendirme
4.3.2. Bildirim
4.4. Uyuma teşvik kura ları Ana başlıklar
4.4.1. Ön denetim
4.4.2. Kişisel veri koruma memurları
4.4.3. Davranış kura ları
5. VERİ ÖZNELERİNİN HAKLARI VE BU HAKLARIN UYGULANMASI
5.1. Veri öznelerinin hakları Ana başlıklar
5.1.1. Erişim hakkı
5.1.2. İtiraz hakkı
5.2. Bağımsız denetim Ana başlıklar
5.3. Kanun yolları ve yaptırımlar Ana başlıklar
5.3.1. Veri sorumlusuna yapılan talep
5.3.2. Denetim makamlarına yapılmış olan şikayetler
5.3.3. Mahkemeye yapılmış olan şikayetler
5.3.4. Yaptırımlar
6. SINIR ÖTESİ VERİ AKIŞI
6.1. Sınır ötesi veri akışının doğası Ana başlıklar
6.2. Üye Devletler veya Akit Taraflar arasındaki serbest veri akışı Ana başlıklar
6.3. Üçüncü ülkelere serbest veri akışı Ana başlıklar
6.3.1. Yeterli koruma sağlandığı için serbest veri akışı
6.3.2. Özel durumlarda serbest veri akışı
6.4. Üçüncü ülkelere sınırlandırılmış veri akışı
Ana başlıklar
6.4.1. Sözleşme maddeleri
6.4.2. Bağlayıcı şirket kuralları
6.4.3. Özel uluslararası anlaşmalar
7. KOLLUK VE CEZA YARGILAMASI KAPSAMINDA VERİLERİN KORUNMASI
7.1. Kolluk ve ceza yargılaması kapsamında verilerin korunması Ana başlıklar
7.1.1. Kolluk Tavsiye Kararı
7.1.2. Sanal Ortamda İşlenen Suçlar Sözleşmesi (Budapeşte Sözleşmesi)
7.2. Kolluk ve cezai konularda verilerin korunmasına dair AB mevzuatı
7.2.1. Veri Koruma Çerçeve Kararı
7.2.2. Kolluk ve sınır ötesi adli işbirliği alanlarında veri korumasına yönelik diğer özel hukuki düzenlemeler
7.2.3. Europol ve Eurojust’ta Veri Koruma
7.2.4. AB düzeyindeki ortak bilgi sistemlerinde verilerin korunması
8. AVRUPA VERİ KORUMA HUKUKUNDA YER ALAN DİĞER DÜZENLEMELER
8.1. Elektronik Haberleşme Ana başlıklar
8.2. İstihdam verileri Ana başlıklar
8.3. Tıbbi veriler Ana başlıklar
8.4. İstatistiksel amaçlar için verilerin işlenmesi Ana başlıklar
8.5. Mali veriler Ana başlıklar
İLAVE KAYNAKLAR İÇTİHATLAR
AİHM İçtihatlarından Örnekler
Avrupa Birliği Adalet Divanı İçtihatlarından Örnekler
DİZİN
Kısaltmalar
108 Sayılı Avrupa Konseyi Sözleşmesi Avrupa Konseyi’nin Kişisel Verilerin Otomatik
İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 Sayılı Sözleşmesi
AB Avrupa Birliği
AK Avrupa Konseyi
ABAD Avrupa Birliği Adalet Divanı
ABD Amerika Birleşik Devletleri
AİHM Avrupa İnsan Hakları Mahkemesi
AİHS Avrupa İnsan Hakları Sözleşmesi
AP Avrupa Parlamentosu
AT Avrupa Toplulukları
İHEB Birleşmiş Mi letler İnsan Hakları Evrensel Bildirgesi
BM: Birleşmiş Mi letler
CIS
C-SIS Merkezi Schengen Bilgi Sistemi (Central Schengen Information System)
EDPS Avrupa Veri Güvenliği Gözetmeni (European Data Protection Supervisor)
Şart Avrupa Birliği Temel Haklar Şartı
N-SIS Ulusal Schengen Bilgi Sistemi (National Schengen Information System)
OECD İktisadi Kalkınma ve İşbirliği Örgütü (Organisation for Economic Cooperation and Development)
PNR Yolcu Xxxx Xxxxx (Passenger Name Record)
SIS II Schengen Bilgi Sistemi (Schengen Information System)
VIS Vize Bilgi Sistemi (Visa Information System)
Çerçeve Karar Ceza hukukunu ilgilendiren konularda polis ve adli makamlar arasındaki işbirliğ i ç erç evesinde işlenen kişisel verilerin korunması hakkındaki 27 Kasım 2008 sayılı ve 2008/977/JHA sayılı Konsey Ç erç eve Kararı
XXXXX: Avrupa Acil Durum Afet Bilgi Sistemi (European Emergency Disaster Response Information System)
Eurojust: Avrupa Yargı İşbirliği Kurumu
Europol: Avrupa Polis Teşkilatı
Eurosur: Avrupa Sınır Gözetim Sistemi
Eurostat: Avrupa Birliği İstatistik Kurumu
EAW Avrupa Tutuklama Emri
EEA Avrupa Ekonomik Alanı
EFTA Avrupa Serbest Ticaret Birliği
ENISA Avrupa Ağ ve Bilgi Güvenliği Ajansı
ENU Europol Ulusal Birimi
ESMA Avrupa Menkul Kıymetler ve Piyasalar Otoritesi
eTen Trans-Avrupa Telekomünikasyon Ağları
EuroPrise Avrupa Gizlilik Mührü
Eu-XXXX Avrupa Büyük Ölçekli Bilişim Teknolojileri Sistemleri Ajansı
BCR Bağlayıcı kurumsal kural
CCTV Kapalı devre televizyon
CETS Avrupa Konseyi Antlaşmaları Serisi
CRM Müşteri ilişkileri yönetimi
FRA Avrupa Birliği Temel Haklar Ajansı
GPS Küresel konumlama sistemi
JSB Ortak Denetim Birimi
NGO Sivil toplum kuruluşu
PIN Kişisel kimlik numarası
SEPA Avrupa Tek Ödeme Alanı
SWIFT Dünya Bankalararası Finansal Telekomünikasyon Toplumu
TEU Avrupa Birliği Antlaşması
TFEU Avrupa Birliği’nin İşleyişi Hakkında Antlaşma
UDHR İnsan Hakları Evrensel Bildirisi
Bu el kitabı nasıl kullanılır
Bu el kitabı, Avrupa Birliği (AB) ve Avrupa Konseyi (AK) bağlamında verilerin korunması mevzuatına genel bir bakış sağlar.
El kitabı, verilerin korunmasında uzmanlaşmamış hukukçulara yardımcı olmak için tasarlanmıştır; bu çalışma verilerin korunmasına ilişkin yasal sorunlarla karşı karşıya kalabilecek avukatlar, hakimler ve uygulama alanındaki diğer meslek mensuplarının yanı sıra sivil toplam kuruluşları da dahil olmak üzere diğer kuruluşlarda çalışanlara (STKlar) yönelik olarak oluşturulmuştur.
El kitabı, veri koruması alanında AB hukuku ve AİHS düzenlemeleri açısından ilk referans noktasıdır ve bu alanın AB mevzuatı, AİHS, Avrupa Konseyinin düzenlemiş olduğu Kişisel Verilerin Korunması Sözleşmesi (108 Sayılı Avrupa Konseyi Sözleşmesi) ve diğer Avrupa Konseyi araçları kapsamında nasıl düzenlendiğini açıklar. Her bir bölüm geçerli olan yasal hükümleri ve iki ayrı hukuk sistemi altında (AB ve AK) önemli görülen mahkeme içtihatlar ını içeren bir tabloyla başlamaktadır. Sonrasında bu iki hukuk düzenine ait yasal düzenlemeler her bir başlığa uygulanma şeki lerine göre sırayla sunulmaktadır. Bu anlatım tarzı okuyucunun her iki hukuk sistemini birbiri ile karşılaştırabilmesine ve düzenlerin hangi noktada birleştiklerini, hangi noktada farklılaştıklarını görmesine imkân tanımaktadır.
Her bölümün başındaki tablolar o bölümde ele alınan konu başlıklarını genel hatlarıyla aktarmakta ve uygulanabilir yasal hükümler ve örneğin mahkeme içtihatları gibi diğer önemli belgeleri belirtmektedir. İlgili bölümün içeriğinin özlü bir biçimde aktarılması için gerekli görüldüğü durumlarda bu başlıkların sırası bölüm içerisindeki metnin yapısından az da olsa farklılık gösterebilir. Tablolar hem AB hem de AK hukukunu kapsamaktadır. Bu da ku lanıcıların kendi durumlarına ilişkin önemli bilgilere ulaşmalarını ve öze likle de sadece AK düzenlemelerine tabi olanların bu bilgilere ulaşmalarını kolaylaştıracaktır.
AB ülkeleri dışında, AK üyesi olan ve AIHS ve 108 Sayılı Avrupa Konseyi Sözleşmesine taraf olan ülkelerin uygulayıcıları kendi ülkeleri için gerekli olan bilgilere doğrudan AK’ye ait bölümlere giderek erişebilirler. AB ülkelerinde bulunan uygulayıcılar ın, her iki hukuk düzeniyle de bağlı oldukları için her iki bölümü de ku lanmaları gerekecektir. Belirli bir konuda daha fazla bilgi arzu edenler için, el kitabının en sonunda bulunan ‘ilave kaynaklar bölümüne bakmaları önerilir.
AK mevzuatı, Avrupa İnsan Hakları Mahkemesince (AİHM) verilmiş olan belirli kararlara yapılan kısa atıflar ile sunulmuştur. Bu kararlar, verilerin korunmasıyla alakalı mevcut çok sayıda AİHM kararı arasından seçilmiştir.
AB mevzuatı ise Avrupa Topluluğu Adalet Divanı (ATAD, 2009 öncesinde Avrupa Adalet Divanı olarak adlandırılan kurum) içtihatlarında belirtildiği üzere, antlaşmaların ve Avrupa Birliği Temel Haklar Şartı’nın ilgili maddelerinde kabul edilen yasal düzenlemelerde n oluşmaktadır.
Bu el kitabında anlatılan veya atıfta bulunulan içtihatlar AİHM ve ATAD içtihadının önemli bir bölümüne dair örnekler sunmaktadır. El kitabının sonunda bulunan başvuru kılavuzu, okuyucuya mahkeme içtihadını çevrimiçi olarak arama konusunda yardımcı olması amacıyla yazılmıştır.
Buna ek olarak, Avrupa veri koruma mevzuatının öze likle de AİHM veya ATAD içtihad ına konu olmamış alanlardaki uygulama şeklini somutlaştırmak adına farazi kurgulardan oluşan bazı pratik örnekler mavi kutucuklar içerisinde sunulmuştur. Gri renkte olan diğer kutucukla rda ise içtihat hukuku dışındaki kaynaklardan, örneğin mevzuattan örnekler sunulmaktadır.
Bu el kitabı, AİHS ve AB hukukundan oluşan iki farklı hukuk sisteminin rolüne dair kısa bir açıklama ile başlamaktadır (Bölüm 1). 2. Bölüm’den 8. Bölüme kadar olan kısımda sunulan konular ise şöyledir:
• veri koruma xxxxxxxxxxxxx
• Xxxxxx veri koruma mevzuatının temel ilkeleri
• Avrupa veri koruma mevzuatının kura ları
• verileri işlenen kişinin hakları ve bu hakların uygulaması
• sınır ötesi veri akışı
• kolluk ve ceza yargılaması kapsamında verilerin korunması
• verilerin korunmasını düzenleyen diğer Avrupa mevzuatı
1.Avrupa Veri koruma hukukunun tarihsel gelişimi ve içeriği
AB | İşlenen konular | AK |
Verilerin korunması xxxxx | ||
Xxxx isel Verilerin İş lenmesi Sırasında Gerçek Kiş ilerin Korunması ve Serbest Veri Trafiğ i Direktifi (Veri Koruma Direktifi), OJ 1995 L 281 | AİHS, Madde 8 (özel hayatın ve aile hayatının, konut ve haberleşme hakkının korunması) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme) | |
Hakların dengelenmesi | ||
XXXX, Birleştirilmiş davalar C-92/09 ve C-93/09, Xxxxxx und Xxxxxx Xxxxxxx GbR and Xxxxxxx Xxxxxx v. Land Hessen, 2010 | Genel olarak | |
ABAD, C-73/07, Tietosuojavaltuutettu v. Satakunnan Markkinapörssi Oy and Satamedia Oy, 2008 | İfade özgürlüğü | AİHM, Xxxx Xxxxxxxx AG v. Germany, 2012 AİHM, Xxxxxx v. the United Kingdom, 2011 |
Sanat ve bilim özgürlüğü | AİHM, Vereinigung bildender Künstler v. Xxxxxxx, 0000 | |
XXXX, X-000/00, Xxxxxxxxxxx xx Xxxxxx xx Xxxxxx (Promusicae) v. Telefónica de España SAU, 2008 | Mülkiyetin korunması | |
ABAD, C-28/08 P, Avrupa Komisyonu v. The Bavarian Lager Co. Ltd, 2010 | Belgelere erişim | AİHM, Társaság a Xxxxxxxxxxxxxxxxx x. Xxxxxxx, 0000 |
1.1 Verilerin korunması hakkı
Ana başlıklar
• AİHS Madde 8 uyarınca, kişisel verilerin toplanılması/kullanılması ve bu verilerin korunması hakkı, özel hayatın ve aile hayatının korunması, konut ve haberleşme hakkına saygı gösterilmesi hakkı kapsamında yer almaktadır.
• 108 sayılı AK Sözleşmesi, açık bir şekilde verilerin korunması ile ilgili düzenlenmiş olan uluslararası olarak bağlayıcı ilk metindir.
• AB mevzuatına göre, verilerin korunması ilk olarak VK Direktifi ile düzenlenmiştir.
• AB mevzuatında verilerin korunması temel hak olarak tanımlanmıştır.
Bir bireyin özel alanının üçüncü şahıslar ve öze likle devlet tarafından ihlaline karşı korunması hakkı uluslararası bağlamda ilk olarak 1948 Birleşmiş Mi letler İnsan Hakları Evrensel Bildirgesi’nin (İHEB) 12. Maddesi kapsamında özel ve aile hayatına saygı başlığı altında düzenlenmiştir.1 İHEB, Avrupa’daki diğer insan hakları belgelerinin gelişimini etkilemiştir.
1.1.1. Avrupa İnsan Hakları Sözleşmesi
Avrupa Konseyi, İkinci Dünya Savaşının sonunda, hukukun üstünlüğünü, demokrasiyi, insan haklarını ve sosyal kalkınmayı teşvik etmek amacı ile kurulmuştur. Bu amacı gerçekleştir mek için Avrupa Konseyi üyelerinin üzerinde anlaştıkları metin 1953 yılında AİHS olarak kabul edilmiştir ve bu sözleşme 1953 yılında yürürlüğe girmiştir.
Üye devletlerin AİHS’ye uluslararası düzlemde uyma yükümlülükleri vardır. Tüm AK üyesi devletler AİHS’yi kendi ulusal hukuk sistemlerine dahil etmişler veya ulusal mevzua t kapsamında yürürlüğe koymuşlardır. Bu sebeple de sözleşme hükümlerine uygun şekilde hareket etme yükümlülükleri bulunmaktadır.
Avrupa İnsan Hakları Mahkemesi (AİHM) tarafların AİHS kapsamındaki yükümlülükler ini yerine getirdiklerinden emin olmak amacı ile, 1959 yılında, Fransa'nın Strazburg kentinde kurulmuştur. AİHM, devletlerin AİHS altındaki yükümlülüklerini yerine getirip getirmediklerini, bireylerin, toplulukların, sivil toplum kuruluşların veya tüzel kişiler in şikayetlerini inceleyerek denetlemektedir. 2013 Yılında AK’ye üye 47 devletten, 28’i AB ülkelerinden oluşmaktaydı. Mahkemeye başvuran kişilerin bu ülkelerin vatandaşları olmalar ı zorunluluğu bulunmamaktadır. Ayrıca, AİHM, AK üyesi devletlerden birisinin başka bir üye devlet aleyhine açtığı davalara bakmakla da görevlidir.
Kişisel verilerin korunması hakkı, kapsamı ve hangi ha lerde sınırlandırılabileceği AİHS Madde 8’de düzenlenmiş olan özel ve aile hayatına, konut ve haberleşmeye saygı gösterilmes i hakkı kapsamında yer almaktadır.2
AİHM geçmişteki içtihatları kapsamında birçok kez verilerin korunması konusu ile ilgili durumları incelemiştir. Öze likle de iletişimin dinlenmesi ve kayda alınması3, farklı şeki lerdek i
1 Birleşmiş Milletler (BM ), İnsan Hakları Evrensel Beyannamesi, 10 Aralık 1948.
2 Avrupa Konseyi (AK), Avrupa İnsan Hakları Sözleşmesi, CETS No. 005, 1950.
3 Örneğin: AİHM , Klass and Others v. Germany, No. 5029/71, 6 Eylül 1978; AİHM , Uzun v. Germany, No. 35623/05, 2 Eylül 2010.
gözetleme araçları 4 ve kişisel verilerin devlet kurumları5 tarafından saklanmasına karşı korunması gibi başlıklar inceleme konusu olmuştur. Mahkeme, 8. maddenin üye devletlere yalnızca Sözleşmenin ihlaline yol açabilecek durumlardan kaçınma şeklinde bir yükümlülük değil, ayrıca aktif bir şekilde özel ve aile hayatına saygı gösterilmesinin sağlanması biçiminde pozitif bir yükümlülük de getirdiğini açıklığa kavuşturmuştur.6 Bu mahkeme kararlarının birçoğuna ilgili bölümlerde ayrıntılı bir şekilde değinilecektir.
1.1.2. 108 Sayılı Avrupa Konseyi Sözleşmesi
Bilişim teknolojilerinin 1960’larda ortaya çıkışıyla, bireylerin korunabilmesi için (kişisel) verilerinin de korunmasına yönelik bir ihtiyaç ortaya çıkmıştır. 1970'lerin ortalarında, Avrupa Konseyi Bakanlar Komitesi, AİHS 8. maddeye atıfta bulunarak kişisel verilerin korunmas ına ilişkin birçok ilke karar kabul etmiştir.7 1981 yılında Avrupa Konseyi’nin Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 Sayılı Sözleşmesi (108 Sayılı Sözleşme) imzaya açılmıştır.8 108 Sayılı Sözleşme veriler in korunmasına dair bu zamana kadar düzenlenmiş olan en önemli ve bağlayıcı nitelikteki tek uluslararası hukuki belgedir.
108 Sayılı Avrupa Konseyi Sözleşmesi gerek özel gerekse kamu sektörü (örneğin yargı ve kolluk kuvvetleri) tarafından gerçekleştirilen bütün veri işlemelerini kapsar. Sözleşme veriler in toplanması ve işlenmesi sırasında gerçekleşebilecek ihlallere karşı bireyi korur ve aynı zamanda kişisel verilerin sınır ötesi akışını düzenlemeyi amaçlar. Kişisel verilerin toplanması ve işlenmesine ilişkin olarak sözleşmede, verilerin adil ve hukuka uygun bir şekilde toplanması ve işlenmesi, belirli ve sınırlı yasal amaçlar doğrultus unda saklanan verilerin bu amaçlara uygun olmayan kapsamda ku lanılmaması veya gerekli olan süreden fazla bir süre saklanmamas ı ilkeleri benimsenmektedir. Ayrıca verilerin belirli, açık ve meşru amaçlar için işlenmiş ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmaları öngörülmüştür.
Verilerin toplanması ve işlenmesi sürecine yönelik getirilen bu güvencelere ek olarak, uygun yasal tedbirlerin bulunmadığı ha lerde kişilerin ırkı, siyasi düşüncesi, sağlığı, dini, cinsel hayatı veya sabıka kaydı gibi özel nitelikli kişisel verilerinin işlenmesi yasaklanmıştır.
Sözleşme ayrıca kişilerin kendileri hakkında verilerin saklandığını bilme ve gerekiyorsa bu verilerin düzeltilmesini talep haklarına yer vermektedir. Kişilerin sözleşmede düzenle nen hakları ancak devlet güvenliği veya savunma tedbirleri kapsamında, üstün çıkarların bulunmas ı durumunda kısıtlanabilir.
Sözleşme kapsamında verilerin sözleşmeye taraf devletler arasında serbest dolaşımı öngörülmekle birlikte, yasal düzenlemelerin eş değer koruma sağlamadığı ülkelere olan aktarımlarda bazı sınırlamalar getirilmiştir.
4 Örneğin: AİHM , Xxxxxx v. the United Kingdom, No. 8691/79, 2 Ağustos 1984; AİHM , Xxxxxxx v. the United Kingdom, No. 62617/00, 3 Nisan 2007.
5 Örneğin: AİHM , Leander v. Sweden, No. 9248/81, 26 Mart 1987; AİHM , S. and Xxxxxx v. the United Kingdom, Nos. 30562/04 ve 30566/04, 4 Aralık 2008.
6 Örneğin: AİHM , I. v. Finland, No. 20511/03, 17 Temmuz 2008; AİHM , K.U. v. Finland, No. 2872/02, 2 Aralık 2008.
7 AK, Bakanlar Komitesi (1973), Res(73) 22 Sayılı, Özel sektördeki faaliyet gösteren elektronik veri bankaları karşısında bireylerin mahremiyetinin korunması üzerine alınan İlke Kararı, 26 Eylül 1973;
AK, Bakanlar Komitesi (1974), Res(74) 29 Sayılı, Kamu sektöründeki faaliyet gösteren elektronik veri bankaları karşısında bireylerin mahremiyetinin korunması üzerine alınan İlke Kararı, 20 Eylül 1974.
8 AK, Kişisel Verilerin Otomatik İşlenmesi Açısından Bireylerin Korunması Sözleşmesi, CETS No. 108, 1981.
108 Sayılı Avrupa Konseyi Sözleşmesi’nin öngördüğü temel ilkeleri ve kura ları geliştir mek adına yasal anlamda bağlayıcı olmayan çok sayıda tavsiye kararı Avrupa Konseyi Bakanlar Kurulu tarafından kabul edilmiştir. (Bkz. Bölüm 7 ve 8).
Tüm AB üye ülkeleri 108 Sayılı Avrupa Konseyi Sözleşmesi’ni onaylamışlardır. Sözleşme 1999 yılında değiştirilerek Avrupa Birliği’nin de sözleşmeye taraf olmasının yolu açılmışt ır.9 2001 yılında 108 Sayılı Avrupa Konseyi Sözleşmesi’ne ek protokol kabul edilmiş ve üçüncü taraf devletlere, yani sözleşmeye üye olmayan devletlere yönelik sınır ötesi veri akışına ve zorunlu olarak kurulacak olan ulusal veri koruma denetim mercilerine dair madde eklemeler i yapılmıştır.10
Genel Görünüş
108 Sayılı Avrupa Konseyi Sözleşmesi’nin yenilenmesine dair bir kararı takiben, halkın katılımı ile 2011’de yapılan müzakere sonucunda iki temel amaç kabul edilmiştir : dijital alanda gizliliğin korunmasını güçlendirmek ve sözleşmenin izleme mekanizmasını kuvvetlendirmek.
108 Sayılı Avrupa Konseyi Sözleşmesi, Avrupa dışında kalan ülkeler de dahil olmak üzere AK üyesi olmayan ülkelerin üyeliğine açıktır. Sözleşmenin evrensel bir standart haline gelme potansiyeli ve bütün ülkelere açık niteliği küresel düzeyde veri korumayı teşvik için bir temel noktası oluşturabilir.
Mevcut durumda 108 Sayılı Avrupa Konseyi Sözleşmesi’ne taraf olan 46 üye devletten 45’i AK üyesidir. Uruguay, AB üyesi olmayan ilk devlet olarak 2013 yılında sözleşmeye taraf olmuştur. Fas ise Avrupa Konseyi Bakanlar Kurulu tarafından sözleşmeye taraf olması için davet edilmiştir ve katılımı resmileştirme sürecini yürütmektedir.
1.1.3. Avrupa Birliği Veri Koruma Mevzuatı
AB hukuku antlaşmalardan ve ikincil mevzuattan oluşmaktadır. Avrupa Birliği Antlaşması ve Avrupa Birliğinin İşleyişi Hakkında Antlaşma tüm AB üye ülkeleri tarafından kabul edilmiş t ir ve bu antlaşmalar ‘birincil AB hukuku’ olarak tanımlanmaktadır. İkincil AB hukuku olarak adlandırılan belgeler ise AB kurumlarının kurucu antlaşmalardan aldıkları yetkiye dayanarak oluşturdukları ikincil nitelikteki tüzükler, yönergeler ve kararlardır.
Verilerin korunmasına ilişkin temel AB düzenlemesi AP ve AK’nin 95/46/EC sayılı ve 24 Ekim 1995 tarihli Kiş isel Verilerin İş lenmesi Sırasında Gerç ek Kiş ilerin Korunması ve Serbest Veri Trafiğ i Direktifi’dir.11 Kabul edildiği tarihte birçok üye devletin ulusal hukukunda konuyla
ilgili kanunlar halihazırda bulunmaktaydı. Ma ların, sermayenin, hizmetlerin ve kişilerin iç pazarda serbest dolaşımı verilerin dolaşımının serbestliğini beraberinde getirmişti. Bu serbestinin bütünüyle sağlanabilmesinin yolu da üye ülkelerin güvenebileceği yeknesak ve yüksek düzeyde bir veri korunmasının varlığından geçmekteydi.
VK Direktifi’nin amacı ulusal düzeydeki veri koruma kanunlarının yeknesaklaştırılma s ı12 olduğundan, direktif o dönemde var olan ulusal veri koruma kanunlarına nazaran daha belirleyici bir yapıda düzenlenmiştir. Avrupa Birliği Adalet Xxxxxx’xxx (XXXX), VK
9 AK Bakanlar Komitesi, Avrupa Birliği Toplulukların Katılmasına İzin veren, Kişisel Verilerin Otomatik İşlenmesi Açısından Bireylerin Korunması Sözleşmesine (ETS No. 108) yapılan değişiklikler, Strazburg, 15 Haziran 1999; değişiklikler yapılmış olan 108 Sayılı Sözleşme’nin 23 (2). maddesi.
10 AK, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması, Denetim Otorotileri ve Sınır Ötesi veri Akışlarıyla İlgili Sözleşmesine Ek Protokol, CETS No. 181, 2001.
11 Veri Koruma Direktifi, OJ 1995 L 281, s. 31.
12 Örneğin, Veri Koruma Direktifi, Gerekçe 1, 4, 7 and 8.
Direktifi’nin amacı [...] bireylerin kişisel verilerin işlenmesiyle alakalı hak ve özgürlüklerini n korunmasının tüm üye devletlerde eşit düzeyde olmasını sağlamaktır. [...] Ulusal kanunlar ın birbirlerine yakınlaştırılmaları, kesinlikle korumanın azaltılması sonucunu doğurmamalıd ır, tam tersine, AB içinde yüksek derecede bir koruma düzeyi sağlamalıdır. Buna göre, [...] bu ulusal yasaların uyumlaştırılması asgari uyum ile sınırlı kalmamalıdır ve bütünleyici bir yakınlaştırma hedeflenmelidir.13 Sonuç olarak, AB üyesi ülkelerin direktifi uygularken sınır lı miktarda manevra yapma özgürlükleri bulunmaktadır.
VK Direktifi, 108 Sayılı Sözleşme’nin içinde yer alan özel hayatın gizliliği hakkına dair ilkeler i somutlaştırmak ve genişletmek üzere tasarlanmıştır. Direktifin kabul edildiği 1995 yılında, AB üye ülkelerini oluşturan 15 üye devletin aynı zamanda 108 Sayılı Avrupa Konseyi Sözleşmesi’ne taraf olmaları sebebiyle bu iki düzenleme arasında çelişkili düzenleme le r bulunması olasılığı ihtimal dışı kalmıştır. Üstelik VK Direktifi, 108 Sayılı Avrupa Konseyi Sözleşmesi’nin yeni koruma mekanizmalarının yaratılmasına imkân veren 11. maddesine dayanmaktadır. Öze likle, veri koruma kura larına uyumu geliştirmesi için getirilen bağıms ız denetim mekanizmasının Avrupa veri koruma hukukunun verimli işleyişi açısından önemli bir katkı olarak ortaya çıkmıştır. (Bu mekanizma 108 Sayılı Avrupa Konseyi Sözleşmesi’ne Ek Protokol düzenlemesiyle 2001 yılında AK hukukuna dahil edilmiştir.)
VK Direktifi’nin bölgesel uygulaması AB üyesi 28 devletin de sınırlarını aşmakta ve Avrupa Ekonomik Alanı’nda (EEA)14 bulunan İzlanda, Lihtenştayn ve Norveç’i kapsamaktadır.
Lüksemburg’da bulunan Avrupa Birliği Adalet Divanı (ABAD), üye devletlerin VK Direktifi kapsamındaki yükümlülüklerini yerine getirip getirmediğini denetleme ve üye devletlerde etkili ve yeknesak uygulanmasını sağlamak için direktifin geçerliliği ve yorumlanmasına dair ön kararlar verme yetkisine sahiptir. VK Direktifi’nin uygulanabilirliği açısından önemli bir istisna gerçek kişilerin yalnızca kişisel veya hanehalkına yönelik amaçlarla kişisel verileri işlemes i durumu, yani “ev istisnası” olarak bilinen durumdur.15 Genellikle bu tür işlemeler bireyin özgürlüklerinin bir parçası olarak görülmektedir.
VK Direktifi’nin kabul edildiği tarihte yürürlükte olan birincil AB hukukuyla uyumlu olarak, direktifin maddi kapsamı iç pazara dair hususlarla sınırlandırılmıştır. Uygulama kapsamı dışında kalan önemli konular arasında kolluk ve ceza yargılaması konularındaki iş birliği yer almaktadır. Bu alanlarda verilerin korunmasına dair düzenlemeler başka yasal belgelerde yer almaktadır. Bölüm 7’de bunlara detaylı olarak değinilecektir.
VK Direktifi sadece AB üye devletlerini muhatap alabildiği için, kişisel verilerin AB kurum ve kuruluşları tarafından işlenmesi aşamasındaki korumayı sağlamak üzere ek bir yasal düzenlemeye ihtiyaç duyulmuştur. Birlik kurumları ve birimleri tarafından kişisel veriler in işlenmesi bakımından bireylerin korunması ve bu tür verilerin serbest dolaşımı hakkında 18 Aralık 2000 tarihli ve (AT) 45/2001 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü16 bu konuları düzenlemiştir.
13 ABAD, Birlikte Görülen C-468/10 ve C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) ve Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estado, 24 Kasım 2011, par. 28-29.
14 1 Xxxx 1994’te yürürlüğe girmiş olan Avrupa Ekonomik Alanı Sözleşmesi, OJ 1994 L 1.
15 Veri Koruma Direktifi, Madde3 (2) ikinci kısım.
16 Kişisel verilerin Topluluk kurumları ve organları tarafından işlenmesiyle ilgili olarak gerçek kişilerin korunması ve bu verilerin serbest dolaşımı hakkında 18 Aralık 2000 tarihli ve (AT) 45/2001 Sayılı Avrupa Parlamentosu ve Konsey Tüzüğü, OJ 2001 L 8.
Buna ek olarak, VK Direktifi kapsamında düzenlenmiş olan alanlarda bile, diğer meşru çıkarlar ı dengeleme noktasında gereken belirginliğe erişebilmek için daha detaylı veri koruma hükümlerine sıklıkla gerek duyulmaktadır. Bunun iki örneği olarak Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunmasına ilişkin 2002/58/EC sayılı Direktif ve 2006/24 sayılı Veri Saklama Direktifi17 verilebilir.18 Diğer örnekler 8. Bölüm’de ele alınacaktır. Bu hükümler VK Direktifi ile uyumlu olmalıdır.
Avrupa Birliği Temel Haklar Şartı
Avrupa Toplulukları tarafından düzenlenmiş olan temel antlaşmalarda insan haklarına ve bu hakların korumasına yönelik bir referans bulunmamaktaydı. Zamanla, Avrupa Birliği Adalet Divanı önüne gelen davalar yeni bir yaklaşım oluşturmaya başladı. Bireylerin insan haklarını korumak amacı ile temel haklara AB’ye ait genel ilkeler altında yer verildi. Avrupa Birliği Adalet Divanına göre bu genel ilkeler ulusal anayasalarda ve uluslararası insan hakları antlaşmalarındaki ve öze likle de AİHS’sinde bulunan insan haklarının temelini yansıtmaktad ır. Avrupa Birliği Adalet Divanı kendine AB mevzuatının tümünü bu temel ilkeler ile uyumlu hale getirmeyi görev edinmiştir.
Avrupa Birliği çıkarmış ve yürütmekte olduğu politikalarının vatandaşlarının insan haklarını etkileyebileceğini kabul ederek ve vatandaşlarının AB’ye daha ‘yakın’ olmalarını sağlamak amacı ile, 2000 yılında Avrupa Birliği Temel Haklar Şartı'nı ilan etmiştir. Bu Şart ulusa l anayasal gelenekleri ve uluslararası yükümlülükleri göz önünde bulundurarak, Avrupa Birliği’ne üye ülkelerin vatandaşlarının bireysel, sosyal ve ekonomik haklarını düzenlemişt ir. Şart altı bölümden oluşmaktadır; onur, özgürlükler, eşitlik, dayanışma, vatandaş hakları ve adalet.
Temelinde, Şart politik bir belge olarak tasarlanmıştır ancak 1 Aralık 2009’da yürürlüğe giren Lizbon Anlaşması ile yasal bağlayıcılık kazanmış ve birincil AB hukuku olarak tanımlanmıştır.19
Avrupa Birliğinin İşleyişi Hakkındaki Antlaşma’nın (ABİHA) 16. maddesi uyarınca, veriler in korunması ile alakalı konular AB’nin genel düzenleme yetkisine sahip olduğu bir alan olarak belirlenmiştir.20
Şart, 7. madde uyarınca özel ve aile yaşamına saygı gösterilmesi hakkını garantiye almakla yetinmemekte, 8. maddesinde verilerin korunması hakkını da düzenlemekte ve bu korumanın seviyesini AB hukukunda yer alan bir temel hak seviyesine çıkartmaktadır. AB kurumlarını n yanı sıra üye devletler de AB mevzuatını uygularken bu hakkı gözetmek ve korumak ile sorumlu tutulmuşlardır (Şart’ın 51. maddesi). VK Direktifi’nin yürürlüğe girmesinden birkaç yıl sonra düzenlenen Şart’ın 8. maddesi o dönemde var olan AB veri koruma hukukunu toparlayan bir düzenleme olarak ele alınmalıdır. Bu sebeple de Şart sadece 8. maddenin 1. fıkrasında veri koruma hakkından bahsetmekle kalmayıp aynı zamanda 8. maddenin 2. fıkrasında kilit veri koruma ilkelerine de atıf yapmaktadır. Son olarak 8. maddenin 3. fıkrası bu ilkelerin uygulamasının bağımsız bir makam tarafından denetlenmesini düzenlemiştir.
17 Avrupa Birliği Parlamentosu ve Konseyi, 2002/58 Sayılı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi, OJ 2002 L 201.
18 2006/24/AB Sayılı Kamu Elektronik Haberleşme Hizmetlerinin Sağlanması veya Kamu Haberleşme Ağları Çerçevesinde Üretilen veya İşlenen Verilerin Saklanmasına İlişkin Direktif, telekomünikasyon sektöründe kişisel verilerin korunmasına yönelik 2002/58/AT Direktifini değiştirmektedir, OJ 2006 L 105, 8 Nisan 2014 hükümsüz kalmıştır.
19 AB (2012), Temel Haklar Şartı, OJ 2012 C 326.
20 Bakınız Avrupa Birliği Antlaşması, OJ 2012 C 326; (2012), Avrupa Birliği’nin İşleyişi Hakkında Antlaşma, OJ 2012 C 326.
Genel Görünüş
2012 xxxx Xxxx ayında, Avrupa Komisyonu mevcut veri koruma mevzuatının hızlı teknolojik gelişmeler ve kürese leşme ile birlikte modernize edilmesi gerektiğini belirtmiştir. AK’nin reform paketinde VK Direktifi’nin yerine geçirilmesi hedeflenen bir Genel Veri Koruma Tüzüğü21 önergesi yer almaktadır. Ayrıca kolluk ve cezai konularda adli işbirliği hususları nı kapsayan yeni bir Genel Veri Koruma Direktifi22 de önerilmektedir paket kapsamında. Bu el kitabının yayınlandığı sırada reform paketi üzerindeki tartışma devam etmekteydi.
1.2. Hakların dengelenmesi Ana başlıklar
• Verilerin korunması hakkı mutlak bir hak değildir; diğer haklar ile dengelenmelidir.
Avrupa Birliği Temel Haklar Şartı madde 8’de düzenlenmiş olan kişisel verilerin korunmas ına dair temel hak ‘mutlak bir hak olarak yorumlanmamalı ve ancak toplumdakifonksiyonuna bağlı olarak dikkate alınmalıdır’.23 Bu sebeple de Şart’ın 52. maddesinin 1. fıkrası, söz konusu sınırlamaların kanunla düzenlenmiş olması; hak ve özgürlüklerin özüne dokunmaması ve ölçülülük ilkesine uygun olması; gerekli olması ve AB tarafından kabul edilen kamu yararı amaçlarına veya diğer bireylerin hak ve özgürlüklerinin korunması ihtiyacına uygun olması koşuluyla 7. ve 8. maddede düzenlenen hakların sınırlanmasının mümkün olabileceğini kabul etmektedir.24
Verilerin korunması AİHS madde 8 (özel ve aile hayatına sayı gösterilmesi hakkı) ile güvence altına alınmaktadır ve Şart’da da olduğu üzere bu hak diğer yarışan hakların kapsamına saygı çerçevesinde uygulanmalıdır. AİHS’nin 8. maddesinin ikinci fıkrasına göre veriler in korunmasına dair hakkın ku lanılmasına, kanuna uygun olarak yapılması ve demokratik bir toplumda […] diğerlerinin hak ve özgürlüklerinin korunması için gerekli olması durumu hariç, bir kamu otoritesi tarafından müdahalede bulunulması yasaklanmıştır.
Sonuç olarak, AİHM ve ABAD birçok kez, AİHS 8. maddesinin ve Şart’ ın 8. maddesinin uygulanması kapsamında verilerin korunması hakkının diğer haklar ile dengelenmesini n gerekliliğine değinmiştir.25 Bu dengenin nasıl kurulması gerektiği, aşağıdaki bölümlerde bulabileceğiniz üzere, birçok örnek ile detaylı bir şekilde açıklanmıştır.
21 Avrupa Komisyonu (2012), Kişisel verilerin işlenmesi bakımından gerçek kişilerin korunması ve bu kişisel verilerin serbest dolaşımına ilişkin Tüzük önerisi, COM (2012) 11 final, Brüksel, 25 Xxxx 2012.
22 Avrupa Komisyonu (2012), Kişisel verilerin işlenmesi bakımından gerçek kişilerin korunması ve bu kişisel verilerin serbest
dolaşımına, cezai suçların önlenmesine, soruşturulmasına, tespit edilmesine veya kovuşturulmasına veya para cezalarının infaz edilmesine ilişkin Direktif önerisi, COM (2012) 11 final, Brüksel, 25 Xxxx 2012.
23 Örneğin, XXXX, Birlikte Görülen C-92/09 ve C-93/09, Xxxxxx and Xxxxxx Xxxxxxx XxX and Xxxxxxx Xxxxxx v. Land Hessen, 9 Kasım 2010, par. 48.
24 A.e., par. 50.
25 AİHM , Von Hannover v. Germany (No. 2) [GC], Nos. 40660/08 ve 60641/08, 7 Şubat 2012; ABAD, Birlikte Görülen C- 468/10 ve C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) and Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estado, 24 Kasım 2011, par. 48; ABAD, X-000/00, Xxxxxxxxxxx xx Xxxxxx xx Xxxxxx (Xxxxxxxxxx) x. Xxxxxxxxxx xx Xxxxxx SAU, 29 Xxxx 2008, par. 68. Bakınız Avrupa Konseyi (2013), Kişisel Verilerin korunmasına ilişkin Avrupa İnsan Hakları Mahkemesi’nin İçtihat Hukuku, DP (2013): xxx.xxx.xxx/x/xxxx/xxxxxxxxxxxxxxx/xxxxxxxxxxxxxx/Xxxxxxxxx/XX 2013 Case Law_Eng_ FINAL.pdf.
1.2.1. İfade özgürlüğü
Verilerin korunması hakkı ile muhtemel bir çatışma yaşayabilecek haklardan biri ifade özgürlüğü hakkıdır.
İfade özgürlüğü hakkı, ifade ve bilgilenme özgürlüğü altında Avrupa Birliği Temel Haklar Şartı madde 11’de düzenlenmiştir. Bu hak kamu makamlarının müdahalesi olmaksızın ve ülke sınırları gözetilmeksizin kanaat ö zgü rlü ğ ü nü ve haber ve gö rü ş alma ve de verme ö zgü rlü ğ ü nü de kapsar. Bu madde AİHS’deki madde 10’a karşılık gelmektedir. Şart’ın 52. maddesinin 3. fıkrası uyarınca, AİHS ile güvence altına alınan haklara tekabül eden hakları içermes i durumunda, "bu hakların anlamı ve kapsamı AİHS’deki düzenleme ile aynı olacaktır". Bu sebeple, Xxxx’xx 11. maddesinde güvence altına alınan hakka kanuna uygun olarak getirilebilecek sınırlandırmalar AİHS’nin 10. maddesinin 2. Fıkrasında yer alan sınırlandırmalardan daha geniş olamayacaktır. Yani bu sınırlamaların kanunla düzenlenmiş olmaları ve demokratik bir toplumda, diğerlerinin itibarının ve haklarının korunması için gerekli olmaları gerekecektir. Bu kavram veri koruma hakkını da kapsamaktadır.
Kişisel verilerin korunması ve ifade özgürlüğü arasındaki ilişki, ‘Kişisel verilerin işlenmesi ve ifade özgürlüğü’ başlığı altında VK Direktifi’nin 9. maddesinde düzenlenmiştir.26 Bu madde uyarınca üye devletler verilerin korunması ve dolayısıyla da direktifin 2, 4 ve 5. bölümleri nde düzenlenen özel hayatın gizliliği temel hakkına ilişkin belirli istisnaları veya sınırlamalar ı düzenlemekle sorumludurlar. Bu istisnalar, özel hayatın gizliliği hakkının ifade özgürlüğünü düzenleyen kura larla uzlaştırılması gerektiği ölçüde, ancak ve ancak ifade özgürlüğü kapsamında yer alan gazetecilik veya sanatsal, edebi ifade amaçlı sınırlamalar şeklinde düzenlenebilir.
Örnek: ‘Tietosuojavaltuutettu v. Satakunnan Markkinapörssi Oy ve Satamedia Oy’27 kararında ABAD’ın VK Direktifi’nin 9. maddesini ve verilerin korunması hakkı ile basın özgürlüğü hakkı arasındaki ilişkiyi yorumlaması istenmiştir. Mahkeme, 1.2 milyon gerçek kişinin yasal olarak Fin vergi makamlarından elde edilmiş vergi verilerinin Markkinapörss i ve Satamedia tarafından yayınlanmasını incelemek durumunda kalmıştır. Mahkemenin öze likle yorumlaması gerektiği konu, vergi makamları tarafından sunulan kişisel veriler in, cep telefonu ku lanıcılarının diğer gerçek kişilere ait vergi verilerine erişmeleri amacıyla işlenmesinin yalnızca gazetecilik amacıyla gerçekleştirilmiş bir eylem sayılıp sayılamayacağıdır. Mahkeme Satakunnan’ın faaliyetlerinin VK Direktifi’nin 3. maddesinin
1. fıkrasına göre 'kişisel verilerin işlenmesi’ni teşkil ettiğini belirledikten sonra, direktifin 9. maddesini yorumlamıştır.
İlk olarak, ifade özgürlüğünün her demokratik toplumdaki önemine işaret etmiştir ve bu özgürlüğe ilişkin olan gazetecilik gibi kavramların geniş şekilde yorumlanması gerektiği sonucuna varmıştır. Daha sonra iki temel hak arasında bir denge sağlamak amacı ile, veriler in korunması hakkına yönelik istisnaların ve sınırlamaların sadece gerekli olduğu takdirde uygulanmasını öngörmüştür. Bu koşu lar altında, ABAD, Markkinapörssi ve Satamedia tarafından yürütülen ve ulusal mevzuat gereği kamusal alanda yer alan belgelerden elde edilen bilgileri içeren faaliyetlerin, eğer bu faaliyetlerin amacı, iletim için ku lanıla n mecradan bağımsız olarak, bilgilerin, kanaatlerin veya fikirlerin kamuya açıklanması ise ‘gazetecilik faaliyetleri’ olarak sınıflandırılabileceğine karar vermiştir.
26 Veri Koruma Direktifi, Madde 9.
27 ABAD, C-73/07, Tietosuojavaltuutettu v. Satakunnan Markkinapörssi Oy and Satamedia Oy, 16 Aralık 2008, par. 56, 61 ve 62.
Ayrıca mahkeme, bu faaliyetlerin basın faaliyetleri ile sınırlı olmadığını, aynı zamanda kar amaçlı olarak da faaliyette bulunabileceğini belirtmiştir. Ancak, Mahkeme somut olayda böyle bir faaliyetin söz konusu olup olmadığı konusunda verilecek kararı ulusal mahkeme ye bırakmıştır.
AİHM ifade özgürlüğü hakkı ile verilerin korunması hakkının uzlaştırılması ile ilgili olarak dönüm noktası niteliğinde birçok karar vermiştir.
Örnek: ‘Xxxx Xxxxxxxx AG v. Almanya’28 davasında AİHM, ünlü bir oyuncunun tutuklanması ve mahkumiyeti ile alakalı haber yapmak isteyen bir gazetenin sahibine yönelik olarak yerel mahkeme tarafından getirilmiş olan yayın yasağının AİHS’nin 10. maddesini ihlal ettiği kararına varmıştır. AİHM daha önceki içtihatları kapsamında belirlediği ve ifade özgürlüğü ve özel hayatın gizliliği hakkı arasındaki dengeyi sağlarken esas alınması gereken kriterleri vurgulamıştır:
• İlk olarak, yayınlanan haberin kamunun yararına ve ilgisine mazhar olup olmadığı kriteri; ünlü bir kişinin tutuklanması ve mahkumiyeti kamuya açık yargısal bir gerçektir ve bu sebeple de kamu yararınadır;
• İkinci olarak, ilgili kişinin kamusal bir figür olup olmadığı kriteri; somut olayda söz konusu oyuncu kamusal bir figür sayılmaya yetecek derecede tanınmış bir kişiliktir;
• Üçüncü olarak, bilginin nasıl elde edildiği ve güvenilir olup olmadığı kriteri; bilgile r savcılık tarafından sağlanmıştır ve haberlerde yer alan bu bilgilerin doğruluğu taraflar arasında tartışma konusu olmamıştır.
Bu nedenle, AİHM, ilgili şirkete getirilen yayın yasağının meşru bir amaç olan özel hayatın gizliliğinin korunmasıyla ölçülü olmadığına karar vermiştir. Mahkeme AİHS'nin 10. maddesinin ihlal edildiği sonucuna varmıştır.
Örnek: ‘Von Hannover v. Almanya (No.2)’29 davasında AİHM, kocasıyla beraber gittiği kayak tatilinde çekilen fotoğraflarının yayının durdurulmasına yönelik ihtiyati tedbir talebi reddedilen Monako Prensesi Xxxxxxxx’xx AİHS’nin 8. maddesinde yer alan özel hayatına saygı gösterilmesi hakkının ihlal edilmemiş olduğuna hükmetmiştir. Söz konusu fotoğraf Prens Rainier’in sağlığının kötüye gitmesine dair bir haber eşliğinde verilmiştir. AİHM, ulusal mahkemelerin, yayıncı şirketlerin ifade özgürlüğü hakkı ile başvuru sahibinin özel hayata saygı gösterilmesi hakkını dikkatli bir şekilde dengelediği sonucuna varmıştır. Ulusal mahkemelerin Prens Rainier’in sağlık durumunu çağdaş topluma mal olmuş bir olay olarak görmesi mantıksız olarak görülmemiş ve söz konusu haber ışığında değerlendirildiği nde fotoğrafın kamu yararına ilişkin bir tartışmaya en azından bir dereceye kadar katkıda bulunduğu AİHM tarafından kabul edilmiştir. Mahkeme AİHS'nin 8. maddesinin ihla l edilmediği sonucuna varmıştır.
AİHM içtihatlarına göre, hakların dengelenmesi hususunda en önemli kriterlerden biri söz konusu ifadenin, konuşulmasında kamu yararı olan bir tartışmaya katkıda bulunup bulunmadığıdır.
28 AİHM , Xxxx Xxxxxxxx AG v. Germany [GC], No. 39954/08, 7 Şubat 2012, par. 90 ve 91.
29 AİHM , Von Hannover v. Germany (No. 2) [GC], Nos. 40660/08 ve 60641/08, 7 Şubat 2012, par. 118 ve 124.
Örnek: ‘Xxxxxx v. Birleşik Krallık’30 davasında ulusal bir haftalık gazete başvuruda bulunan ile ilgili mahrem fotoğraflar yayınlamıştır. Bunun üzerine başvuru sahibi, şikayet konusu gazetenin bir kişinin özel hayatının gizliliğini ihlal edebilecek mahiyette yayınla r yapılmadan önce ilgili kişiye ön bildirim yapılması yönünde bir prosedürü bulunmadığında n fotoğrafın yayınlanması öncesinde ihtiyati tedbir yoluna gitmesinin de imkansız hale getirildiğini, bu sebeplerle AİHS’nin 8. maddesinin ihlal edildiğini öne sürmüştür. Fotoğrafların yayınlanması eğitimden çok eğlence amacı güttüğü için, tartışmasız olarak AİHS’nin 10. maddesinin sağladığı korumadan yararlanmış olsa da paylaşılan bilgilerin özel ve mahrem mahiyette olduğu ve yayınlanmalarında kamu yararı olmadığı durumla rda AİHS’nin 8. maddesinde aranan şartlara uyulması gerekceği açıktır. Ancak yayın öncesi bir sansür gibi işleyebilecek bu tip sınırlamalar ele alınırken ayrı bir özen gösterilmes i gerekmiştir. AİHM ön bildirim şartının yaratabileceği caydırıcı etkiyi, böyle bir ön bildir im sürecinin etkililiği ve bu alanda oluşabilecek keyfiyetin genişliğiyle alakalı şüpheleri göz önüne alarak, yasal açıdan bağlayıcı nitelikte bir ön bildirim şartının AİHS’nin 8. maddesi kapsamında gerekli olmadığına karar vermiştir.
Örnek: ‘Biriuk v. Litvanya’31 davasında başvuruda bulunan, günlük yayınlanan bir gazeteden kendisinin AIDS’li olduğuna dair bir haber yayınladığı için tazminat talebinde bulunmuştur. Bu bilginin yerel hastanedeki sağlık görevlileri tarafından doğrulandığı iddia edilmiştir. AİHM ilgili haberin yayınlanmasında kamu yararı bulunmadığını ve kişisel verilerin, öze likle de tıbbi bilgilerin korumasının AİHS’nin 8. maddesinde güvence altına alındığı üzere bir bireyin özel ve aile hayatına saygı gösterilmesi hakkı açısından temel nitelikte olduğunu vurgulamıştır. Ayrıca, Mahkeme gazetede yayınlanan makalede verile n bilgiye göre hastane görevlileri tarafından sağlandığı iddia edilen bilgilerin tıbbi gizli lik yükümlülüklerini açıkça ihlal ettiğine dikkat çekmiştir. Sonuç olarak, devlet başvuranın özel hayatının gizliliği hakkını güvence altına almakta başarısız olmuştur ve 8. maddenin ihla l edildiği sonucuna varılmıştır.
1.2.2. Belgelere erişim
Şart’ın 11. maddesi ve AİHS’nin 10. maddesi gereğince bilgi edinme hakkı bilgi vermeyi olduğu kadar bilgi alma hakkını da korur. Demokratik bir toplumun işleyişinde devlet yönetiminin şeffaflığı giderek önem kazanmaktadır. Son 20 yılda, kamu otoriteleri tarafında n tutulan belgelere erişim hakkı her AB vatandaşının ve bir üye ülkede ikamet eden herhangi bir gerçek kişinin veya bir üye ülkede kayıtlı işyeri bulunan herhangi bir tüzel kişinin önemli bir hakkı olarak kabul edilmiştir.
Avrupa Konseyi mevzuatı kapsamında, Resmi Belgelere Erişim Sözleşmesi’ni (205 sayılı AK Sözleşmesi) kaleme alanlara ilham veren Resmi Belgelere Erişim Tavsiye Kararı’ndaki ilkelere atıfta bulunulabilir.32 Avrupa Birliği mevzuatına göre, belgelere erişim hakkı, AP’nin, AK’nin ve Avrupa Komisyonu’nun belgelerine kamunun erişimiyle alakalı 1049/2001 sayılı Tüzük ile korunma altına alınmıştır.33 Şart’ın 42. maddesi ile Avrupa Birliğinin İşleyişine İlişkin Antlaşmanın 15. maddesinin 3. fıkrası bu erişim hakkını ‘AB kurumları, kuruluşlar ı, ofisleri ve ajansları’nı kapsayacak şekilde genişletmiştir. Şart’ın 52. maddesinin 2. fıkrası
30 AİHM , Xxxxxx v. the United Kingdom, No. 48009/08, 10 Mayıs 2011, par. 129 ve 130.
31 AİHM , Biriuk v. Xxxxxxxxx, Xx. 00000/00, 25 Kasım 2008.
32 Avrupa Konseyi, Bakanlar Komitesi (2002), Üye Devletlere Resmi Belgelere Erişim ile ilgili Öneri, 21 Şubat 2002; Avrupa Konseyi, Resmi Belgelere Erişim Sözleşmesi, CETS No. 205, 18 Haziran 2009. Sözleşme henüz yürürlüğe girmemiştir.
33 1049/2001(AB) Sayılı, Avrupa Birliği Parlamentosu, Konseyi ve Komisyonu’nun belgelerine erişim ile ilgili, Avrupa Birliği Parlamentosu ve Konsey Tüzüğü, 30 Mayıs 2001, OJ 2001 L 145.
gereğince bu hak aynı zamanda Avrupa Birliği’nin İşleyişine İlişkin Antlaşma’nın 15. maddesinin 3. fıkrasında belirtilmiş olan şartlara ve sınırlamalara göre uygulanacaktır. Bir belgeye erişilmesi başkalarının kişisel verilerini ifşa edeceksei bu durumda belgelere erişim hakkının verilerin korunması hakkı ile çatışabileceğini söyleyebiliriz. Bu sebeple bilgi ve belgelerin erişime sunulması talepleri değerlendirilirkeni bu bilgi ve belgeler içerisinde kişisel verileri yer alanlar bakımından verilerin korunması hakkı ile belgelere erişim hakkı arasında bir denge gözetilmelidir.
Örnek: ‘Avrupa Komisyonu v. Bavarian Lager’34 davasında, ABAD AB kurumlarını n belgelerine erişim ve 1049/2001 sayılı ve 45/2001 sayılı Tüzükler arasındaki ilişk i bağlamında kişisel verilerin korunmasının kapsamını tanımlamıştır. 1992 yılında kurulmuş olan Bavarian Lager, Almanya’dan Birleşik Kra lığa başta birahaneler ve barlar için olmak üzere şişelenmiş Alman birası ithalatı yapmaktadır. Ancak Birleşik Kra lık mevzuatını n fiilen ulusal üreticilere öncelik tanıması sebebiyle birtakım sorunlarla karşı karşıya kalmışt ır. Bavarian Lager’in şikâyeti üzerine, Avrupa Komisyonu Birleşik Kra lığın AB mevzuat ı uyarınca yükümlülüklerini yerine getirmediğine kanaat getirmiş ve gerekli işlemler i başlatmıştır. Bunun sonucunda tartışma konusu ulusal hükümler değiştirilmiş ve AB hukuku ile uyumlu hale getirilmiştir. Sonrasında Bavarian Lager, Avrupa Komisyonu’nda n, Komisyon temsilcilerinin, İngiliz yetkililerin ve Ortak Pazar Bira Üreticiler i
Konfederasyonu’nun (CBMC; Confédération des Brasseurs du Marché Commun) katılımı ile gerçekleşen bir toplantının tutanağını talep etmiştir. Komisyon toplantıya ilişkin bazı belgelerin ifşasını kabul etmiş, ancak toplantıda bulunan 5 kişinin ismini, 2 kişinin talebi üzerine, kalan 3 kişiye de ulaşılamadığı gerekçesiyle belgelerden silmiştir. Komisyon, Bavarian Lager’in toplantı tutanaklarının eksiksiz halini talep ettiği yeni başvurusunu, Veri
Koruma Tüzüğü’nde güvence altına alınan kişilerin özel hayatının gizliliğine atıfta bulunarak, 18 Mart 2014 tarihli kararı ile reddetmiştir. Bavarian Lager Komisyon’un bu kararından tatmin olmamış ve İlk Derece Mahkemesi’nde dava açmıştır. Mahkeme Komisyon’un kararını 8 Kasım 2007 tarihli kararıyla (T-194/04 Bavarian Lager v. Commision dosyası) iptal etmiş ve bir kurum veya kuruluşun temsilcisi olarak bir toplantıya katılan söz konusu kişilerin isimlerinin ifşa edilmesinin bu kişilerin özel hayatın gizliliğini ihlal etmediğine ve bu kişilerin özel hayatlarını herhangi bir şekilde tehlikeye atmadığına karar vermiştir.
Komisyon’un temyizi üzerine ABAD, İlk Derece Mahkemesi’nin verdiği kararı iptal etmiştir. ABAD, Belgelere Erişim Tüzüğü’nün ‘kişisel verileri belirli durumlarda kamuya açıklanabilecek bir kişinin korunması için getirilmiş özel ve güçlendirilmiş bir sistem’ kurduğunu belirtmiştir. ABAD’a göre, Belgelere Erişim Tüzüğü’ne dayanılarak kişisel verileri de içeren belgelere erişim talebinde bulunulması halinde Veri Koruma Tüzüğü’ nün hükümleri bir bütün olarak uygulama alanı bulacaktır. Sonrasında ABAD, Komisyon’ un Ekim 1996 tarihli toplantıya dair tutanakların eksiksiz olarak verilmesi yönündeki talebin reddine karar vermekte haklı olduğuna karar vermiştir. Toplantıda bulunan beş katılımcını n rızalarının yokluğu göz önüne alındığında, ilgili isimlerin silinmiş olduğu bir tutanağı paylaşan Komisyon’un aleniyet yükümlülüğünü yerine getirdiği ifade edilmiştir.
Ayrıca, ABAD’a göre, "Bavarian Lager, söz konusu kişisel verilerin aktarılmasını meşru kılacak veya bu yönde bir gerekliliğin bulunduğuna ikna edecek herhangi bir gerekçe göstermediği için Komisyon’un ilgili tarafların çıkarları arasındaki dengeyi tespit etmesi mümkün olmamıştır. Bu bağlamda, Veri Koruma Tüzüğü kapsamında şart koşulduğu üzere
34 ABAD, C-28/08 P, Avrupa Komisyonu v. The Bavarian Lager Co. Ltd., 29 Haziran 2010, par. 60, 63, 76, 78 ve 79.
verileri açıklanacak kişilerin meşru çıkarlarının zarara uğratılabileceğine dair bir çıkarımda bulunmak da mümkün olmamıştır.
Bu karar uyarınca, verilerin korunması hakkına belgelere erişim kapsamında yapılacak bir müdahalenin belirli ve meşru bir sebebi bulunmalıdır. Belgelere erişim hakkı veri koruma hakkını otomatik olarak hükümsüz bırakamaz.35
AİHM’nin aşağıdaki kararında bir erişim talebinin hususi bir yönü ele alınmaktadır.
Örnek: ‘Tarsasag a Szabadságjogokért v Macaristan’36 davasında insan hakları alanında faaliyet gösteren bir sivil toplum kuruluşu Anayasa Mahkemesi’nden devam eden bir dava hakkındaki belgelere erişim talep etmiştir. Anayasa Mahkemesi, söz konusu davayı mahkeme önüne getiren mi letvekiline rıza verip vermeyeceği konusunda danışmaksızı n davacı tarafın rızası olmadan bilgilerin üçüncü kişilere aktarılamayacağı gerekçesiyle erişim talebini reddetmiştir. Ulusal mahkemeler de bu kapsamdaki kişisel verilerin korunmasını n, kamusal bilgilerin erişilebilirliği de dahil diğer meşru amaçlar tarafından geçersiz hale getirilemeyeceği gerekçesiyle bu ret kararını onamışlardır. Başvuran somut olayda bir “toplumsal denetçi” olarak hareket etmiştir ve bu açıdan medyaya tanınan güvenceler in benzerlerine sahiptir. AİHM basın özgürlüğü ile alakalı kararlarında istikrarlı bir şekilde kamunun, kamu yararına yönelik meseleler hakkında bilgi alma hakkının bulunduğunu ifade etmiştir. Başvuran tarafından talep edilen bilgiler ‘hazır ve ulaşılabilir’ niteliktedir ve herhangi bir veri toplama işlemini gerektirmemektedir. Böyle durumlarda, devletin başvuran tarafından talep edilen bilgilerin aktarımına engel olmama yükümlülüğü bulunmaktad ır. Özetle AİHM, kamu yararına yönelik bilgilere erişimi engellemek amacıyla tasarlanan engellerin, medyada ya da bağlantılı alanlarda çalışanların hayati önem taşıyan “toplumsa l denetçilik” rollerini yerine getirme konusundaki heveslerini kırabileceğini değerlendirmişt ir. AİHM 10. xxxxxxxx ihlal edildiğine hükmetmiştir.
AB mevzuatı kapsamında, şeffaflığın önemi kesin bir biçimde vurgulanmıştır. Şeffaflık ilkesi Avrupa Birliği Antlaşması’nın 1. ve 10. maddesinde ve Avrupa Birliği’nin İşlemesine ilişk in Antlaşma’nın 15. maddesinin 1. fıkrasında yer bulmuştur.37 1049/2001 sayılı Avrupa Komisyonu Tüzüğü’nün gerekçesinin 2. maddesi uyarınca şeffaflık, vatandaşların karar oluşturma sürecine katılımlarının geliştirilmesini, idarenin meşruiyetinin artırılmasını ve demokratik toplum içerisinde yer alan vatandaşlar için daha verimli ve güvenilir olmasını sağlamaktadır.38
Bu gerekçelendirmeden hareketle, ortak tarım politikaların finansmanına dair 1290/2005 sayılı Konsey Tüzüğü ve bu tüzüğün uygulanmasında dair detaylı düzenlemeler getiren 259/2008 sayılı Komisyon Tüzüğü kapsamında tarım sektörüne özgülenmiş belirli bazı AB fonlarını n lehtarlarına ilişkin bilgilerin ve her bir lehtara ayrılan fon miktarlarının yayınlanması şartı öngörülmüştür.39 Bahsedilen bilgilerin yayınlanması, kamu fonlarının idare tarafından uygun
35 Bakınız: Avrupa Veri Koruma Denetçisi tarafından yayınlanan (2011), ‘Bavarian Lager’ kararından sonra kişisel veriler içeren metinlere kamusal erişim hakkı, Brüksel 24 Mart 2011:
xxx.xxxx.xxxxxx.xx/XXXXXXX/xxxxxx/xxxx/xxXxxx/xxxxxx/Xxxxxxxxx/XXXX/ Publications/Papers/BackgroundP/11-03- 24_Bavarian_Lager_EN.pdf.
36 AİHM , Társaság a Szxxxxxxxxxxxxxxx x. Xxxxxxx, Xx. 00000/00, 14 Nisan 2009; par. 27, 36–38.
37 AB (2012), Avrupa Birliği Antlaşması ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın Konsolide Versiyonları, OJ 2012 C 326.
38 ABAD, C-41/00 P, Interporc Im- und Export GmbH v. Commission of the European Communities, 6 Mart 2003, par. 39; ve ABAD, C-28/08 P, Avrupa Komisyonu v. The Bavarian Lager Co. Ltd., 29 Haziran 2010, par. 54.
39 Ortak Tarım Politikası’nın Finansmanı Hakkında, 1290/2005 (AB) Sayılı Konsey Tüzüğü, 21 Haziran 2005, OJ 2005 L 209;
ku lanımının kamu tarafından denetlenmesine katkıda bulunacaktır. Çok sayıda lehtar bu bilgilerin yayınlanmasının ölçülülük ilkesini ihlal ettiği yönünde itirazlar ileri sürmüştür.
Örnek: ‘Xxxxxx ve Xxxxxx Xxxxxxx ve Xxxxxxx Xxxxxx v. Land Hessen’,40 davasında
ABAD’ın, AB tarımsal destek fonundan yararlananların isimlerinin ve aldıkları yardımın miktarının yayınlanmasının ölçülülük ilkesine uygun olup olmadığını değerlendirmes i gerekmiştir. Verilerin korunması hakkının mutlak bir hak olmadığını belirten ABAD, iki AB tarımsal fonundan yararlanan kişilerin isimlerinin ve bu kişilerin hangi miktarda yardım aldıklarının bir internet sitesinde yayınlanmasının genel bağlamda kişilerin özel hayatına ve özel olarak da kişisel verilerin korunması hakkına müdahale teşkil ettiğini ifade etmiştir.
Xxxxxxx Xxxx’xx 7. ve 8. maddelerine yönelik bu müdahalenin kanuna düzenlenmiş bir sınırlama olduğuna ve bu sınırlamanın AB tarafından kabul edilen bir kamu yararı gözetilerek, yani kamu fonlarının ku lanımında şeffaflığın artırılması amacıyla yapıldığı na karar vermiştir. Ancak, somut olaya yönelik olarak Mahkeme, bu iki tarımsal fondan yararlanan kişilerin isimlerinin ve aldıkları miktarın yayınlanmasının orantısız bir önlem olduğuna ve Xxxx’xx 52. Maddesinin 1. fıkrası uyarınca da haklı gösterilemeyeceğine karar vermiştir. Sonuç olarak Mahkeme, AB mevzuatının Avrupa tarımsal fonlarında n yararlananların bilgilerinin yayınlanmasına dair hükümlerini kısmen hükümsüz kılmıştır.
1.2.3. Sanat ve Bilim Özgürlüğü
Kişisel verilerin korunması hakkı ve özel hayata saygı gösterilmesi hakkı ile dengelenmes i gereken bir diğer önemli hak ise Şart’ın 13. maddesinde açıkça korunan sanat ve bilim özgürlüğüdür. Bu hak temel olarak ifade ve düşünce özgürlüğü hakkının bir parçasıdır ve Şart’ın 1. maddesiyle (İnsan onuru) bağlantılı olarak uygulanmalıdır. AİHM sanat ve bilim özgürlüğünün AİHS’nin 10. maddesi kapsamında korunduğunu belirtmektedir.41 Şart’ın 13. maddesi ile güvence altına alınan bu hak AİHS’nin 10. maddesinin izin verdiği sınırlandırmalara da tabi olabilir.42
Örnek: ‘Vereinigung Bildender Künstler v. Avxxxxxxx’00 xxxxxxxxx, Xxxxxxxxx
mahkemeleri, başvurucu konumundaki derneğin, kamuya mal olmuş kişilerin başlarını n fotoğraflarını çeşitli cinsel pozisyonlarda gösteren bir tabloyu sergilemeye devam etmesini yasaklamışlardır. Söz konusu tabloda fotoğrafı ku lanılan Avusturyalı bir milletvek i li başvuru sahibi derneğe karşı dava açmış ve tablonun sergilenmesinin durdurulması için ihtiyati tedbir talebinde bulunmuştur. Yerel mahkeme söz konusu milletvekilinin talebini kabul etmiş ve resmin sergilenmesinin tedbiren durdurulmasına karar vermiştir. AİHM, AİHS’nin 10. maddesinin devleti veya halkın bir kısmını rencide eden, şok etkisi yaratan veya rahatsız eden fikirlerin aktarılması bakımından da geçerli olduğunu tekrar hatırlatmışt ır.
Sanatsal çalışmaları oluşturan, icra eden, dağıtan veya sergileyen kişiler fikirlerin ve kanaatlerin yayılmasına katkıda bulunmaktadır ve devletin de bu kişilerin ifade özgürlüklerine tecavüz etmeme yükümlülüğü söz konusudur. Söz konusu tabloda kişiler in
ve Avrupa Birliği Tarımsal Garanti Fonu (EAGF) ve Avrupa Birliği Kırsal Kalkınma Tarım Fonundan (EAFRD) kaynaklanan fonlarından faydalanan kişilerin bilgileri’nin yayınlanmasına ilişkin 259/2008 (AB) Sayılı Xxxxxx Tüzüğü, 18 Mart 2008, OJ 2008 L 76.
40 ABAD, Birlikte Görülen C-92/09 ve C-93/09, Xxxxxx and Xxxxxx Xxxxxxx GbR (C-92/09) and Xxxxxxx Xxxxxx (C-00/00) x. Xxxx Xxxxxx, 0 Xasım 2010, par. 47–52, 58, 66–67, 75, 86 ve 92.
41 AİHM , Xxxxxx and Others v. Switzerland, No. 10737/84, 24 Mayıs 1988.
42 Temel Haklar Şartı’nın gerekçesi, OJ 2007 C 303.
43 AİHM , Vereinigung bildender Künstler v. Austria, No. 68345/01, 25 Xxxx 2007; özellikle bakınız: par. 26 ve 34.
yalnızca başlarının fotoğraflarının kullanıldığını ve resimdeki vücutların gerçeği yansıtma veya buna dair tahminde bulunma amacı bile taşımayacak derecede gerçek dışı ve abartılı bir biçimde boyanmış olduğunu göz önüne alan AİHM, söz konusu tablonun tasvir edilen şahsın özel hayatına ait detaylara yönelik olmaktan ziyade şahsın bir siyasetçi olarak toplumdak i duruşunu hedef aldığını, bu sebeple de tasvir edilen şahsın eleştirel bağlamda daha hoşgörülü davranması gerektiğini ifade etmiştir.
Mahkeme somut olaydaki tüm menfaatleri tartarak, tablonun sergilenmesini n yasaklanmasına yönelik sınırsız bir yasağın orantısız olacağını belirlemiştir. Sonuç olarak Mahkeme AİHS’nin 10. maddesinin ihlal edildiği kanaatine varmıştır.
Bilime ilişkin olarak, Avrupa veri koruma mevzuatı bilimin toplumdak i özel değerinin farkındadır. Bu nedenle, kişisel verilerin ku lanımına yönelik bu alandaki sınırlandırılma la r azaltılmıştır. Gerek VK Direktifi gerekse 108 Sayılı Sözleşme verilerin ilk toplanma amaçları kapsamında gereksiz hale gelmesi durumunda bilimsel araştırmalar için saklanabilmesine izin vermektedir. Hatta verilerin bilimsel araştırma için tekrar ku lanımları uygun olmayan bir amaç olarak değerlendirilmeyecektir. Bilimsel araştırmalardan elde edilecek fayda ve veriler in korunması hakkının uzlaştırılması için gerekli tedbirleri alma görevi de ulusal hukuka verilmiştir (Bkz. Bölüm 3.3.3 ve 8.4).
1.2.4. Mülkiyetin korunması
Mülkiyetin korunması hakkı Şart’ın 17. maddesinin 1. fıkrasında ve AİHS’nin Birinc i Protokol'ünün 1. maddesinde düzenlenmiştir. Mülkiyet hakkının önemli bir unsuru Şartın 17. maddesinin 2. fıkrasında bahsedildiği üzere fikri mülkiyetin korunmasıdır. AB hukuk düzeninde fikri hakların, öze likle de telif haklarının etkili bir biçimde korunmasına dair birçok direktif bulunmaktadır. Fikri mülkiyet sadece fikir ve sanat eserlerinin mülkiyetini değil, patent, marka ve bunlara bağlı hakları da kapsamaktadır.
ABAD içtihadında açıkça ifade edildiği üzere temel bir hak olan mülkiyet hakkının korunması ile diğer temel hakların -öze likle verilerin korunması hakkının- korunması arasında bir denge kurulması gerekmektedir.44 Telif haklarını koruma amacıyla faaliyet gösteren kurumların, internet hizmet sağlayıcılardan, dosya paylaşım platformlarını ku lanan kişilerin kimlikler ini ifşa etmelerini talep ettiği davalar olmuştur. Söz konusu platformlar internet ku lanıcılarını n, müzik parçalarını, bu parçalar telif hakları ile korunuyor olsalar bile para ödemeden indirmelerini sıklıkla mümkün kılmaktadır.
44 AİHM , Xxxxx Xxxxxx and others v. France, No. 36769/08, 10 Xxxx 2013.
Örnek: ‘Promusicae v. Telefonica de Espana’ davası,45 Telefonica isimli İspanyol internet erişim sağlayıcı şirketin, müzik sektöründeki bazı yapımcı ve yayıncılardan oluşan Promusicae isminde kâr amacı gütmeyen bir kuruluş tarafından kendisine yöneltilen ve erişim sağlama hizmeti verdiği bazı kişilere dair kişisel verileri paylaşması yönündeki talebi reddine ilişkindir. Promusicae’nin bu verilerin paylaşılmasını talep etmekteki gerekçesi, faydalanma hakkı Promusicae üyelerine ait olan bazı fonogramlara erişim sağlayan bir dosya transfer programını ku lanan belirli kişilere yönelik adli işlemleri başlatabilmesi için bu bilgilere ihtiyacı olmasıdır.
İspanya Mahkemesi davayı ABAD’a taşımış ve bu kişisel verilerin paylaşımının adli süreç kapsamında ve telif haklarının etkili bir biçimde korunabilmesi adına AB hukuku çerçevesinde mümkün olup olmadığını sorgulamıştır. Şart’ın 17. Ve 47. maddesi bağlamında 2000/31, 2001/29 ve 2004/48 sayılı Direktiflere de atıfta bulunmuştur. Mahkeme, üye devletlerin, telif haklarının etkin bir biçimde korunmasını sağlayabilmek adına açılacak davalar kapsamında kişisel verilerin ifşa edilmesine yönelik bir yükümlülük getirmes i halinde yukarıdaki üç direktifin ve 2002/58 sayılı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi’nin buna bir engel teşkil etmeyeceğini ifade etmiştir.
Bu sebeplerle de ABAD, söz konusu davanın, çeşitli temel hakların, yani özel hayata saygı gösterilmesi hakkı ile mülkiyetin korunması ve etkili kanun yolu haklarının sağladığı güvencelerin uzlaştırılmasına yönelik bir ihtiyaç olup olmadığı sorusu etrafında döndüğüne işaret etmiştir.
Mahkeme, üye devletlerin yukarıda anılan direktifleri ulusal alanda uygularlarken bu direktifleri, Topluluğun yasal düzeni tarafından korunan çeşitli temel haklar arasında bir denge kurulmasını sağlayacak şekilde yorumlamaları gerektiğine hükmetmiştir. Bunun da ötesinde, bu direktiflerin öngördüğü tedbirleri uygularken de üye devletlerin yetkilileri ve mahkemelerinin kendi ulusal mevzuatlarını bu direktiflerle uyumlu bir şekilde yorumlamaları ve bu direktiflerin temel haklarla veya Topluluk hukukunun diğer genel ilkeleriyle -örneğin ölçülülük ilkesiyle- çelişecek bir yoruma başvurmamaları gerektiği belirtilmiştir. 46
2. Veri koruma terminolojisi
AB | İşlenen konular | AK |
Kişisel Veriler | ||
45 ABAD, C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU, 29 Xxxx 2008, par. 54 ve 60.
46 A.e., par. 65 ve 68; ve ayrıca bakınız: ABAD, C-360/10, SABAM v. Netlog N.V., 16 Şubat 2012.
VK Direktifi, Madde 2 (a) ABAD, Birleştirilmiş davalar C-92/09 ve C-93/09, Xxxxxx and Xxxxxx Xxxxxxx GbR (C-92/09) and Xxxxxxx Xxxxxx (C-00/00) x. Xxxx Xxxxxx, 0 Xasım 2010 ABAD, C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU, 29 Xxxx 2008 | Hukuki tanım | 108 Sayılı Sözleşme, Madde 2 (a) AİHM, Xxxxx Xxxxxx Holding AS and Others v. Norway, No. 24117/08, 14 Mart 2013 |
VK Direktifi, Madde 8 (1) ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003 | Xxxx xxxxxxxli kişisel veriler (hassas veriler) | 108 Sayılı Sözleşme, Madde 6 |
VK Direktifi, Madde 6 (1) (e) | Anonim hale getirilmiş veya takma isim ile değiştirilmiş veriler | 108 Sayılı Sözleşme, Madde 5 (e) 108 Sayılı Sözleşme, Explanatory report, Madde 42 |
Verilerin işlenmesi | ||
VK Direktifi, Madde 2 (b) ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003 | Tanımlar | 108 Sayılı Sözleşme, Madde 2 (c) |
Veri kullanıcıları | ||
VK Direktifi, Madde 2 (d) | Veri sorumlusu | 108 Sayılı Sözleşme, Madde 2 (d) Profilleme Tüzüğü, Madde 1 (g) * |
VK Direktifi, Madde 2 (e) ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003 | Veri işleyen | Profilleme Tüzüğü Madde 1 (h) |
VK Direktifi, Madde 2 (g) | Veri alıcısı | 108 Sayılı Sözleşme, Ek Protokol, Madde 2 (1) |
VK Direktifi, Madde 2 (f) | Üçüncü kişi | |
Rıza | ||
VK Direktifi, Madde 2 (h) ABAD, C-543/09, Deutsche Telekom AG v. Bundesrepublik Deutschland, 5 May 2011 | Geçerli rızanın tanımı ve şartları | Tıbbi Veriler Tavsiye Kararı, Madde 6, ve çeşitli müteakip tavsiye kararları |
Not: * Avrupa Birliği Konseyi Bakanlar Komitesi (2010), Rec(2010)13 Sayılı, Üye Devletlerin, profilleme bağlamında, kişisel verilerin otomatik olarak işlenmesine ilişkin olarak bireylerin korunması hakkındaki Tüzüğü, (Profilleme Tüzüğü), 23 Kasım 2010.
2.1. Kişisel veriler
Ana başlıklar
• Kimliği belirli veya belirlenebilir bir kişiye, yani veri öznesine ilişkin her türlü veri kişisel veridir.
• Veri öznesinin belirlenmesi için makul bir çaba ile ek bilgiye ulaşmak mümkün ise o kişi belirlenebilir sayılır.
• Belirli bir kişinin belirli bir kimliğe sahip olduğunun ve/veya belirli faaliyetleri yürütmeye yetkili kılınmış olduğunun ispatlanması kimlik doğrulama kavramı ile ifade edilir.
• 108 sayılı Sözleşme ile Veri Koruma Direktifi’nde sayılan özel nitelikli veri kategorileri (hassas veri olarak bilinir) bulunmaktadır. Bunlar daha yüksek bir koruma seviyesine ihtiyaç duymaları sebebiyle ayrı bir yasal rejime tabidirler.
• Herhangi bir tanımlayıcı bilgi içermeyecek hale getirilmiş veriler anonim hale getirilmiş veri olarak tanımlanır; tanımlayıcı bilgileri şifrelenmiş veriler ise takma isim ile değiştirilmiş veri haline gelirler.
• Anonim hale getirilmiş verilerin aksine, takma isim ile değiştirilmiş veriler kişisel veridirler.
2.1.1. Kişisel veri kavramının temel unsurları
AB ve AK mevzuatı altında, kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişk in her türlü bilgi olarak tanımlanmaktadır.47 Yani, kimliği ayan beyan ortada olan veya ek bilgi temini yoluyla kimliği saptanabilecek bir kişi hakkındaki bilgi. Böyle bir kişinin verilerini n işlenmesi durumunda da bu kişiye ‘veri öznesi” denir.
Kişi
Verilerin korunması xxxxx xxxx hayata saygı gösterilmesi hakkından doğmuştur. Özel hayat kavramı insan varlığına ilişkin bir kavramdır. Bu sebeple de gerçek kişiler bu korumadan asli olarak yararlanan kişilerdir. 29. Madde Çalışma Grubu’nun verdiği Görüş’e göre Avrupa veri koruma hukuku yalnızca canlı varlıkları korumaktadır.48
47 Veri Koruma Direktifi, Madde2 (a); 108 Sayılı Sözleşme, Madde2 (a).
48 Madde 29 Çalışma Kurultayı (2007), Kişisel Veri kavramı üzerine görüş 4/2007, WP 136, 20 Haziran 2007, s. 22.
AİHM’nin AİHS madde 8’e dair içtihatları da bize göstermektedir ki özel ve mesleki hayata dair meseleleri birbirinden tamamen ayırmak her zaman kolay değildir.49
Örnek: ‘Amann v. İsviçre’50 davasında, yetkililer başvurana gelen iş amaçlı bir telefon aramasını dinlemişlerdir. Sonrasında yetkililer, bu telefon görüşmesine dayanarak başvuran hakkında bir araştırma yürütmüşler ve başvurana dair bir ulusal güvenlik kaydı açarak başvuranı fişlemişlerdir. Dinleme konusu telefon görüşmesi iş hayatına yönelik bir görüşme olmasına rağmen AİHM, bu görüşmeye dair saklanan verilerin başvuranın özel hayatına ait olduğuna hükmetmiştir. AİHM özel hayat kavramının dar şekilde yorumlanmamas ı gerektiğine, zira özel hayata saygı kavramının diğer insanlarla ilişkiler kurabilme ve bunları ilerletebilme hakkını da kapsadığına işaret etmiştir. Mahkeme sonrasında, mesleki veya işle alakalı faaliyetlerin özel hayat kavramının dışında tutulmasını haklı gösterecek herhangi bir sebep olmadığını ifade etmiştir. Bu şekilde geniş bir yorum 108 Sayılı Sözleşme’ nin yorumuyla da uyuşmaktadır. AİHM ayrıca başvuranın davasına konu olan dinlemenin de hukuka uygun olmadığını, zira ulusal hukukun verilerin toplanması, kaydedilmesi ve saklanması ile alakalı olarak yeterince belirli ve detaylı hükümler içermediğini ifade etmiştir. Bu sebeple Mahkeme AİHS madde 8’in ihlal edildiği kanaatine varmıştır.
Eğer mesleki hayata dair konular da veri korumasından yararlanabiliyorsa, yalnızca gerçek kişilere koruma sağlanması hususu sorgulanır hale gelmektedir. AİHS kapsamında düzenle nen haklar sadece gerçek kişileri değil herkesi kapsamaktadır. AİHM’in içtihatları arasında tüzel kişilerin AİHS madde 8 kapsamında haklarının ihlal edildiği gerekçesiyle yaptıklar ı başvurulara dair kararlar bulmak mümkündür. Ancak Xxxxxxx, bu başvuruyu özel hayata saygı gösterilmesi hakkından ziyade konut ve haberleşme hakkına saygı gösterilmesi hakkı kapsamında ele almıştır:
Örnek: ‘Xxxxx Xxxxxx Holding AS ve Diğerleri v. Xxxxxx’00 xxxxxx üç Norveçli şirketin
vergi idaresinin bir kararına karşı yaptıkları bir şikâyete dairdir. Söz konusu kararda, bu üç şirket tarafından ortak olarak ku lanılan bir sunucudaki bütün verilerin bir kopyasının vergi denetçilerine verilmesi emredilmektedir.
AİHM başvuran şirketlere yüklenen böylesi bir yükümlülüğün AİHS madde 8 uyarınca başvuran şirketlerin konut ve haberleşme hakkını ihlal ettiğine karar vermiştir. Ancak, Mahkeme vergi dairesinin kötü niyetli ku lanımı enge lemek için, etkili ve yeterli önlemle r aldığını tespit etmiştir: şirketler yeterli süre önceden haberdar edilmişlerdir; sunucuya müdahale sırasında orada bulunmalarına ve görüş bildirmelerine olanak tanınmıştır; vergi teftişi sonlandığında veriler imha edileceğine dair bir güvence sağlanmıştır. Bu koşullar altında, başvuran şirketlerin konut ve haberleşme hakkı ve şirket çalışanlarının gizliliğini korumaktaki çıkarları ile vergi teftişinin etkili bir şekilde yapılmasının sağlanmasına yönelik kamu yararı arasında adil bir denge kurulmuştur. Sonuç olarak, AİHM, AİHS madde 8’in ihlal edilmediğine karar vermiştir.
49 Örneğin: AİHM , Xxxxxx v. Romania [GC], No. 28341/95, 4 Mayıs 2000, par. 43; AİHM , Xxxxxxxx v. Germany, 13710/88, 16 Aralık 1992, par. 29.
50 AİHM , Amann v. Switzerland [GC], No. 27798/95, 16 Şubat 2000, par. 65.
51 AİHM , Xxxxx Xxxxxx Holding AS and Others v. Norway, No. 24117/08, 14 Mart 2013. Bakınız, AİHM , Liberty and Others
v. the United Kingdom, No. 58243/00, 1 Temmuz 2008.
108 Sayılı Sözleşme gereği, koruma birincil olarak gerçek kişilerin verilerinin korunmas ına yöneliktir ancak, eğer üye ülkeler tercih ederlerse örneğin şirketler ve dernekler vb. tüzel kişiler de koruma kapsamına alınabilir.
Veri Koruma Direktifi tüzel kişilere ait verilerin işlenmesiyle alakalı olarak bu kişiler in korunmasına yönelik bir düzenleme içermemektedir. Ulusal yasakoyucular bu konuda yasal düzenleme yapmakta serbesttir.52
Örnek: ‘Xxxxxx ve Xxxxxx Xxxxxxx ve Arazi Hessen v Xxxxxxx Xxxxxx’53 davasında
ABAD, tarımsal yardımlardan yararlananların kişisel verilerinin yayınlanmasına atıfta bulunarak, tüzel kişilerin Şart’ın 7. ve 8. maddesi kapsamında koruma talep edebilmelerini n tüzel kişinin ticari ünvanının ifşasının bir veya birden fazla gerçek kişinin kimliğinin tespitine yol açacak olması durumunda söz konusu olabileceğine karar vermiştir. […] Şart’ın 7. ve 8. maddelerinde düzenlenen kişiler verilerin işlenmesi bağlamında özel hayata saygı gösterilmesi hakkı belirli ya da belirlenebilir bir bireye ait her türlü veriyi içermektedir .54
Bir kişinin belirlenebilirliği
AB ve AK mevzuatı gereğince, aşağıdaki şartların varlığı halinde bilginin bir kişiye ait veri içerdiği kabul edilir:
• Bilginin içeriğinde kişinin kimliği açıkça belirli olması; veya
• kimlik açıkça belirli olmasa da, verilen bilgilerde kişinin, az bir araştırma ile kimliği ne ulaşılabilecek şekilde tasvir edilmiş olması.
Her iki bilgi türü de Avrupa veri koruma hukuku tarafından aynı şekilde koruma altına alınmıştır. AİHM defaatle AİHS’deki kişisel veri kavramının, öze likle de belirli veya belirlenebilir kişilere ait olma şartı bakımından 108 Sayılı Sözleşme ile aynı olduğunu belirtmiştir.55
Kişisel veriye dair yasal tanımlar kişinin hangi koşu lar altında belirli sayılacağına dair açıklamalarda bulunmamaktadır.56 Kimliğin belirlenmesi için kişiyi diğer bütün kişilerden ayırt edilebilir ve bir birey olarak tanınabilir bir biçimde tasvir eden unsurların gerekeceği aşikardır. Bir kişinin ismi bu tasvir edici unsurlara dair en temel örnek olarak gösterilebilir. İstisna i durumlarda diğer belirleyici unsurlar da kişinin ismine benzer bir etki yaratabilir. Örneğin, kamuoyuna mal olmuş kişiler -örneğin Avrupa Komisyonu’nun Başkanı- bakımından o kişinin bulunduğu mevkiden bahsetmek yeterli olabilir.
Örnek: ‘Promusicae’57 davasında ABAD, Promusicae’nin belirli bir internet dosya paylaşım
platformunu ku lanan belirli bazı ku lanıcıların isim ve adreslerini içeren bilgiler in iletilmesini istemesinin kişisel verilerin, yani kimliği belirli veya belirlenebilir gerçek kişilere ait bilgilerin paylaşılması anlamına geldiği konusunda anlaşmazlık bulunmadığını ifade etmiştir. Promusciae’nin ileri sürdüğü ve Telefonica’nın da itiraz etmediği üzere, Telefonica tarafndan saklanan bu bilgilerin iletimi, 2002/58 sayılı Direktif’in 2. maddesinin ilk paragrafı
52 Veri Koruma Direktifi, Gerekçe 24.
53 XXXX, Birlikte Görülen C-92/09 and C-93/09, Xxxxxx and Xxxxxx Xxxxxxx GbR (C-92/09) and Xxxxxxx Xxxxxx (X-00/00) x. Xxxx Xxxxxx, 0 Kasım 2010, par. 53.
54 A.e., par. 52.
55 Bakınız AİHM , Amann v. Switzerland [GC], No. 27798/95, 16 Şubat 2000, par. 65.
56 Bakınız AİHM , Odièvre v. France [GC], No. 42326/98, 13 Şubat 2003; ve AİHM , Godelli v. Italy, No. 33783/09, 25 Eylül 2012.
57 ABAD, C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU, 29 Xxxx 2008, par. 45.
ve 95/46 sayılı Direktif’in 2. maddesinin b bendi birlikte değerlendirildiğinde, kişisel verilerin işlenmesi olarak değerlendirilmektedir.
Birçok isim eşsiz olmadığı için, kişinin kimliğini belirlemek ve başka birisiyle karıştırılmadığından emin olmak için ek belirleyici unsurlara ihtiyaç duyulabilir. Doğum tarihi ve yeri sıklıkla ku lanılmaktadır. Buna ek olarak, vatandaşların daha iyi bir şekilde ayırt edilebilmesini sağlayabilmek için bazı ülkelerde kişiselleştirilmiş numaraların da ku lanıld ığı bilinmektedir. İçinde yaşadığımız teknolojik çağda parmak izleri, dijital fotoğraflar veya iris taramaları gibi biyometrik verilerin kimlik tespitindeki önemleri giderek artmaktadır.
Veri koruma hukukunun uygulama alanı bulabilmesi için veri öznesinin yüksek düzeyde tespitine gerek bulunmamaktadır; kişinin belirlenebilir olması yeterli görülmektedir. Kişinin belirlenebilir olması, bilginin bir parçasından doğrudan veya dolaylı olarak tespit edilebilir olması anlamına gelmektedir.58 Veri Koruma Direktifi’nin Gerekçe bölümünün 26. maddesine göre buradaki temel ölçüt, tanımlama için gereken makul yolların bulunma ve bu yolların, 3. kişiler de dahil olmak üzere, öngörülebilir ku lanıcılar tarafından ku lanılma ihtimalini n yüksekliğidir. (Bkz. Bölüm 2.3.2.)
Örnek: Yerel bir otorite bölgedeki sokaklarda hız yapan arabalara dair veri toplamaya karar verir. Hız sınırını aşanların cezalandırılmasını sağlamak amacıyla, arabaların fotoğraflar ını çeker ve fotoğrafın çekildiği zaman ve yeri otomatik olarak kaydederek bu verileri yetkili makama iletir. Verileri kaydedilen bir kişi, yerel otoritenin böyle bir veri toplama faaliyeti için veri koruma hukuku kapsamında herhangi bir yasal dayanağının olmadığını öne sürerek şikâyette bulunur. Yerel otorite kişisel veri toplamadığını savunur. Araba plakalarının anonim kişilere dair veriler olduğunu söyler. Yerel otoritenin araç siciline erişerek araç sahibinin veya sürücünün kimliğini tespit etme gibi bir yasal yetkisi bulunmamaktadır.
Öne sürülen bu gerekçe Veri Koruma Direktifi’nin Gerekçe bölümünün 26. maddesi ile örtüşmemektedir. Veri toplamanın amacının açık bir şekilde hız sınırını ihlal edenleri tespit etmek ve cezalandırmak olduğu göz önüne alındığında, kimlik tespitinin de yapılma ya çalışılacağı öngörülebilir bir durumdur. Yerel otoritelerin doğrudan kimlik tespiti yapabilecekleri bir yolları bulunmasa da bu yollara sahip bir merci olan polise bu veriler i ileteceklerdir. Gerekçe’nin 26. maddesinde de verinin ilk ku lanıcısından sonraki aşamada veriyi teslim alanların bireyi tespit etmeye teşebbüs edebilecekleri bir durum açıkça öngörülmektedir. Gerekçe m. 26’nın sunduğu bakış açısıyla değerlendirildiğinde yerel otoritenin eylemi belirlenebilir kişilerle alakalı veri toplamakla eşdeğerdir ve bu sebeple de veri koruma hukuku kapsamında yasal bir dayanağı bulunmalıdır.
AK mevzuatı gereğince, belirlenebilirlik benzer bir şekilde anlaşılmaktadır. Ö deme ve Diğ er İş lemler İç in Ku lanılan Kiş isel Verilerin Korunmasına İliş kin Tavsiye Kararı’nın 1.
maddesinin 2. fıkrası kimliğin belirlenmesi çok uzun zaman, masraf veya insan gücü gerektirecekse, kişinin belirlenebilir sayılmayacağını belirtmektedir.59
Kimlik doğrulama
Bu prosedür bir kişinin belirli bir kimliğe sahip olduğunu ve/veya güvenlikli bir bölgeye girme veya bankadaki bir hesaptan para çekme gibi belirli şeyleri yapmaya yetkili olduğunu
58 Veri Koruma Direktifi, Madde 2(a).
59 Avrupa Konseyi, Bakanlar Komitesi (1990), Ödeme ve diğer ilgili operasyon için kullanılan kişisel verilerin korunması hakkında Öneri (90) 19, 13 Eylül 1990.
kanıtlayabileceği bir süreçtir. Kimlik doğrulama, bir pasaporta kayıtlı fotoğraf veya parmak izi gibi biyometrik verilerin örneğin göç idaresine gelen bir kişinin verileriyle karşılaştırılmas ı yoluyla; veya kimlik numarası veya şifre gibi yalnızca belirli bir kimliğe veya yetkiye sahip bir kişi tarafından bilinebilecek bilgilerin sorulması yoluyla; veya özel bir çipli kart veya bir banka kasasının anahtarı gibi yalnızca belirli bir kimliğe veya yetkiye sahip bir kişide bulunabile cek bir nesnenin ibrazını şart koşma yoluyla yapılabilir. Şifreler veya çipli kartlar dışında, bazen pin kodlarıyla birlikte ku lanılan elektronik imzalar da elektronik işlemlerle alakalı olarak bir kişinin kimliğini belirleme ve doğrulama noktasında elverişli araçlardan birisidir.
Verilerin tabiatı
Her türlü bilgi, bir kişiye ilişkin olması şartı ile kişisel veri olabilir.
Örnek: Bir işçinin işte gösterdiği performansa dair amiri tarafından yapılan ve işçinin özlük dosyasında saklanan değerlendirme, “işçi kendini işine vermiyor” ve “işçi geçtiğimiz altı ay içerisinde beş hafta boyunca işe gelmedi” gibi kısmen veya bir bütün olarak amirin kişisel yorumunu yansıtan bilgilerden oluşsa bile işçiye dair kişisel veridir.
Kişisel veriler kişinin özel hayatının yanı sıra mesleki ve sosyal hayatına dair bilgileri de kapsamaktadır.
‘Amann’ davasında,60 AİHM kişisel veri kavramını yorumlarken, bu kavramın kişinin özel alanına dair konularla sınırlı olmadığını söylemiştir. (Bkz. Bölüm 2.1.1.) Burada verilmiş olan tanım aynı zamanda Veri Koruma Direktifi açısından da önem taşımaktadır.
Örnek: ‘Xxxxxx ve Xxxxxx Xxxxxxx ve Xxxxxx Xxxxxx v. Land Hessen’61 davasında ABAD söz konusu verilerin iş hayatına yönelik olmasının bir anlam ifade etmediğini vurgulamıştır. Bu noktada AİHM, AİHS madde 8’in yorumuna da atıfta bulunarak, ‘özel hayat’ terimini n sınırlayıcı bir biçimde yorumlanmaması gerektiğini ve mesleki faaliyetlerin özel hayat kavramının dışında tutulmasını haklı gösterecek herhangi bir sebep olmadığını belirtmiştir.
Bilgilerin içeriği bir kişiye dair verileri dolaylı olarak açığa vurduğunda bile veriler kişilere ilişkindir. Bir nesne veya bir olay -örn. bir cep telefonu, bir araba, bir kaza- ile bir kişi –örn. telefonun sahibi, arabayı ku lanan, kazanın kurbanı- arasında yakın bir bağlantı bulunduğu bazı durumlarda bir nesne veya bir olay hakkındaki bilginin bile kişisel veri sayılması gerekebilir.
Örnek: ‘Uzun v. Almanya’62 davasında başvuru sahibi ve diğer bir adam bombalı saldırılara dahil oldukları şüphesiyle gözetim altına alınmış ve bu diğer adamın arabasına yerleştirile n cihaz yoluyla küresel bir takip sistemi (GPS) üzerinden takip edilmiştir. AİHM, başvuranın GPS yoluyla takibinin başvuranın AİHS madde 8 ile korunan özel hayatına müdahale teşkil ettiğini belirtmiştir. Ancak AİHM, GPS gözetlemesinin kanuna uygun olarak yapıldığını ve çok sayıda cinayet teşebbüsüne dair soruşturma yürütme şeklindeki yasal amaçla orantılı olduğunu ve bu sebeple de demokratik bir toplumda gerekli olduğunu ifade etmiş ve AİHS madde 8’in ihlal edilmediğine karar vermiştir.
Verilerin görünüş şekli
60 Bakınız AİHM , Amann v. Switzerland, No. 27798/95, 16 Şubat 2000, par. 65.
61 Birlikte Görülen C-92/09 ve C-93/09, Xxxxxx und Xxxxxx Xxxxxxx GbR and Xxxxxxx Xxxxxx v. Land Hessen, 9 Kasım 2010, par. 59.
62 AİHM , Uzun v. Germany, No. 35623/05, 2 Eylül 2010.
Verilerin hangi şekilde saklandığı veya ku lanıldığının veri koruma hukukunun uygulanabilirliği ile bir alakası bulunmamaktadır. Yazılı veya sözlü iletişimin yanı sıra fotoğraflar,63 kapalı devre televizyon sistemine ait görüntü 64veya ses65 de kişisel veri içerebilir. Elektronik olarak kaydedilmiş bilgiler veya kâğıda dökülmüş bilgiler de kişisel veri içerebilir ; hatta insan dokusuna ait hücre örnekleri de bir kişinin DNA’sını içermeleri sebebiyle kişisel veri olarak sayılabilirler.
2.1.2. Özel nitelikli kişisel veriler
AB ve AK mevzuatında, nitelikleri gereği işlenmeleri halinde veri öznelerine yönelik risk oluşturabilecek ve bu sebeple de daha güçlü bir korumaya ihtiyaç duyan özel kişisel veri kategorileri bulunmaktadır. Özel nitelikli bu kişisel verilerin (hassas verilerin) işlenmes ine ancak belirli güvencelerin sağlanması durumunda izin verilmelidir.
Hassas verilerin tanımına ilişkin olarak, gerek 108 Sayılı Sözleşme (madde 6) gerekse Veri Koruma Direktifi (madde 8) aşağıdaki kategorileri saymaktadır:
• Irk veya etnik kökene dair kişisel veriler;
• Siyasi düşünce, inanç veya diğer inançlara dair kişisel veriler;
• Sağlık ve cinsel hayata dair kişisel veriler.
Örnek: ‘Xxxxx Xxxxxxxxx’66 davasında ABAD, kişinin ayağını incittiğine ve tıbbi gerekçelerle yarı zamanlı çalıştığı gerçeğine atıfta bulunulmasının VK Direktifi madde 8(1) uyarınca sağlığa dair kişisel veri teşkil edeceğini belirtmiştir.
Veri Koruma Direktifi ayrıca siyasi görüş veya bağlantıya dair kuvvetli bir emare olabilece ği gerekçesiyle sendika üyeliğine dair bilgiyi de hassas veri olarak değerlendirmektedir.
108 Sayılı Sözleşme cezai mahkumiyetlere dair kişisel verileri de hassas veri olarak saymaktadır.
Veri koruma Direktifi madde 8(7) üye devletlerin “bir ulusak kimlik numarasının veya uygulamada ku lanılacak herhangi başka bir tanımlayıcının hangi koşu lar altında işlenebileceğine dair şartları belirlemesini şart koşmaktadır.
2.1.3. Anonim hale getirilmiş veya takma isim ile değiştirilmiş veriler
108 Sayılı Sözleşme’de ve VK Direktifi’nde yer alan verilerin sınırlı şekilde saklanması ilkesi uyarınca verilerin, veri öznelerinin verinin toplanma veya işlenme amacı için gerekli olan süreden daha uzun süreler boyunca belirlenmesine imkân vermeyecek bir biçimde saklanmas ı gerekmektedir.67 Bir veri sorumlusunun bu verileri tarihleri geçmiş olduğu ve ilk olarak belirlenen amaçlarına artık hizmet etmedikleri halde saklamak istemesi durumunda veriler in anonim hale getirilmeleri gerekmektedir.
Anonim hale getirilmiş veriler
63 AİHM , Von Hannover v. Xxxxxxx, Xx. 00000/00, 24 Haziran 2004; AİHM , Sciacca v. Italy, No. 50774/99, 11 Xxxx 2005. 64 AİHM , Xxxx v. the United Kingdom, No. 44647/98, 28 Xxxx 2003; AİHM , Xxxxx v. Germany, No. 420/07, 5 Ekim 2010. 65 Veri Koruma Direktifi, Gerekçesi 16 ve 17; AİHM , P.G. and X.X. x. the United Kingdom, No. 44787/98, 25 Eylül 2001, par. 59 ve 60; AİHM , Wisse v. France, No. 71611/01, 20 Aralık 2005.
66 ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003, par. 51.
67 Veri Koruma Direktifi, Madde6 (1) (e); ve 108 Sayılı Sözleşme, Madde 5 (e).
Kişisel verilerin kimlik tespitine yarayabilecek bütün unsurlarından arındırılması halinde veri anonim hale getirilmiş sayılır. Bilgi içerisinde, makul bir çaba gösterilmesi suretiyle veri öznelerin yeniden tespitini sağlayabilecek hiçbir unsur kalamaz.68 Başarılı bir şekilde anonim hale getirilmiş olan veriler artık kişisel veri değildirler.
Kişisel verilerin işlenmesini gerektiren sebepler ortadan kalkması, ancak tarihsel, bilimsel veya istatiksel sebeplerden dolayı verilerin saklanacak olması durumunda, VK Direktifi ile 108 Sayılı Sözleşme verilerin bu kapsamda saklanmasına ancak kötüye ku lanımı önlemeye dair uygun güvencelerin alınması halinde izin vermiştir.69
Takma isim ile değiştirilmiş veriler
Kişisel veriler, isim, doğum tarihi, cinsiyet ve adres gibi tanımlayıcı unsurlar içermektedir. Kişisel bilgilerin takma isimle değiştirildiği durumlarda, bu tanımlayıcı unsurlar bir takma isimle değiştirilmektedir. Takma isimle değiştirme, örneğin, kişisel verilerdeki tanımlayıc ı unsurların şifrelenmesi yoluyla yapılabilir.
Takma isimle değiştirilmiş veriler 108 Sayılı Sözleşme’nin veya VK Direktifi’nin yasal tanımlar kısmında açıkça yer almamıştır. Ancak, 108 Sayılı Sözleşmeye dair Açıklayıc ı Rapor’un 42. Maddesi şu şekilde bir düzenleme içermektedir: “Verilerin isimlerle bağlant ılı biçimlerde saklanmasına dair süre sınırlarına ilişkin gereklilik, verilerin belirli bir zamandan sonra bağlantılı oldukları kişinin isminden geri dönülemez biçimde ayrılmaları gerektiği anlamına gelmez; yalnızca verilerin ve tanımlayıcı unsurların kolayca bağlantılandırılmasını n mümkün olmaması anlamı taşır. Bunu da verilerin takma isimle değiştirilmesi sayesinde başarmak mümkündür. Şifreyi çözecek anahtara sahip olmayan herkes bakımından, takma isimle değiştirilmiş veri ancak zor bir şekilde kimlik tanımlayıcı hale getirilebilir. Bu durumda bir kimliğe bağlantı halen vardır ancak bu bağlantı artık takma isim ve şifreleme anahtarının birleşiminden oluşmaktadır. Şifreleme anahtarını ku lanma yetkisine sahip olanlar açısında n kimlik belirlemesinin yeniden yapılması kolaylıkla mümkündür. Şifreleme anahtarlarının yetkisiz kişiler tarafından ku lanımına karşı özel önlemler alınmalıdır.
Kişisel verileri ku lanmaktan tamamen kaçınmanın mümkün olmadığı günümüzde, geniş ölçekte bir veri korumasına ulaşmanın en önemli yollarından birisi takma isim ile değiştiril miş veriler olduğundan, bu şekildeki bir değiştirme eyleminin mantığı ve etkisi daha detaylı bir biçimde açıklanmalıdır.
Örnek: ‘Xxxxxxx Xxxxxxx, 3 Nisan 1967 doğumlu, 2 erkek ve 2 kız olmak üzere 4 çocuk
sahibi’ bilgisi aşağıdaki şekilde takma isimler ile değiştirilebilir:
‘C.S. 1967, 2 erkek ve 2 kız olmak üzere 4 çocuk sahibi’
‘324, 2 erkek ve 2 kız olmak üzere 4 çocuk sahibi’ ‘YESz3201, 2 erkek ve 2 kız olmak üzere 4 çocuk sahibi’
Takma isimlerle değiştirilmiş bu verilere erişen ku lanıcıların birçoğu 324 veya YESz3201 ibarelerinden yola çıkarak “Xxxxxxx Xxxxxxx, 3 Nisan 1967 doğumlu” şeklinde bir kimlik belirlemesi yapamayacaktır. Bu sebeple de takma isimle değiştirilmiş veriler kötüye ku lanıma karşı korunma anlamında daha elverişlidir.
68 A.e., Gerekçe 26.
69 A.e., Madde6 (1) (e); ve 108 Sayılı Sözleşme, Madde 5 (e).
Ancak ilk verilen örnek daha az koruma sağlamaktadır. “C.S. 1967, 2 erkek ve 2 kız olmak üzere 4 çocuk sahibi” cümlesinin Xxxxxxx Xxxxxxx’xx yaşadığı küçük kasabada ku lanılmas ı durumunda, Xxxxxxx Xxx kolaylıkla tanınabilir. Verilerin takma isimle değiştirilmesi nde ku lanılan yöntem, verilerin korunmasının etkinliğini etkileyebilir.
Şifrelenmiş tanımlayıcılar içeren kişisel veriler kişilerin kimliğini gizli tutmanın bir yolu olarak çok çeşitli bağlamlarda ku lanılmaktadır. Bu yöntem, veri sorumlularının veri öznelerini n gerçek kimliklerini bilmelerinin gerekmediği ancak aynı veri özneleriyle uğraştıklarından emin olmalarının gerektiği durumlar için öze likle ku lanışlıdır. Bir araştırmacının bir hastalığı n seyrini, kimlikleri yalnızca onları tedavi eden hastaneler tarafından bilinen ve araştırmacını n yalnızca takma isimlerle değiştirilmiş vaka geçmişlerine erişebildiği hastalar üzerinde n incelemesi hali bu ku lanışlılığa bir örnek olarak verilebilir. Bu yüzden takma isimle değiştir me gizliliği pekiştiren teknolojiler arasında önemli bir halkadır. Tasarım yoluyla gizlilik ilkesini n uygulanması aşamasında da önemli bir unsur olarak işlev görebilir. Bu da gelişmiş veri işleme sistemlerinin çekirdeğine yerleştirilmiş bir veri korumaya sahip olmak demektir.
2.2. Veri işleme
Ana başlıklar
• ‘İşleme’ terimi esas olarak otomatik işlemeyi ifade etmektedir.
• AB mevzuatına göre ‘işleme’ ek olarak yapılandırılmış dosyalama sistemlerinde yapılan manuel işlemeyi de ifade eder.
• AK mevzuatına göre, ‘işleme’nin anlamı manuel işlemeyi de içerek biçimde ulusal hukuk tarafından genişletilebilir.
108 Sayılı Sözleşme ile VK Direktifi kapsamında verilerin korunması birincil olarak otomatik veri işlemesine yöneliktir.
AK mevzuatına göre, otomatik işleme tanımı, otomatik halde gerçekleştirilen işlemlerin bazı aşamalarında kişisel verilerin manuel olarak ku lanımının gerekli olabileceğini kabul eder. Benzer şekilde AB mevzuatı da otomatik veri işlemeyi ‘kişisel veriler üzerinde tamamen veya kısmen otomatik olarak gerçekleştirilen işlemeler” olarak tanımlamaktadır.70
Örnek: ‘Xxxxx Xxxxxxxxx’00 xxxxxxxxx XXXX:
“Bir internet sitesinde çeşitli kişilere atıfta bulunma ve bu kişilerin kimliklerini ismen veya diğer yollarla, örneğin telefon numaralarını veya çalışma şartlarına veya hobilerine dair bilgile r vererek açık etmek 95/46 sayılı Direktif’in 3. maddesinin 1. fıkrası kapsamında ‘kişise l verilerin tamamen veya kısmen otomatik olarak işlenmesi”ne vücut verecektir.
Verilerin manuel olarak işlenmesi de veri korumasını gerektirir.
AB mevzuatı uyarınca verilerin korunması sadece otomatik veri işlemeleri ile sınırlı değildir. AB mevzuatı gereği verilerin korunması manuel dosyalama sistemleri, yani özel olarak yapılandırılmış kağıt dosyalar içerisinde yapılan kişisel veri işlemelerinde de uygulama alanı bulur.72 Korumanın bu şekilde genişletilmiş olmasının sebepleri şöyledir:
70 108 Sayılı Sözleşme, Madde2 (c); ve Veri Koruma Direktifi Madde2 (b) ve Madde3 (1).
71 ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003, par. 27.
72 Veri Koruma Direktifi, Madde3 (1).
• Kâğıt dosyalar bilgilerin kolaylıkla ve hızlı bir şekilde bulunmasını sağlayacak bir şekilde yapılandırılabilir ve
• kişisel verilerin yapılandırılmış kağıt dosyalar içerisinde saklanması otomatik veri işlemelerine yönelik olarak mevzuat tarafından getirilen sınırlamaların aşılmas ını kolaylaştırır.73
AK mevzuatı kapsamında, 108 sayılı Sözleşme esas olarak otomatik veri dosyalarına yönelik veri işlemelerini düzenler.74 Bunun yanında korumanın manuel işlemeleri de kapsayacak bir biçimde genişletilmesi imkanını ulusal hukuka bırakır. 108 Sayılı Sözleşme’ye taraf birçok ülke bu imkânı ku lanmış ve bu şekilde bir genişletme yaptıklarına dair Avrupa Konseyi Genel Sekreteri’ne beyanda bulunmuşlardır.75 Veri korumasının böyle bir beyan kapsamında genişletilmesi durumunda bunun bütün manuel veri işlemelerine yönelik olması ve manuel dosyalama sistemlerindeki işlemlerle sınırlı olmaması gerekmektedir.76
Mevzuat kapsamına dahil olan işlemelerin niteliğine gelindiğinde, gerek AB gerekse AK mevzuatı uyarınca işleme kavramının oldukça kapsamlı olduğu görülür : “ ‘Verilerin işlenmes i’ kişisel veriler üzerinde gerçekleştirilecek her türlü […] toplama, kaydetme, organize etme, saklama, uyarlama, veya değiştirme, kurtarma, danışma, kullanma, aktarım yoluyla ifşa etme, yayma veya başka bir şekilde ku lanılabilir kılma, sıralama veya birleştirme, engelleme, silme veya imha etme işlemini içermektedir.77 Verilerin bir veri sorumlusunun sorumluluk alanında n çıkarak başka bir veri sorumlusunun sorumluluk alanına girmesi için gerçekleştirilen eylemle r de ‘işleme’ kavramının kapsamına girmektedir.
Örnek: İş verenler işçileri ile alakalı maaşları ile alakalı olanlar dahil bazı veriler toplar ve bu verileri işlerler. İşverenin bu işlemeleri yasal olarak yapabilmesi iş sözleşmesi sayesindedir.
İş verenler işçilerin maaşlarına ait verileri vergi idarelerine iletmek durumundadır. Verilerin bu şekilde iletimesi 108 Sayılı Sözleşme ve VK Direktifi kapsamında bir ‘işleme’ teşkil edecektir. Ancak buradaki işlemenin yasal dayanağı iş sözleşmesi değildir. İşverenin vergi makamlar ına maaş verilerini iletmesi sonucunu doğuran işleme faaliyetleri için ayrı bir yasal dayanak olması gerekir. Çoğu zaman bu yasal dayanak ulusal vergi yasalarında bulunur. Bu hükümler olmadığı takdirde verilerin aktarımı yasa dışı bir işleme olacaktır.
2.3. Kişisel verilerin kullanıcıları
73 A.e., Gerekçe 27.
74 108 Sayılı Sözleşme, Madde2 (b).
75 Bakınız 108 Sayılı Sözleşme, Madde3 (2) (c).
76 Bakınız 108 Sayılı Sözleşme, Madde3 (2).
77 Veri Koruma Direktifi, Madde2 (b). Bakınız; 108 Sayılı Sözleşme, Madde2 (c).
Ana başlıklar
• Başkalarına ait kişisel verileri işlemeye karar veren kimseler verilerin korunması mevzuatı uyarınca veri sorumlusu sayılırlar; bu kararı birden çok kişi vermişse bu durumda ‘ortak sorumlu’ olabilirler.
• ‘Veri işleyen’ bir veri sorumlusu adına kişisel verileri işleyen yasal olarak ayrı bir konuma sahip kurumdur.
• Veri işleyen veri sorumlusunun talimatlarını dinlemeyip verileri kendi amaçları için
ku lanıyorsa, veri sorumlusu haline gelir.
• Veri sorumlusu tarafından iletilen verileri alan kişiye veri alıcısı denir.
• Veri sorumlusundan talimatları altında hareket etmeyen (ve veri öznesi olmayan) gerçek veya tüzel kişiye ‘üçüncü kişi’ denir.
• ‘Üçüncü kişi veri alıcısı’ veri sorumlusundan hukuken ayrı bir konumda bulunan ancak veri sorumlusundan kişisel veri alan kişi veya kurumdur.
2.3.1. Veri sorumluları ve veri işleyenler
Veri sorumlusu veya veri işleyen olmanın en önemli sonucu veri koruma hukukunun getirmiş olduğu yükümlülüklere uyma konusundaki yasal sorumluluktur. Dolayısıyla yalnızca yürürlükteki kanunlar bakımından sorumlu tutulabilecek olanların üstlenebileceği konumlard ır. Özel sektörde, genelde bu görevliler gerçek veya tüzel kişilerdir ; kamu sektöründe ise çoğu zaman bu bir kamu yetkilisidir. Tüzel kişiliği olmayan kuruluşlar veya kurumlar gibi diğer merciler ise yalnızca özel hükümlerin izin verdiği durumlarda veri sorumlusu veya veri işleye n olabilirler.
Örnek: Sunshine şirketinin pazarlama bölümü bir pazar araştırması için veri işleme yi planlıyorsa, bu durumda veri sorumlusu pazarlama bölümü değil, Sunshine şirketinin kendisi olacaktır. Pazarlama bölümü kendine ait tüzel kişiliği bulunmadığından veri sorumlusu olamaz.
Şirketler topluluklarında, ana şirket ve bağlı şirketlerden her biri ayrı birer tüzel kişiliğe sahip olduklarından ayrı ayrı veri sorumluları veya veri işleyenler olarak sayılırlar. Bu hukuki bölünmenin bir sonucu olarak bir topluluğun üye şirketleri arasında verilerin aktarılabilmes i için ortada hukuki bir dayanak bulunması gerekecektir. Şirket topluluğunu oluşturan ayrı tüzel kişiler arasında kişisel verilerin aktarımını mümkün kılan bir ayrıcalık bulunmamaktadır.
Bu bağlamda gerçek kişilerin rolünden de bahsedilmesi gerekmektedir. AB mevzuat ı kapsamında, gerçek kişiler, yalnızca kişisel veya hanehalkına yönelik faaliyetler kapsamında veri işlemeleri durumunda VK Direktifi kapsamına girmezler; veri sorumlusu sayılmazlar.78
Ancak, içtihatlarda bir gerçek kişinin internet ku lanımı sırasında başka bireylere ait veriler i yayınlaması durumunda verilerin korunması mevzuatının uygulama alanı bulacağına hükmedilmiştir.
Örnek: ‘Xxxxx Xxxxxxxxx’79 davasında ABAD:
78 Veri Koruma Direktifi, Gerekçe 12 ve Madde3 (2) son kısım.
79 ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003.
‘Bir internet sayfasında çeşitli kişilere atıfta bulunma ve bu kişilerin kimlik lerini ismen veya diğer yollarla açık etmek […] 95/46 sayılı Direktif’in 3. maddesinin 1. fıkrası kapsamında ‘kişisel verilerin tamamen veya kısmen otomatik olarak işlenmesi”ne vücut verir.80
Kişisel verilerin bu şekilde işlenmesi VK Direktifi’nin kapsamı dışında kalan yalnızca kişisel veya hanehalkına yönelik faaliyetler kapsamında değerlendirilemez; bu istisna “[…] bireyler in yalnızca özel veya aile hayatları kapsamında gerçekleştirdiği faaliyetlere ilişkin" olarak yorumlanmalıdır. Kişisel verilerin internette yayınlanması ve bu verilerin sayısız insanın erişimine açık hale getirilmesiyle bağlantılı işlemeleri bu kapsamda değerlendirmek mümkün değildir.81
Veri sorumlusu
AB mevzuatı uyarınca veri sorumlusu “tek başına veya başkalarıyla beraber kişisel veriler in işleme amaçlarını ve vasıtalarını belirleyen kişi”dir.82 Veri sorumlusunun alacağı karar veriler in ne sebeple ve hangi şekilde işleneceğini belirler. AK mevzuatı, veri sorumlusunun tanımı kapsamında ek olarak veri sorumlusunun hangi kişisel veri kategorilerinin saklanmas ı gerektiğine dair kararları veren merci olduğundan bahsetmektedir.83
108 Sayılı Sözleşme veri sorumlusunun tanımında bu aşamada değinilmesi gereken başka bir önemli unsurdan daha bahsetmektedir. Bu tanımda belirli bir amaçla belirli bazı verileri yasal olarak kimin işleyebileceği meselesi ele alınmaktadır. Hukuka aykırı işleme faaliyetler i gerçekleştirildiğinin iddia edildiği ve veri sorumlusunun tespit edilmesi gerektiği durumlarda, yasal olarak böyle bir işleme yapmaya yetkili olup olmadığına bakılmaksızın, veriler in işlenmesi gerektiğine karar veren kişi veya kurumun -örneğin bir şirket veya kamu otoritesi- veri sorumlusu sayılacağı düzenlenmektedir.84 Bu sebeple verilerin silinmesine dair talep her daim ‘f ili’ anlamdaki veri sorumlusuna yapılmalıdır.
Birlikte veri sorumluluğu
VK Direktifi’nde yer alan tanım gereği, veri sorumlusu olarak birlikte veya ortak olarak hareket eden farklı yasal kuruluşların bulunması mümkündür.85 Bu bağlamda ilgili kuruluşlar ın verilerin ortak bir amaç için işlenmesine beraberce karar verdikleri söylenebilir. Bunun yasal olarak mümkün olabilmesi için verilerin ortak bir amaç uğruna beraberce işlenmesine imkân veren özel bir yasal dayanağa ihtiyaç bulunmaktadır.
Örnek: Borcunu ödemede temerrüde düşen müşterilere dair birden çok kredi kuruluşu tarafından ku lanılan bir veri tabanı birlikte veri sorumluluğu halinin yaygın örneklerinde n birisidir. Söz konusu veri tabanının ortak veri sorumlularından birisi olan bir bankaya kredi başvurusu yapıldığında, ilgili banka veri tabanını kontrol eder ve başvuranın kredi başvurusuna dair sağlıklı kararlar verebilir.
80 A.e., par. 27.
81 A.e., par. 47.
82 Veri Koruma Direktifi, Madde2 (d).
83 108 Sayılı Sözleşme, Madde2 (d).
84 Bakınız, Madde 29 Çalışma Kurultayı (2010), 0/0000 Xxxxxx, ‘Xxxx Xxxxxxxxx’ xx ‘Xxxx Xxxxxxx’ kavramlarına ilişkin Öneri, WP 169, Brüksel, 16 Şubat 2010, s. 15.
85 Veri Koruma Direktifi, Madde2 (d).
Birlikte veri sorumluluğuna dair düzenlemelerde, veri sorumlularından her birisi için veri işleme amacının aynı olmasının gerekip gerekmediği veya amaçların kısmen örtüşmesini n yeterli olup olmadığı hususunda bir hüküm yoktur. Konuyla alakalı AB düzeyinde bir içtihat ve sorumluluğa dair sonuçlarla alakalı bir netlik bulunmamaktadır. Madde 29 Çalışma Kurultayıbirlikte veri sorumluluğu kavramının mevcut veri işleme durumlarının karmaşıklığı göz önüne alınarak mevzuata bir nebze esneklik tanınması amacıyla daha geniş bir biçimde yorumlanması gerektiğini savunmaktadır.86 Dünya Bankalararası Finansal İletiş im Topluluğu’nun (SWIFT) tarafı olduğu bir dava Çalışma Grubu’nun görüşlerini ortaya koymaktadır.
Örnek: ‘SWIFT’ davası olarak bilinen davada, Avrupa bankacılık kuruluşları, bankacılık işlemleri sırasında gerçekleştirilen veri aktarımlarını gerçekleştirmesi için, ilk aşamada bir veri işleyen olarak XXXXX’x görevlendirmişlerdir. SWIFT, kendisini görevlendirmiş olan Avrupa bankacılık kuruluşlarından bu yönde bir talimat almaksızın, Birleşik Devletler’deki (A.B.D.) bir sunucu merkezinde tuttuğu bu bankacılık işlemi verilerini A.B.D. Hazine Bakanlığı’ yla paylaşmıştır. Madde 29 Çalışma Kurultayıbu durumun yasa lığına dair değerlendirmele rde bulunurken SWIFT’in ve SWIFT’i görevlendiren Avrupa bankacılık kurumlarının, Avrupalı müşterilerin verilerinin A.B.D. yetkililerine aktarılmasından dolayı bu müşterilere karşı birlik te veri sorumluları olarak değerlendirilmeleri gerektiği sonucuna varmıştır.87 SWIFT, veriler in ifşasına karar vererek -hukuka aykırı bir biçimde- veri sorumlusu rolünü üstlenmişt ir ; bankacılık kuruluşları ise veri işleyeni denetleme yükümlülüklerini yerine getirme konusunda üzerlerine düşeni yapmamışlar ve bu sebeple de veri sorumlusu olarak yükümlülüklerinden sıyrılmış sayılamazlar. Bu durum da birlikte veri sorumluluğunu gerektirmektedir.
Veri İşleyen
AB hukuku kapsamında, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi veri işleyen olarak tanımlanır.88 Veri işleyenin yetkilendirildiği faaliyetler yalnızca belirli bir görevle sınırlandırılmış olabileceği gibi oldukça geniş ve kapsamlı da olabilir.
AK mevzuatı gereğince, veri işleyenin anlamı AB mevzuatı ile aynıdır.
Veri işleyenler, başkaları için veri işledikleri durumlar haricinde, örneğin kendi işçilerini n yönetimi, satışları veya hesapları vb. kişisel amaçları uğruna gerçekleştirdikleri işleme faaliyetleri bakımından veri sorumlusu sayılacaklardır.
Örnek: Everready şirketi başka şirketlerin insan kaynakları verilerinin yönetimi amacıyla veri işleme konusunda uzmanlaşmıştır. Bu faaliyeti kapsamında Everready bir veri işleyendir.
Everready kendi çalışanlarına ait verileri işlemesi durumunda ise işveren olarak yükümlülüklerini yerine getirme amacıyla gerçekleştirdiği bu veri işleme faaliyetler i bakımından veri sorumlusu olacaktır.
Veri sorumlusu ile veri işleyen arasındaki ilişki
86 Madde 29 Çalışma Kurultayı (2010), 0/0000 Xxxxxx, ‘Xxxx Xxxxxxxxx’ xx ‘Xxxx Xxxxxxx’ kavramlarına ilişkin Öneri, WP 169, Brüksel, 16 Şubat 2010, s. 19.
87 Madde 29 Çalışma Kurultayı (2006), 10/2006 Sayılı, SWIFT aracılığı ile işlenen kişisel verilere ilişkin Öneri, WP 128, Brüksel, 22 Kasım 2006.
88 Veri Koruma Direktifi, Madde2 (e).
Daha önce gördüğümüz üzere veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalar ını belirleyen olarak tanımlanmaktadır.
Örnek: Sunshine şirketinin yöneticisi, pazar analizinde uzman bir şirket olan Moonlight şirketinin Sunshine’ın müşteri verilerine ilişkin olarak bir pazar araştırması yapmasına karar verir. Verilerin işlenmesine dair vasıtalara karar verme görevi Moonlight şirketine devredilmesine rağmen Sunshine şirketi veri sorumlusu olarak kalmaya devam eder ve Moonlight şirketi ise, Sunshine’ın müşterilerine ilişkin verileri aradaki sözleşme gereği yalnızca Sunshine şirketinin belirleyeceği amaçlarla sınırlı olarak ku lanabilecek olan bir veri işleyen olur.
Verilerin işlenme vasıtalarına karar verme yetkisi bir veri işleyene devredilmiş olsa bile, veri sorumlusu veri işleyenin işleme vasıtaları konusunda aldığı kararlara müdahale edebilecek konumda olmalıdır. Genel sorumluluk halen, veri işleyenlerin kararlarının verilerin korunması hukukuna uygunluğunu denetlemesi gereken veri sorumlusundadır. Veri sorumlusunun veri işleyenin kararlarına müdahale etmesini yasaklayıcı hükümler içeren bir sözleşme büyük ihtimalle her iki tarafın da veri sorumlusuna dair yasal yükümlülükleri paylaştığı bir birlik te veri sorumluluğu olarak yorumlanacaktır.
Ayrıca veri işleyen veri sorumlusu tarafından konulan veri ku lanımına dair sınırlandırmala ra uymazsa veri sorumlusunun talimatlarını ihlal ettiği ölçüde veri sorumlusu haline gelecektir. Bu da veri işleyeni yüksek ihtimalle, hukuka aykırı bir biçimde hareket eden bir veri sorumlus u haline getirecektir. Buna karşılık olarak, ilk baştaki veri sorumlusunun, veri işleyenin yetki sınırını aşmasının nasıl mümkün olduğunu açıklaması gerekecektir. Madde 29 Çalışma Kurultayıda bu tür durumlarda, veri öznelerinin çıkarlarının en iyi şekilde korunmasını sağladığı için birlikte veri sorumluluğunun söz konusu olduğunu varsaymaktadır.89 Birlikte veri sorumluluğun getirdiği önemli bir sonuç da veri öznelerine hukuk yolları anlamında daha geniş seçenekler sunan müşterek ve müteselsil tazminat sorumluluğu ha leridir.
Veri sorumlusunun küçük çaplı bir şirket, veri işleyenin ise bu küçük şirkete hizmet şartlarını dayatabilecek güçte büyük ölçekli bir şirket olduğu durumlarda sorumluluğun bölünmesine dair sorunlar da söz konusu olabilir. Bu tür durumlarda, Madde 29 Çalışma Kurultayısorumlul uk standardının ekonomik dengesizlik gerekçesiyle aşağı çekilmemesinin gerektiğini ve veri sorumlusu kavramına dair yorumlamaya sadık kalınması gerektiğini ifade etmektedir.90
Veri sorumlusu ile veri işleyen arasındaki ilişkinin detayları, açıklık ve şeffaflık adına, yazılı bir sözleşme ile belirlenmelidir.91 Böyle bir sözleşmenin yapılmamış olması, veri sorumlusunun ortak sorumluluklara dair yazılı belge sunma yükümlülüğünün ihlalidir ve yaptırımlara yol açabilir.92
Veri işleyenler görevlerinin bir kısmını alt veri işleyenlere devretmek isteyebilirler. Bu şekilde bir devir yasal olarak mümkündür ve veri sorumlusunun her işleme öncesi izninin gerekip
89 Madde 29 Çalışma Kurultayı (2010), 0/0000 Xxxxxx, ‘Xxxx Xxxxxxxxx’ xx ‘Xxxx Xxxxxxx’ kavramlarına ilişkin Öneri, WP 169, Brüksel, 16 Şubat 2010, s. 25; ve 10/2006 Sayılı, SWIFT aracılığı ile işlenen kişisel verilere ilişk in Öneri, WP 128, Brüksel, 22 Kasım 2006.
90 Madde 29 Çalışma Kurultayı (2010), 0/0000 Xxxxxx, ‘Xxxx Xxxxxxxxx’ xx ‘Xxxx Xxxxxxx’ kavramlarına ilişkin Öneri, WP 169, Brüksel, 16 Şubat 2010, s. 26.
91 Veri Koruma Direktifi, Madde17 (3) ve (4).
92 Madde 29 Çalışma Kurultayı (2010), 0/0000 Xxxxxx, ‘Xxxx Xxxxxxxxx’ xx ‘Xxxx Xxxxxxx’ kavramlarına ilişkin Öneri, WP 169, Brüksel, 16 Şubat 2010, s. 27.
gerekmeyeceği veya işleme öncesi bilgilendirmenin yeterli olup olmayacağı gibi detaylar veri sorumlusu ve veri işleyen arasında yapılan sözleşmedeki şartlara bağlı olarak belirlenecektir.
AK mevzuatına göre, veri sorumlusu ve veri işleyen kavramlarına yönelik yukarıdaki yorumlar 108 Sayılı Sözleşme’ye uygun olarak alınan tavsiye kararlarından da görülebileceği üzere aynı şekilde geçerlidir.93
2.3.2. Veri alıcıları ve üçüncü kişiler
Veri alıcıları ile üçüncü kişiler arasındaki ayrım ilk olarak VK Direktifi kapsamında yapılmış t ır ve buradaki fark temelde bu kişi/kurumların veri sorumlusu ile ilişkileri ve veri sorumlus u tarafından saklanan kişisel verilere erişme yetkilerinden kaynaklanmaktadır.
Üçüncü kişi, veri sorumlusundan hukuken farklı bir statüye sahip kişidir. Bu yüzden de veriler in üçüncü kişiye aktarılması her daim yasal bir dayanak gerektirecektir. VK Direktifi’nin 2(f) maddesi uyarınca, üçüncü kişi, “hukuken veri sorumlusundan bağımsız olan ve doğrudan veri sorumlusu veya veri işleyenin yetkisi altında veri işlemeye yetkilendirilmiş herhangi bir gerçek veya tüzel kişiyi, kamu makamı, ajansı veya veri öznesinden başka herhangi bir kişiyi ifade eder”. Bu bağlamda, veri sorumlusundan hukuki bakımdan farklı bir şirket için çalışan kişiler - bu şirket aynı şirketler grubuna veya holdinge ait olsalar da- üçüncü kişi olurlar veya üçüncü bir kişiye ait sayılırlar. Buna karşın, banka müşterilerinin hesaplarını genel merkezin doğrudan yetkisi altında işleyen banka şubeleri ‘üçüncü xxxx’ xxxxxxxxxxx. 00
‘Xxxx xxxxxxx’, ‘xxxxxx xxxx’ye kıyasla daha geniş bir terimdir. VK Direktifi madde 2(g) uyarınca veri alıcısı, “üçüncü kişi olsun veya olmasın, kendisine verilerin ifşa edildiği gerçek veya tüzel kişi, kamu makamı, ajans veya başka herhangi bir kişiyi” ifade eder. Veri alıcısı, veri sorumlus u veya veri işleyenin dışında bir kişi -bu durumda bir üçüncü kişi- olabileceği gibi veri sorumlus u veya veri işleyenin bünyesinde bulunan birisi de olabilir. Örneğin veri sorumlusu veya veri işleyenin bir çalışanı veya aynı şirket veya kamu makamının başka bir bölümü olabilir.
Veri alıcısı ve üçüncü kişiler arasındaki ayrımın önemi verilerin hukuka uygun olarak ifşasına dair şartlar bakımından ortaya çıkmaktadır. Veri sorumlusunun veya veri işleyenin çalışanlar ı, veri sorumlusu veya veri işleyenin işleme faaliyetlerinde yer almaları durumunda başka bir yasal şart aranmaksızın kişisel veri alıcısı olabilirler. Buna karşın, veri sorumlusundan veya veri işleyenden hukuken ayrı konumda bulunan bir üçüncü kişi, belirli bir duruma yönelik belirli yasal gerekçeler bulunmadıkça veri sorumlusu tarafından işlenen kişisel veriler i kullanmaya yetkili değildir. Bu sebeple ‘üçüncü kişi veri alıcıları’nın kişisel verileri hukuka uygun bir biçimde alabilmesi için her zaman hukuki bir dayanağa ihtiyaçları olacaktır.
Örnek: İşvereni tarafından kendisine verilen görevler kapsamında kişisel verileri ku lanan bir veri işleyen çalışanı bir veri alıcısıdır; verileri, veri işleyenin talimatları uyarınca ve veri işleye n adına ku landığından üçüncü kişi sayılamaz.
Veri işleyenin bir çalışanı olarak bu verilere erişim imkânı olan bu çalışan verileri kendi amaçları için ku lanmak ister ve bunları başka bir şirkete satarsa, bu durumda çalışanın üçüncü kişi olarak hareket ettiği söylenebilecektir. Bu çalışan artık veri işleyenin (işverenin) talimatlarını yerine getirmemektedir. Üçüncü kişi olarak da bu verilerin toplanması ve satışına
93 Örneğin, Profilleme Tüzüğü, Madde 1.
94 Madde 29 Çalışma Kurultayı (2010), 0/0000 Xxxxxx, ‘Xxxx Xxxxxxxxx’ xx ‘Xxxx Xxxxxxx’ kavramlarına ilişkin Öneri, WP 169, Brüksel, 16 Şubat 2010, s. 31.
dair bir yasal bir dayanağı olması gerekmektedir. Bu örnekte kesinlikle böyle bir yasal dayanak bulunmamaktadır ve çalışanın faaliyetleri yasal değildir.
2.4. Rıza
Ana başlıklar
• Kişisel verilerin işlenmesine dair hukuki bir dayanak olarak rızanın, özgür iradeyle açıklanmış, bilgilendirilmeye dayalı ve belirli bir konuya ilişkin olması gerekir.
• Xxxx xxxx bir şekilde verilmiş olmalı. Xxxx xxxxx bir şekilde veya veri öznesinin kişisel verilerinin işlenmesine rıza gösterdiğine şüphe bırakmayacak bir biçimde davranması yoluyla zımni olarak verilebilir.
• Özel nitelikli kişisel verilerin işlenmesi ilgilinin açık rızası olmaksızın işlenemez.
• Rıza her zaman geri çekilebilir.
Xxxx, “veri öznesi tarafından belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir.95 Birçok durumda, verilerin işlenmesi için gerekli yasal bir dayanaktır (Bölüm 4.1 bakınız).
2.4.1. Geçerli rızanın unsurları
AB mevzuatı rızanın geçerli olabilmesi için 3 unsurun varlığını aramaktadır. Bu sayede veri öznelerinin, verilerinin ku lanımını gerçekten kabul ettikleri hususu güvence altına alınmış olacaktır.
• Veri öznesi rızasını hiçbir baskı altında kalmadan vermiş olmalıdır;
• Veri öznesi rıza vereceği konunun içeriği ve sonuçları hakkında gereğince bilgilendirilmiş olmalıdır;
• Rızanın kapsamı makul derecede belirli olmalıdır.
Bu üç şartın her biri sağlanmış ise, verilerin korunması hukuku kapsamında rıza geçerli sayılmaktadır.
108 Sayılı Sözleşme rızanın tanımlamamasını yapmamakta, bu tanımlamayı ulusal hukuka bırakmaktadır. Ancak, AK mevzuatında, 108 sayılı Sözleşme’ye uygun olarak verilmiş tavsiye kararlarında da ifade edildiği üzere geçerli rızaya dair şartlar yukarıda sunulmuş olan şartlarla aynıdır.96 Geçerli rıza için aranan şartlar, Avrupa medeni hukukunda geçerli bir irade beyanı için aranan şartlarla aynıdır.
Hukuki ehliyet gibi medeni hukukta geçerli rıza için ek olarak aranan şartlar yasal bağlamda temel ön koşu lar olduklarından verilerin korunması alanında da doğal olarak uygulanmaktad ır.
95 Veri Koruma Direktifi, Madde 2 (h).
96 Örneğin, 108 Sayılı Sözleşme, İstatiksel Veri Tüzüğü, 6. Nokta.
Hukuki ehliyeti bulunmayan kişiler tarafından verilmiş geçersiz bir rıza, bu kişilere ait veriler in işlenmesi bakımından hukuki bir dayanağın bulunmaması sonucunu doğuracaktır.
Xxxx xxxxx veya zımni bir şekilde verilmiş olabilir.97 Xxxxx xxxx veri öznesinin niyeti konusunda şüpheye yer bırakmaz ve sözlü veya yazılı olarak verilebilir; zımni rızanın varlığı ise durumdan çıkarılır. Rıza kesin bir şekilde verilmelidir.98 Veri öznesinin, verilerinin işlenmesine izin verdiğine dair kabulünü ortaya koymak istediğine dair makul bir şüphe bulunmamalıd ır. Örneğin, tek başına hareketsizlikten yola çıkarak var olduğu kabul edilen bir rıza, kesin şekilde verilmiş bir rıza sayılamayacaktır. İşlenecek verilerin hassas olduğu durumlarda rızanın sarih olması kanunen zorunludur ve rıza kesin olmalıdır.
Özgür iradeyle açıklanmış xxxx
Xxxxx iradeyle açıklanmış rıza, “veri öznesinin hile, tehdit, zorlama veya rıza göstermemes i durumunda belirgin olumsuz sonuçlar doğurma riski altında olmadan gerçek bir seçim yapabilecek durumda olması” halinde geçerli sayılır.99
Örnek: Birçok havaalanında, yolcuların biniş alanlarına girebilmeleri için vücut taramasında n geçmeleri gerekmektedir.100 Bu tarama sırasında yolcuların verileri işlendiği için, işlemeleri n VK Direktifi madde 7’de sayılan hukuki dayanaklardan birisine uygun olmaları gerekmektedir (Bkz. Bölüm 4.1.1). Bazı durumlarda, rızalarının işlemeyi haklı kılacağı ima edilerek vücut taraması yolculara bir seçenek olarak sunulmaktadır. Ancak, yolcuların büyük bir çoğunluğu vücut taramasından geçmeyi reddetmelerinin kendilerine şüphe ile bakılmasına veya üst araması gibi ek kontrollere sebep olacağından korkabilirler. Çoğu yolcu olası sorunların ve gecikmelerin önüne geçmek için vücut taramasına rıza göstermektedir.
Bu sebeple, tarama işlemine yönelik sağlam bir hukuki temel ancak yasa koyucunun bir düzenlemesi olan VK Direktifi madde 7(e)’de bulunabilecek ve bu üstün kamu yararı sebebiyle yolcuların işbirliği yapmasına yönelik bir yükümlülük meydana getirecektir. Söz konusu düzenleme kapsamında, vücut taraması ve üst araması arasında bir seçim sunmaya devam edilebilir ancak bu belirli koşu lar altında gereken ek sınır kontrol önlemlerinin yalnızca bir parçası olabilir. Bu tür yasal düzenlemeler kişinin üzerini el ile arama ve tarama cihazı yardımı ile arama seçeneğini kapsayabilir. Avrupa Komisyonu’nun güvenlik tarayıcılarına yönelik olarak 2011 yılında çıkartılan iki tüzükte getirdiği düzenlemeler bunlardır.101
Özgür iradeyle açıklanan rıza, rızayı alan veri sorumlusu ile rızayı veren veri öznesi arasında ekonomik veya başka bir açıdan belirgin bir dengesizlik olması halinde ortaya çıkan bağımlılık/itaat durumlarında tehdit altına girebilir.102
97 Veri Koruma Direktifi, Madde 8 (2).
98 A.e., Madde 7 (a) ve Madde 26 (1).
99 Bakınız Madde 29 Çalışma Kurultayı (2011), 15/2011 Sayılı Xxxx Xxxxxxxxx ilişkin Öneri, WP 187, Brüksel, 13 Temmuz 2011, s. 12.
100 Bu örnek s.15’ten alınmıştır.
101 272/2009 Sayılı, Sivil havacılık güvenliği konusunda AB havalimanlarında güvenlik tarayıcıların kullanılmasına ve ortak temel standartları’nın tamamlanmasına ilişkin Tüzüğün değiştirilmesi üzerine, 10 Kasım 2011, OJ 2011 L 293, ve 1141/2011 Sayılı, 185/2010 Sayılı, Sivil havacılık güvenliği konusunda AB havalimanlarında güvenlik tarayıcıların kullanılmasına dair uygulamaya ilişkin Komisyon Tüzüğün değiştirilmesi üzerine, 11 Kasım 2011, OJ 2011 L 294.
102 Bakınız Madde 29 Çalışma Kurultayı (2001), 8/2001 Sayılı, İstihdam alanında kişisel verilerin işlenmesine ilişkin Öneri, WP 48, Brüksel, 13 Eylül 2001; ve Madde 29 Çalışma Kurultayı (2005), 95/46/AB Sayılı Direktifin 26(1). maddesi’nin ortak anlayışına ilişkin Çalışma Metni, 24 Ekim 1995, WP 114, Brüksel, 25 Kasım 2005.
Örnek: Büyük ölçekli bir şirket sırf kurum içi iletişimi geliştirmek adına bütün çalışanlarını n isimlerini, şirketteki görevlerini ve iş adreslerini içeren bir rehber oluşturmayı planlamaktad ır. Personel daire başkanı, örneğin toplantılarda çalışanların birbirlerini tanımalar ını kolaylaştırmak için bu rehbere her bir çalışanın fotoğrafının da eklenmesini önerir. Çalışan temsilcileri bu eklemenin ancak ilgili çalışanın rızası olması durumunda yapılabilmesini talep ederler.
Böyle bir durumda, bir işçinin rızasının rehberdeki fotoğrafların işlenmesi için yasal dayanak oluşturacağı ifade edilebilir. Zira rehberde bir fotoğrafın yayınlanmasının kendi içerisinde olumsuz sonuçlarının olmadığı bellidir. Üstelik, çalışanın fotoğrafının rehberde yayınlanmas ına rıza göstermemesi durumunda işveren tarafından kendisine yöneltilecek olumsuz etkilere maruz kalmayacağını düşünmek de akla yatkındır.
Bu açıklamalar, rıza gösterilmemesinin olumsuz sonuçlar doğurabileceği durumlarda verile n rızanın asla geçerli olamayacağı şeklinde anlaşılmamalıdır. Örneğin, bir süpermarketin müşteri kartını almaya rıza gösterilmemesi durumunda karşılaşılabilecek sonuç belirli bazı ma lardak i indirimlerden yararlanamamak olacaksa, kartı almış olan müşterilerin gösterdikleri rıza bu müşterilerin kişisel verilerinin işlenmesi için geçerli bir yasal dayanak oluşturmaya devam edecektir. Süpermarket ve müşterisi arasında bir bağımlılık/itaat ilişkisi yoktur ve rıza göstermemenin sonuçları veri öznesinin rızasını özgür iradeyle açıklamasına engel olacak kadar ciddi değildir.
Diğer taraftan, yeterli derecede önemli mal ve hizmetlerin münhasıran bazı kişisel veriler in üçüncü kişilere ifşası yoluyla elde edilebildiği durumlarda, veri öznesinin verilerin ifşasına dair rızası özgür iradeyle açıklanmış rıza olarak değerlendirilemez ve bu sebeple veriler in korunması hukuku kapsamında geçerli değildir.
Örnek: Uçak yolcularının, yolcu isim kaydı (PNR) olarak da adlandırılan ve kimlikleri, yeme alışkanlıkları veya sağlık sorunları vb. verileri içeren kayıtlarının belirli bir yabancı ülkenin göç idaresine aktarılabileceğine dair havayolu şirketlerine verdikleri bir onay, yolcuların o ülkeyi ziyaret etmek istemeleri durumunda başka bir seçenekleri olmadığı için verilerin korunması hukuku bağlamında geçerli bir rıza sayılamaz. Bu tür verilerin aktarımının yasal bir şekilde yapılabilmesi için rızadan başka bir hukuki dayanağa, büyük ihtimalle özel bir kanuna, ihtiyaç olacaktır.
Bilgilendirilmeye dayalı rıza
Xxxx öznesi kararını vermeden önce yeterli bilgiye sahip olmalıdır. Yeterli bilginin verilip verilmediği hususu her olay bakımından ayrı ayrı değerlendirilmelidir. Yapılacak bilgilendirilme, genel olarak, rıza gerektiren konuya dair kesin ve kolayca anlaşılabilir bir tanım ve buna ek olarak rıza gösterilmesi veya gösterilmemesinin sonuçlarını genel hatlarıyla aktaran bir özetten oluşur. Bilgilendirmede ku lanılacak dil bilgilendirmenin olası muhatapları göz önüne alarak oluşturulmalıdır.
Bilgilendirme aynı zamanda veri öznesinin kolayca ulaşabileceği şekilde olmalıd ır. Bilgilendirmenin erişilebilirliği ve görünürlüğü önemli unsurlardır. Çevrimiçi ortamlardak i bilgilendirmelerin katmanlı bir şekilde yapılması, yani veri öznesi tarafından erişilebilir olan kapsamlı bilgilendirme metni dışında özet olarak hazırlanmış bir bilgilendirmenin de veri öznesine sunulması iyi bir çözüm olabilir.
Belirli bir konuya ilişkin rıza
Geçerli olabilmesi için rızanın belirli bir konuya ilişkin olması gerekir. Bu gereklilik, rızanın amacıyla alakalı olarak yapılan bilgilendirmenin kalitesiyle de yakından bağlantılıdır. Bu bağlamda, ortalama bir veri öznesinin makul beklentileri göz önünde bulundurulmalıd ır. Yürütülen işleme faaliyetlerine yapılan ekleme ve değişikliklerin, bu faaliyetleri rızanın ilk alındığı zamanda öngörülemeyecek bir biçimde değiştirmiş olması durumunda veri öznesinin rızasının tekrar alınması gerekmektedir.
Örnek: ‘Deutsche Telekom AG’103 davasında ABAD, Özel Hayatın Gizliliği ve Elektronik İletişim Direktifi’nin104 12. maddesi uyarınca abonelerine ait kişisel verileri aktarma yükümlülüğü altında bulunan bir telekomünikasyon hizmet sağlayıcısının, abonelerin rızalar ını verdikleri tarihte veri alıcılarının belirli olmaması sebebiyle, veri öznelerinden alacağı yenilenmiş rızalara ihtiyacı olup olmadığı konusunu tartışmıştır.
ABAD söz konusu hüküm gereği verilerin aktarılmasından önce rızaların yenilenmesini n gerekmediğini, çünkü veri öznelerinin anılan düzenleme gereği yalnızca işlemenin amacına, yani verilerinin yayınlanmasına yönelik rıza göstermelerinin mümkün olduğunu, bu veriler in yayınlanacağı farklı dizinler arasından seçim yapma imkanlarının bulunmadığını belirtmiştir.
Mahkemenin de altını çizdiği üzere, " Özel Hayatın Gizliliği ve Elektronik İletişim Direktifi’ nin
12. maddesinin bağlamsal ve sistematik bir yorumundan da anlaşılacağı gibi, 12(2) maddesi kapsamında rıza, herhangi bir dizin sağlayıcının kimliğine yönelik değil, kişisel veriler in kamuya açık bir dizinde yayınlanması amacına ilişkindir.”105 Bunun da ötesinde, “bir aboneye zarar verebilecek olan asıl şeyin, yayını yapanın kim olduğundan çok, o aboneye ait kişisel verilerin kamuya açık bir dizinde yayınlanması eyleminin kendisi olduğu ortaya çıkabilir”.106
2.4.2. Rızayı her daim geri çekme hakkı
VK Direktifi genel bir her daim rızayı geri çekme hakkından bahsetmemektedir. Buna karşın böyle bir hakkın var olduğu ve veri öznesinin de bu haktan istediği zaman yararlanabilece ği yaygın şekilde kabul edilmektedir. Xxxxxxx geri çekilmesi için gerekçe gösterme zorunluluğu ve rızanın geri çekilmesi sebebiyle artık yararlanılamayacak olan avantajların kaybedilmes i dışında ve üzerinde herhangi bir olumsuz etki doğma riski bulunmamalıdır.
Örnek: Bir müşteri veri sorumlusuna verdiği mail adresine kampanya mailleri yollanmas ını kabul eder. Müşteri mailleri almak istemediğini belirttiği anda, veri sorumlusu derhal mail gönderimlerine son vermelidir. Bunu yaparken de cezalandırıcı nitelikte, örneğin işlem bedeli vb. yaptırımlar uygulanmamalıdır.
Eğer müşteri kişisel verilerinin kampanya maili gönderimleri için ku lanılmasına rıza gösterdiği için konaklama ücretlerinde 5% indirimden faydalanmaktaysa, kaydını sildirmeye karar verdiğinde daha önce faydalanmış olduğu indirimlerin geri ödenmesi talep edilemez.
3. Avrupa veri koruma hukukunun temel ilkeleri
103 ABAD, C-543/09, Deutsche Telekom AG v. Germany, 5 Mayıs 2011; özellikle bakınız par. 53 ve 54.
104Avrupa Birliği Parlamentosu ve Konseyi, 2002/58 Sayılı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi, 12 Temmuz 2002, OJ 2002 L 201.
105 ABAD, C-543/09, Deutsche Telekom AG v. Germany, 5 Mayıs 2011; par. 61.
106 A.e., par. 62
AB | İşlenen konular | AK |
VK Direktifi, Madde 6 (1) (a) ve (b) | Hukuka uygun işlenme ilkesi | 108 Sayılı Sözleşme, Madde 5 (a) ve (b) |
XXXX, X-000/00, Xxxxx x. | XXXX, Xxxxxx x. Xxxxxxx | |
Xxxxxxx, 16 Aralık 2008 ABAD, Birlikte Görülen C- 92/09 ve C-93/09, Xxxxxx and Xxxxxx Xxxxxxx XxX and Xxxxxxx Xxxxxx v. Land Hessen, 9 Kasım 2010 | [GC], No. 28341/95, 4 May 2000 AİHM, Xxxxxx-Xxxxxx v. the United Kingdom, No. 47114/99, 22 Ekim 2002 AİHM, Xxxx v. the United Kingdom, No. 44647/98, 28 Xxxx 2003 | |
AİHM, Khelili v. Switzerland, No. 16188/07, 18 Ekim 2011 | ||
AİHM, Leander v. Sweden, No. | ||
9248/81, 26 Mart 1987 | ||
VK Direktifi, Madde 6 (1) (b) | İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi | 108 Sayılı Sözleşme, Madde 5 (b) |
Veri kalitesi ilkesi | ||
VK Direktifi, Madde 6 (1) (c) | Verilerde gereklilik ilkesi | 108 Sayılı Sözleşme, Madde 5 (c) |
VK Direktifi, Madde 6 (1) (d) | Verilerde doğrululuk ilkesi | 108 Sayılı Sözleşme, Madde 5 (d) |
VK Direktifi, Madde 6 (1) (e) | Verilerin sınırlı muhafazası ilkesi | 108 Sayılı Sözleşme, Madde 5 (e) |
VK Direktifi, Madde 6 (1) (e) | Bilimsel ve istatiksel araştırmalar için istisnalar | 108 Sayılı Sözleşme, Madde 9 (3) |
VK Direktifi, Madde 6 (1) (a) | Adil işleme ilkesi | 108 Sayılı Sözleşme, Madde 5 (a) AİHM, Haralambie v. Romania, No. 21737/03, 27 Ekim 2009 AİHM, K.H. and Others v. |
Slovakia, No. 32881/04, 28 Nisan 2009 | ||
VK Direktifi, Madde 6 (2) | Hesap verilebilirlik ilkesi |
108 Sayılı Sözleşme madde 5’te yer verilen ilkeler Avrupa veri koruma mevzuatının özünü oluştururlar. VK Direktifi’nin 6. maddesinde de konuya ilişkin daha detaylı düzenleme le r öncesinde bir başlangıç noktası olarak yer alırlar. AK ve AB düzeyinde yapılacak bundan sonraki bütün veri koruma mevzuatının bu ilkelerle uyumlu olması ve bu yeni düzenleme le r yorumlanırken temel ilkelerin akıldan çıkarılmaması gerekmektedir. Bu ilkelere ulusal yasalar kapsamında istisnalar veya sınırlandırmalar getirilebilir;107 ancak bu istisna ve sınırlandırmaların kanunlarda açıkça öngörülmeleri, meşru bir amaç için olmaları ve demokratik bir toplumda gerekli olmaları zorunludur. Bu üç şartın da yerine getirilmes i gerekmektedir.
3.1. Hukuka uygun işlenme ilkesi
Ana başlıklar
• Hukuka uygun işlenme ilkesini anlamak için verilerin korunması hakkına yönelik hukuka uygun sınırlamaların koşu larını ortaya koyan Şart madde 52(1)’ye ve haklı müdahalenin şartlarını düzenleyen AİHS madde 8(2)’ye bakmak gerekir.
• Kişisel verilerin işlenmesinin hukuka olabilmesi için aşağıdaki şartların gerçekleşmesi gerekmektedir:
1. Kanuna uygun olmalı; ve
2. Meşru bir amaç için yapılıyor olmalı; ve
3. Meşru bir amaca ulaşmak için demokratik bir toplumda gerekli olmalıdır
AB ve AK mevzuatı uyarınca, hukuka uygun işlenme ilkesi sayılan ilk ilkedir; 108 Sayılı Sözleşmenin 5. maddesi ile VK Direktifi’nin 6. maddesinde neredeyse aynı ifadeler ku lanılarak düzenlenmektedir.
Bu hükümlerin hiçbiri ‘hukuka uygun işlenme’nin ne anlama geldiğine dair bir tanım içermemektedir. Bu yasal terimin anlaşılabilmesi için AİHM’nin AİHS’de yer alan haklı müdahale kavramına dair kararlarında yer verdiği yorumlara ve Şart’ın 52. maddesi kapsamında hukuka uygun sınırlandırmalara dair şartlara bakmak gerekmektedir.
3.1.1. AİHS kapsamında haklı müdahalenin şartları
Kişisel verilerin işlenmesi, veri öznesinin özel hayatın gizliliğine saygı gösterilmesi hakkına bir müdahale teşkil edebilir. Özel hayatın gizliliği hakkı mutlak bir hak değildir ve başka özel kişilerin (kişisel çıkarlar) veya bir bütün olarak toplumun menfaatleri (kamu yararı) gibi yasal menfaatlerle dengelenmelidir.
Devlet tarafından yapılacak müdahalenin haklı olabilmesi için aranan şartlar şu şekildedir:
107 108 Sayılı Sözleşme, Madde 9 (2); VK Direktifi, Madde13 (2).
Kanuna uygun olma
AİHM kararlarına göre, müdahale, belirli niteliklere sahip bir ulusal yasa hükmüne dayanması durumunda kanuna uygun sayılır. Bu kanunun “ilgili kişiler tarafından erişilebilir ve sonuçları bakımından öngörülebilir” olması gerekmektedir.108 Bir hüküm, “herhangi bir bireyin davranışlarını -icabında uygun bir tavsiye ile- düzenlemesine yetecek kesinlikte oluşturulmuş olması durumunda” öngörülebilir olarak değerlendirilir.109 Bu bağlamda ‘kanundan’ beklenen kesinlik derecesi somut olaya göre değişecektir.110
Örnek: ‘Xxxxxx v. Romania’111 davasında AİHM, ulusal güvenliğe ilişkin bilgileri n toplanmasına, kaydedilmesine ve gizli dosyalarda arşivlenmesine imkân tanıyan Romanya mevzuatını, bu yetkilerin ku lanım sınırlarına dair herhangi bir düzenleme içermemesi ve konuyu yetkililerin takdirine bırakması sebebiyle, AİHS’nin 8. maddesine aykırı bulmuşt ur. Örneğin, işlenebilecek verilerin hangileri olduğuna, gözetleme tedbirlerinin hangi kategorideki kişilere yönelik olarak yapılabileceğine, bu tedbirlerin veya prosedürlerin hangi durumla rda işletebileceğine dair ilgili ulusal mevzuatta herhangi bir hüküm yer almamaktadır. Mahkeme, bu eksiklikler sebebiyle ulusal düzenlemelerin AİHS’nin 8. maddesi kapsamında aranan öngörülebilirlik şartını yerine getirmediğine ve ilgili maddenin ihlal edildiğine karar vermişt ir.
Örnek: ‘Xxxxxx-Xxxxxx v. Birleşik Krallık’112 davasında başvuran polis tarafından takibe alınmıştır. Polis, başvurana ait çağrı cihazının bir ‘kopyasını’ ku lanarak, başvurana gönderilen mesajları dinlemiştir. Sonrasında polis kontrole tabi bir ilacı tedarik amaçlı tertip suçlamasıyla başvuranı tutuklamıştır. Savcılığın iddialarının bir kısmı başvurana ait çağrı cihazına gelen mesajların polis tarafından eş zamanlı olarak alınan dökümlerine dayandırılmıştır. Ancak başvuranın davasının görüldüğü dönemde, özel bir telekomünikasyon sistemi üzerinden yapılan iletişimlerin dinlenmesine yönelik olarak İngiliz hukukunda bir düzenleme bulunmamaktad ır. Bu sebeple de başvuranın haklarına yapılan müdahale “kanuna uygun olarak” yapılmamışt ır. Xxxxxxx, AİHS’nin 8. maddesinin ihlal edildiğine karar vermiştir.
Meşru bir amaç için yapılma
Meşru amaç, kamu menfaatlerinden birisi veya diğer kişilerin hak ve özgürlükleri şeklinde tezahür edebilir.
Örnek: ‘Xxxx v. Birleşik Krallık’,113 davasında başvuran, KDT kamerasının kendisini çektiğinden haberi olmaksızın bileklerini keserek intihar girişiminde bulunmuştur. KDT görüntülerini takip eden polisler başvuranı kurtardıktan sonra, emniyet teşkilatı KDT görüntülerini medyaya servis etmiş ve bu görüntüler de medya tarafından başvuranın yüzü gizlenmeden yayınlanmıştır. AİHM, görüntülerin ilgili kişinin yüzünün gizlenmeksizin veya ilgilinin rızası alınmaksızın kamu otoriteleri tarafından kamuya ifşa edilmesini haklı
108 AİHM , Amann v. Switzerland [GC], No. 27798/95, 16 Şubat 2000, par. 50; Bakınız AİHM , Kopp v. Switzerland, No. 23224/94, 25 Mart 1998, par. 55 ve AİHM , Xxxxxxxx and Others v. Xxxxxxx, Xx. 00000/00, 10 Şubat 2009, par. 50.
109 AİHM , Amann v. Switzerland [GC], No. 27798/95, 16 Şubat 2000, par. 56; Bakınız AİHM , Xxxxxx v. the United Kingdom,
No. 8691/79, 2 Ağustos 1984, par. 66; AİHM , Silver and Others v. the United Kingdom, Nos. 5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75, 25 Mart 1983, par. 88.
110 AİHM , The Sunday Times v. the United Kingdom, No. 6538/74, 26 Nisan 1979, par. 49; Bakınız AİHM , Silver and Others v. the United Kingdom, Nos. 5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75, 25 Mart 1983, par. 88.
111 AİHM , Xxxxxx v. Romania [GC], No. 28341/95, 4 Mayıs 2000, par. 57; Bakınız AİHM , Association for European Integration and Human Rights and Ekimdzhiev v. Xxxxxxxx, Xx. 00000/00, 28 Haziran 2007; AİHM , Shimovolos v. Russia, No. 30194/09, 21 Haziran 2011; ve AİHM , Vetter v. France, No. 59842/00, 31 Mayıs 2005.
112 AİHM , Xxxxxx-Xxxxxx v. the United Kingdom, No. 47114/99, 22 Ekim 2002.
113 AİHM , Xxxx v. the United Kingdom, No. 44647/98, 28 Xxxx 2003, özellikle par. 85.
gösterebilecek bağlantılı veya yeterli bir gerekçe bulunmadığına karar vermiştir. Mahkeme AİHS’nin 8. maddesinin ihlal edildiği kanısına varmıştır.
Demokratik bir toplumda gerekli olma
AİHM, “gereklilik kavramı, müdahalenin toplumsal bir ihtiyacın oluşturduğu baskı sebebiyle yapıldığını ve bu bakımdan da meşru amaçla orantılı olduğunu ifade eder” demektedir.114
Örnek: ‘Khelili v. Switzerland’115 davasında, polis tarafından gerçekleştirilen bir kontrol sırasında başvuranın üzerinden “Hoş, güzel kadın, 30’lu yaşlarda, beraber bir içki içmek veya ara sıra takılmak isteyen bir beyle tanışmak istiyor. Tel. no […]” şeklinde bir yazı içeren kartvizitler çıkmıştır. Başvuranın iddiasına göre, bu kartvizitlerin bulunmasını takiben polis başvuranın ismini kendi kayıtlarına, başvuran bu mesleği yaptığını ısrarla inkâr etmesine karşın, hayat kadını olarak girmiştir. Başvuran “hayat kadını” kelimesinin polisin bilgisa yar kayıtlarından silinmesini talep etmiştir. AİHM bir bireyin kişisel verilerinin gelecekte yeniden suça karışabileceği gerekçesiyle saklanmasının bazı koşu lar altında ölçülü olabileceğini ilkesel olarak kabul etmiştir. Ancak başvuranın durumunda, yasadışı hayat kadınlığı iddiası oldukça belirsiz ve genel olarak görünmektedir ve yasadışı hayat kadınlığından hiçbir zaman hüküm giymemiş olması sebebiyle de bu iddianın sağlam gerçeklere dayandığı söylenemez. Bu yüzden de söz konusu müdahalenin AİHS’nin 8. maddesi bağlamında ‘baskı yapan toplumsal bir ihtiyaç’ sebebiyle gerçekleştirildiği düşünülemez. Konuyu yetkililerin başvurana dair tutula n verilerin doğruluğunu ve başvuranın haklarına yönelik müdahalenin ciddiyetini kanıtlamalar ı açılarından ele alan Mahkeme, ‘hayat kadını” ibaresinin uzun yıllar boyunca emniye t kayıtlarında saklanmasının demokratik bir toplumda gerekli olmadığına karar vermişt ir. Mahkeme AİHS’nin 8. maddesinin ihlal edildiği kanısına varmıştır.
Örnek: ‘Leander v. İsveç’,116 Mahkeme, ulusal güvenlik açısından önem taşıyan pozisyonlarda çalışmak üzere başvuruda bulunan kişiler hakkında gizli bir araştırma yürütülmesinin kendi başına demokratik bir toplumda gerekli olma şartına aykırı olmadığına karar vermiştir. Veri öznesinin çıkarlarının korunması için ulusal mevzuat kapsamında öngörülen özel güvenceler in
-örneğin parlamento ve Adalet Bakanı tarafından yapılan denetimler- varlığı sebebiyle AİHM, İsveç personel kontrol sisteminin AİHS madde 8(2)’de öngörülen koşu ları karşıladığına karar vermiştir. Aleyhine başvuruda bulunulan devletin kontrolü altında bulunan geniş değerlendir me imkanlarıyla alakalı olarak, devletin, başvuranla alakalı somut olay kapsamında ulusal güvenlik çıkarlarının başvuranın bireysel çıkarlarına üstün geldiği yönünde bir değerlendirmede bulunmaya yetkisi olduğu kabul edilmiştir. Bu durumda AİHM İsveç’te uygulanan gizli araştırmaların AİHS madde 8(2) uyarınca geçerli olduklarını belirtmiştir. Mahkeme, AİHS madde 8’in ihlal edilmediği kararına varmıştır.
3.1.2. AB Temel Haklar Şartı kapsamında hukuka uygun sınırlamaların şartları
Şart’ın yapısı ve lafzı AİHS’den farklıdır. Şart, güvence altına alınmış haklara yapılan müdahalelerden bahsetmemekte ama bu hakların ku lanımına yönelik yapılabile cek sınırlandırılmalara dair bir hüküm içermektedir.
114 AİHM , Leander v. Sweden, No. 9248/81, 26 Mart 1987, par. 58.
115 AİHM , Khelili v. Switzerland, No. 16188/07, 18 Ekim 2011.
116 AİHM , Leander v. Sweden, No. 9248/81, 26 Mart 1987, par. 59 ve 67.
Madde 52(1) gereğince, Şart kapsamında tanınan haklara ve özgürlüklere getirile n sınırlandırmalar ve buna uygun olarak verilerin korunması hakkına, örneğin kişisel veriler in işlenmesine getirilen sınırlandırmalar sadece aşağıdaki şartların varlığı halinde geçerli sayılırlar:
• kanunlarda açıkça öngörülmüşse; ve
• verilerin koruması hakkının özüne dokunmamaktaysa; ve
• gerekli ve orantılılık ilkesi ile uyumlu ise; ve
• AB tarafından tanınan kamu menfaati amaçlarına veya başkalarının hak ve özgürlüklerini koruma ihtiyacına yönelikse.
Örnek: ‘Xxxxxx ve Xxxxxx Xxxxxxx’117 davasında AİHM, Avrupa Konseyi’nin ve Avrupa Komisyonu’nun orantılılık ilkesinin getirdiği sınırlamalar ile uyumlu davranmadığı kanaatına varmıştır. İlgili AB kurumları, tarımsal fonlardan yardım alan tüm gerçek kişilerin kişisel bilgilerini kişilerin yardımdan yararlandığı döneme, yararlanma sıklıklarına veya yararlanmanın doğasına ve miktarına dair herhangi bir elemeye gitmeksizin yayınlamalar ı sebebiyle orantılılık ilkesine aykırı hareket etmişlerdir.
Bu sebeple, ABAD 1290/2005 sayılı Konsey Tüzüğü’nün bazı hükümlerinin ve 259/2008 sayılı Tüzüğün tamamının hükümsüz olduğuna karar vermiştir.118
Şart 52(1)’de sunulmuş olan hukuka uygun işlenmenin şartları, farklı bir şekilde ifade edilmiş olsalar da AİHS 8(2)’yi anımsatmaktadır. Şart’ın 52(3) maddesinde belirtildiği üzere, Şart’ın 52(1) maddesinde sayılan koşu ların AİHS’nin 8(2) maddesi ile uyumlu olması gerekmektedir : “Bu Şart’ın, İnsan Hakları ve Temel Özgürlüklerin Korunması Sözleşmesi ile teminat altına alınmış olan haklara tekabül eden hakları içermesi durumunda söz konusu hakların anlamı ve kapsamı, söz konusu Sözleşme’de belirtilenlerle aynı olacaktır.”
Ancak 52(3) maddesinin son cümlesi uyarınca, “bu hüküm, Birlik hukukunun daha kapsamlı koruma sağlamasını enge lemez.” AİHS madde 8(2) ve Şart madde 52(3)’ün ilk cümlesini n karşılaştırılması bağlamında ele alındığında bu cümleden, AİHS madde 8(2) uyarınca haklı müdahaleye dair öngörülen koşu ların, Şart kapsamında verilerin korunması hakkına yönelik hukuka uygun sınırlamalar bakımından da asgari koşu lar olduğu sonucunu çıkarabiliriz. Bunun bir sonucu olarak da AB hukuku kapsamında verilerin hukuka uygun şekilde işlenmeleri için AİHS madde 8(2) kapsamındaki asgari şartların yerine getirilmiş olması lazımdır. AB hukuku, belirli özel durumlarda ek şartlar öngörebilir.
AB hukuku kapsamındaki hukuka uygun olarak işlenme ilkesinin AİHS’nin ilgili hükümler i ile uyumlu olarak ele alınması hususu Avrupa Birliği Antlaşması’nın 6(3) maddesiyle de desteklenmektedir: ‘AİHS tarafından güvence altına alınan temel hak ve özgürlükler Birlik hukukunun genel ilkelerini temsil etmektedir’.
117 XXXX, Birlikte Görülen C-92/09 ve C-93/09, Xxxxxx and Xxxxxx Xxxxxxx XxX and Xxxxxxx Xxxxxx v. Land Hessen, 9 Kasım 2010, par. 89 ve 86.
118 Ortak Tarım Politikası’nın Finansmanı Hakkında, 1290/2005 (AB) Sayılı Konsey Tüzüğü, 21 Haziran 2005, OJ 2005 L
209; ve Avrupa Birliği Tarımsal Garanti Fonu (EAGF) ve Avrupa Birliği Kırsal Kalkınma Tarım Fonundan (EAFRD) kaynaklanan fonlarından faydalanan kişilerin bilgileri’nin yayınlanmasına ilişkin 259/2008 (AB) Sayılı Konsey Tüzüğü, 18 Mart 2008, OJ 2008 L 76.
3.2. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi
Ana başlıklar
• Verilerin işlenmesinin amacı işleme başlamadan önce görünür bir şekilde tanımlanmalıdır.
• AB hukukunca, işlemenin amacı açıkça tanımlanmalıdır; AK mevzuatına göre bu mevzu
ulusal hukuka bırakılmıştır.
• Verilerin belirsiz amaçlar için işlenmesi verilerin korunması mevzuatına aykırıdır.
• Yeni amaç ve eski (ilk) amacın birbiriyle uyumsuz olması durumunda, verilerin başka bir amaçla tekrar ku lanılması için ek bir hukuki dayanak gereklidir.
• Verilerin üçüncü kişilere aktarılması ek bir hukuki dayanak gerektiren yeni bir amaçtır.
Amaç ile bağlantılı, sınırlı ve ölçülü olma ilkesi esas itibariyle kişisel verilerin işlenmesini n meşruiyetinin işlemenin amacına bağlı olacağı anlamına gelir.119 İşlemenin amacı veri sorumlusu tarafından verilerin işlenmesine başlamadan önce belirlenmeli ve açıkça ilan edilmelidir.120 AB mevzuatına göre bu bir beyan, başka bir deyişle ilgili denetim makamına yapılacak bir bildirim veya bu denetim makamının teftişine ve veri öznesinin erişimine açık olarak veri sorumlusu tarafından iç tarafta düzenlenecek bir belge yoluyla yapılmalıdır.
Kişisel verilerin belirsiz ve/veya sınırsız amaçlar için işlenmesi hukuka aykırıdır.
Verilerin işlenmesine yönelik her yeni amacın kendisine ait bir hukuki dayanağı bulunmalıd ır ; verilerin başka bir yasal amaç kapsamında daha önceden toplanmış veya işlenmiş olmasına dayanılamaz. Yani hukuka uygun işleme, başlangıçta belirlenmiş amaç ile sınırlıdır, veriler in yeni bir amaçla işlenmesi için yeni bir hukuki dayanak gerekmektedir. Verilerin üçüncü kişilere ifşasının da daha dikkatli bir değerlendirmeye tabi tutulması gerekecektir çünkü verilerin ifşası genellikle yeni bir amaca yönelik olacak ve verilerin toplanmasında ku lanılan yasal dayanaktan ayrı bir hukuki dayanak gerektirecektir.
Örnek: Bir havayolu şirketi uçuşun düzgün bir şekilde gerçekleştirilebilmesi amacıyla gerekli rezervasyonları yapmak için müşterilerinin verilerini toplamaktadır. Havayolu şirketini n yolcuların koltuk numaraları; tekerlekli sandalye ihtiyacı gibi özel fiziksel sınırlamaları ve Yahudi veya Müslüman inancına uygun yemek vs. gibi özel yemek tercihleri hakkında verilere ihtiyacı olacaktır. PNR içerisinde yer alan bu verilerin varış ülkesinin göç idaresi tarafında n havayolundan talep edilmesi durumunda bu veriler sonraki aşamada göç kontrolü amacıyla, yani verilerin toplanması aşamasındaki ilk amaçtan farklı bir amaç için ku lanılacakt ır. Dolayısıyla da bu verilerin bir göç idaresine aktarılması için yeni ve ayrı bir hukuki dayanak gerekecektir.
Belirli amacın kapsamını ve sınırlarını tanımlarken 108 Sayılı Sözleşme ve VK Direktifi uygunluk kavramına başvurmaktadır: verilerin uygun amaçlar için ku lanılmaları başlangıçtak i yasal dayanak temelinde mümkündür. ‘Uygun’dan kastın tam olarak ne olduğu ise belirlenmemiş olup, her somut olay bakımından yoruma açık bırakılmıştır.
119 108 Sayılı Sözleşme, Madde5 (b); VK Direktifi, Madde6 (1) (b).
120 Bakınız Madde 29 Çalışma Kurultayı (2013), 03/2013 Xxxxxx, Amaç Kısıtlandırmalarına ilişkin Öneri, WP 203, Brüksel, 2 Nisan 2013.
Örnek: Sunshine şirketinin müşterilerine ilişkin olarak CRM sürecinde toplamış olduğu verilerin, bu verileri üçüncü şirketlerin pazarlama kampanyalarında ku lanmak isteyen bir doğrudan pazarlama şirketi olan Moonlight’a satılması Sunshine şirketinin başlangıçtaki CRM amaçlarıyla uygun olmayan yeni bir amaç teşkil eder. Bu sebeple verilerin Moonlight şirketine satılması için yeni bir hukuki dayanağa ihtiyaç bulunmaktadır.
Buna karşın, Sunshine şirketinin CRM verilerini kendi pazarlama faaliyetlerinde ku lanmas ı, yani kendi ürünleri için kendi müşterilerine pazarlama mesajları göndermesi genellikle uygun bir amaç olarak kabul edilir.
VK Direktifi açıkça “verilerin tarihsel, istatiksel veya bilimsel amaçlar için yeniden ku lanılması, üye devletlerin uygun güvenceleri öngörmüş olmaları halinde uygun olmayan bir amaç olarak değerlendirilemez” demektedir.121
Örnek: Sunshine şirketi müşterileri hakkındaki CRM (Müşteri İlişkileri Yönetimi) veriler ini toplamış ve saklamıştır. Bu verilerin Sunshine şirketi tarafından müşterilerinin alışver iş alışkanlıklarına dair istatiksel bir analiz için ku lanılması, istatistiksel amaçlar uygun amaçlar olarak değerlendirildiklerinden mümkündür. Veri öznesinin rızası gibi ek hukuki dayanaklara ihtiyaç yoktur.
Aynı verilerin münhasıran istatiksel amaçlar için üçüncü bir kişi konumundaki Starlight şirketine aktarılacak olması durumunda ise, istatistiksel amaçlar kapsamında kimlik bilgiler ine gene likle ihtiyaç olmadığından veri öznelerinin kimliklerinin gizlenmesi vb. uygun görülen önlemlerin alınmış olması koşuluyla herhangi ek bir hukuki dayanak olmaksızın bu aktarım mümkün olabilecektir.
3.3. Veri kalitesi ilkeleri
Ana başlıklar
• Veri kalitesi ilkeleri veri sorumlusu tarafından işleme faaliyetlerinin her aşamasında uygulanmalıdır.
• Verilerin sınırlı olarak muhafaza edilmesi ilkesi gereği, verilere toplandıkları amaç kapsamında ihtiyaç kalmaması durumunda silinmeleri gerekmektedir.
• Verilerin sınırlı olarak muhafaza edilmesi ilkesine getirilecek istisnalar kanunla düzenlenmeli ve veri öznelerinin korunmasına yönelik özel tedbirler içermelidir.
3.3.1 Verilerde gereklilik ilkesi
Sadece “amaç için uygun ve gerekli olan ve toplanma ve/veya işlenmelerine sebep olan amaca göre ölçüsüz olmayan veriler” işlenmelidir. İşlenmesi için seçilen verilerin kategorileri işleme faaliyetlerinin ilan edilen genel amacına erişmek için gerekli olmalıdır ve bir veri sorumlus u, verilerin toplanması aşamasında toplanan bilgileri işleme için belirlenen özel amaç için doğrudan gerekli olacak biçimde sınırlamalıdır.122
121 Örnek olarak Avusturya Veri Koruma Kanununa (Datenschutzgesetz) bakınız, Federal Law Gazette No. 165/1999, par. 46, İngilizce olarak mevcut: xxx.xxx.xx.xx/XxxXxxx. axd?CobId=41936.
122 108 Sayılı Sözleşme, Madde5 (c); ve VK Direktifi, Madde6 (1) (c).
Modern toplumlarda, verilerde gereklilik ilkesinin bir yönü daha bulunmaktadır: özel hayatın gizliliğini korumak amacı ile geliştirilmiş yeni teknolojiler sayesinde bazı durumlarda kişisel verilerin tamamen ku lanım dışı bırakılması veya yine gizliliğe yarayacak bir çözüm olarak takma isimle değiştirilebilmesi mümkündür. Bu öze likle de geniş çaplı işleme sistemleri için yerinde bir çözümdür.
Örnek: Bir belediye meclisi şehrin toplu ulaşım sistemini düzenli olarak ku lana n vatandaşlarına yönelik olarak çipli bir kart sunmaktadır. Kart sahibinin ismi yazılı olarak kartın üzerinde ve elektronik olarak da çipin içerisinde bulunmaktadır. Otobüs ve tramvay ku lanımında bu kartın okuyucu cihazların önünden geçirilmesi gerekmektedir. Xxxxx tarafından okunan veri, seyahat kartını satan alan kişilerin isimlerinin kayıtlı olduğu bir veritabanında elektronik olarak kontrol edilmektedir.
Bu sistem verilerde gereklilik ilkesine tam anlamıyla uymamaktadır: Bir bireyin ulaşım sistemini ku lanmaya yetkili olup olmadığı çipteki kişisel veriler bir veri tabanı ile karşılaştırılmadan da tespit edilebilir. Örneğin çipe yerleştirilecek barkod gibi özel bir elektronik görüntü sayesinde de okuyucu cihazın kartın geçerliliğini doğrulaması mümkün olabilir. Böyle bir sistem hangi kişinin hangi toplu taşıma aracını hangi zamanda ku landığı na dair bir kayıt da tutmayacaktır. Bu sayede hiçbir kişisel veri toplanmamış ve veri toplanmasını n asgari seviyeye indirilmesi yükümlülüğü getiren gereklilik ilkesi açısından en uygun çözüm elde edilmiş olacaktır.
3.3.2. Tamlık ve Doğruluk ilkesi
Kişisel verileri saklayan bir veri sorumlusu, elindeki verilerin tam ve doğru olduğundan makul bir kesinlikle emin olmasını sağlayacak adımları atmaksızın o verileri ku lanamayacaktır.
Verilerin doğruluğunun sağlanması yükümlülüğü verilerin işlenmesinin amacı bağlamında değerlendirilmelidir.
Örnek: Mobilya satan bir şirket müşterilerinin kimliklerini ve adreslerini daha sonra ilgili kişilere fatura kesmek amacı ile toplamıştır. 6 ay sonra aynı şirket bir pazarlama kampanyas ı başlatmayı ve eski müşterileri ile irtibata geçmeyi ister. Bu müşterilere ulaşabilmek için de şirket, ulusal adres siciline erişmek ister. Bu sicil yüksek ihtimalle müşterilerin güncel adres bilgilerini içerecektir çünkü ülkede ikamet eden kişilerin mevcut adreslerini yasa uyarınca bu sicile bildirme zorunluluğu bulunmaktad ır. Bu sicilde yer alan verilere erişim ise bu erişim için haklı bir sebep gösterebilecek kişi ve kurumlarla sınırlıdır.
Bu durumda şirket, elindeki verilerin doğru ve güncel olması gerektiğinden yola çıkarak nüfus sicilinden eski müşterilerinin yeni adres verilerini toplamaya yetkili olduğunu iddia edemez. İlgili veriler faturalandırma sırasında toplanmıştır ve bu amaç kapsamında, yalnızca satış sırasındaki verilerin gerekli olduğundan bahsedilebilir. Pazarlama menfaatleri kişisel veriler in korunması hakkına üstün gelen menfaatler olmadığından ve sicildeki verilere erişimi haklı kılmayacağından, yeni adres bilgilerini toplamak için yasal bir dayanak bulunmamaktadır.
Bazen saklanan verilerin güncellenmesi de hukuken yasaklanmış olabilir çünkü veriler in saklanmasındaki esas amaç olayların belgelendirilmesidir.
Örnek: Bir ameliyat tutanağının, tutanaktaki bulguların hatalı olduğu sonradan anlaşılmış olsa bile değiştirilmesi, yani ‘güncellenmesi’ yasaktır. Yani bu demektir ki, bu tutanak yanlış tutulmuş olsa dahi veriler değiştirilemez. Böyle durumlarda yalnızca tutanaktaki görüşlere dair ek yorumların eklenmesi söz konusu olabilir. Bu eklemelerin de daha sonraki bir aşamada yapılan katkılar oldukları açıkça belirtilmelidir.
Diğer yandan, verilerin güncellenmesi de dahil olmak üzere doğruluğunun düzenli olarak kontrol edilmesinin, verilerin doğru tutulmaması halinde veri öznesine verebileceği olası zarar sebebiyle mutlak bir gereklilik olduğu durumlar da oluşabilir.
Örnek: Bir kişinin bir bankacılık kurumuyla sözleşme imzalamak istemesi durumunda ilgili banka gene likle müstakbel müşterisinin kredi notunu/geçmişini kontrol eder. Bu amaçla kurulmuş ve gerçek kişilerin kredi geçmişlerini içeren özel veri tabanları bulunmaktadır. Böyle bir veri tabanının birey hakkında yanlış veya tarihi geçmiş bilgiler içermesi durumunda veri öznesi ciddi sorunlarla karşı karşıya kalabilir. Dolayısıyla bu veri tabanlarının sorumlularını n verilerin tamlık ve doğruluğu ilkesini yerine getirmek için özel bir çaba sarf etmes i gerekmektedir.
Gerçeklerden ziyade şüphelere, örneğin ceza soruşturmalarına dayanan veriler de veri sorumlusu bu bilgileri toplamak için bir yasal dayanağa sahip olduğu ve veri sorumlusunun böyle bir şüpheye sahip olmasını yeterli ölçüde haklı gösterdiği müddetçe toplanabilir ve saklanabilirler.
3.3.3. Verilerin sınırlı muhafazası ilkesi
VK Direktifi madde 6(1)(e) ve 108 Sayılı Sözleşme madde 5(e), kişisel verilerin “toplanma ve işlenme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde veri özneler in kimliklerini belirlemeye imkân veren bir biçimde” saklanmaları gerektiğini belirtir. Bu sebeple veriler amaç gerçekleştirildikten sonra silinmelidir.
‘S. ve Xxxxxx’ davasında AİHM, AK’nin ilgili düzenlemelerinde yer alan temel ilkeler ve Sözleşmeye Taraf Devletlerin mevzuat ve uygulaması gereği, verilerin toplanması amacıyla ve süreyle sınırlı muhafaza edilmesiyle alakalı olarak verilerin saklanmasının, öze likle de kolluk faaliyetleri bakımından ölçülü olması gerektiğini ifade etmiştir.123
Kişisel verilerin sınırlı süreyle muhafazası ancak kişilerin kimliklerini belirlemeye imkân veren biçimlerde saklanan veriler bakımından uygulanır. Artık ihtiyaç kalmayan verilerin hukuka uygun bir şekilde saklanması da verilerin anonimleştirilmesi veya takma isim ile değiştirilmes i yoluyla mümkün olabilir.
Verilerin bilimsel, tarihsel veya istatiksel amaçlar için saklanması VK Direktifi kapsamında açıkça verilerin sınırlı muhafaza ilkesinin uygulama alanı dışında bırakılmıştır.124 Ancak bu amaçlar için verilerin saklandığı durumlarda ulusal hukuk çerçevesinde özel güvenceler sağlanmalıdır.
3.4. Adil işleme ilkesi
123 AİHM , S. and Xxxxxx v. the United Kingdom, Nos. 30562/04 ve 30566/04, 4 Aralık 2008; ayrıca bakınız: AİHM , M.M. v. the United Kingdom, No. 24029/07, 13 Kasım 2012.
124 VK Direktifi, Madde6 (1) (e).
Ana başlıklar
• Adil işleme ilkesi, işleme sürecinin öze likle de veri öznelerine yönelik olarak şeffaf olması anlamına gelmektedir.
• Veri sorumluları, veri öznelerini işleme öncesinde bilgilendirmeli ve en azından işlemenin amacı ve veri sorumlusunun kimliği ve adresi hakkında bilgi vermelidir.
• Kanunlar tarafından özel olarak izin verilmedikçe kişisel verilerin gizli veya üstü örtülü bir biçimde işlenmesi mümkün değildir.
• Veri özneleri verilerine, her nerede işleniyor olurlarsa olsunlar erişim hakkına sahiptirler.
Adil işleme ilkesi öncelikle veri sorumlusu ve veri öznesi arasındaki ilişkiyi düzenlemektedir.
3.4.1. Xxxxxxxxx
Bu ilke gereğince veri sorumlusu veri öznelerini verilerinin ne şekilde ku lanıldığına dair sürekli olarak bilgilendirmek ile müke leftir.
Örnek: ‘Haralambie v. Xxxxxxx’000 xxxxxxxxx, başvuran, istihbarat teşkilatının kendisi hakkında oluşturduğu dosyaya erişim talep etmiştir. Bu bilgiler ancak 5 yıl sonra kendisine verilmiştir. AİHM, devlet yetkilileri tarafında haklarında dosyalar tutulan kişilerin bu dosyalara erişim imkanına sahip olmalarında hayati bir çıkarları olduğunu vurgulamıştır. Devlet yetkilileri bu bilgilere erişimi sağlamak adına etkili bir prosedür sağlamakla yükümlüdürler. AİHM, aktarılan dosyaların miktarı veya arşiv sistemindeki yetersizlikler de dahil hiçbir sebebin başvuranın dosyasına erişiminin beş yıl geciktirilmesini haklı gösteremeyeceği ne hükmetmiştir. Yetkililer başvuranın kişisel dosyalarına makul bir süre içerisinde erişimini sağlayacak olan etkili ve erişilebilir bir prosedürü sağlama konusunda başarısız olmuşlard ır. AİHM, AİHS’nin 8. maddesinin ihlal edildiğine karar vermiştir.
İşleme prosedürleri, veri öznelerine, kolayca ulaşılabilecekleri ve verilerine ne olacağını anlamalarını sağlayacak bir şekilde açıklanmalıdır. Ayrıca veri öznelerinin verilerinin işlenip işlenmediğine, işleniyorsa bu verilerin hangileri olduğuna dair veri sorumlusundan bilgi alma hakları bulunmaktadır.
3.4.2. Güven oluşturulması
Veri sorumluları, verileri hukuka uygun ve şeffaf olarak işleyeceklerini veri öznelerine ve kamuoyuna kanıtlamalıdırlar. İşleme faaliyetleri gizli bir şekilde yürütülmemeli ve öngörülemeyen olumsuz etkileri bulunmamalıdır. Veri sorumluları, müşterilerin, iş sahiplerini n veya vatandaşların verilerinin ku lanımına dair bilgilendirildiklerinden emin olmalıdır. Ayrıca veri sorumluları, veri öznelerinin taleplerini, öze likle de veri işlemesinin yasal dayanağını veri öznesinin rızasının oluşturduğu durumlarda, mümkün olduğunca gecikmeksizi n karşılamalıdırlar.
Örnek: ‘K.H. ve ötekiler v. Slovakya’126 davasında başvuranlar hamileliklerinde n doğumlarına kadar olan süreçte doğu Slovakya’daki iki hastanede bakılan Roman kökenli 8 kadından oluşmaktadır. Sonrasında başvuranlardan hiçbirisi, defalarca denemelerine rağmen bir daha hamile kalamamışlardır. Ulusal mahkemeler ilgili hastanelerin, tıbbi kayıtlara bakıp
125 AİHM , Haralambie v. Romania, No. 21737/03, 27 Ekim 2009.
126 AİHM , K.H. and Others v. Slovakia, No. 32881/04, 28 Nisan 2009.
yazılı notlar almaları için başvuranlara ve temsilcilerine izin vermelerini emretmiş ancak söz konusu kayıtların fotokopilerinin çekilmesine izin verilmesi yönündeki talepleri, kötüye ku lanımları önleyeceği iddiasıyla reddetmişlerdir. Veri öznelerinin kişisel verilerinin bir kopyalarının veri öznesinin erişebileceği bir halde bulundurulması, Devletlerin AİHS’nin 8. maddesi kapsamındaki pozitif yükümlülüklerinden birisidir. Kişisel verilerin kopyalanması için gerekli ayarlamaların belirlenmesi veya kopyalama talebinin reddinin gerekli
durumlarda bu karara ilişkin ikna edici gerekçelerin sunulması Devletin
Başvuranların davasında, ulusal mahkemeler tıbbi kayıtların kopyalanması
görüldüğü görevidir. yönündeki
taleplerin reddedilmesinin temel gerekçesi olarak söz konusu bilgilerin kötüye ku lanımlarını n önlenmesini ileri sürmüşlerdir. Ancak AİHM, tıbbi kayıtların tamamına erişim tanınmas ı durumunda başvuranların nasıl olup da kendilerine ilişkin bu bilgileri kötüye kullanabileceklerini anlayamamıştır. Bunun da ötesinde, böylesi bir kötüye ku lanım riski, verilerin kopyasını alma taleplerinin reddedilmesi dışındaki bazı yollarla, örneğin dosyalara erişim yetkisine sahip kişilerin sınırlandırılması gibi yöntemlerle de önlenebilirdi. Devlet, başvuranların sağlık durumlarına ilişkin bilgilere erişim taleplerinin reddedilmesini haklı gösterecek ikna edici gerekçelerin varlığını ortaya koyamamıştır. AİHM, AİHS’nin 8. maddesinin ihlal edildiğine karar vermiştir.
İnternet hizmetleriyle alakalı olarak, veri işleme sistemlerinin öze likleri, veri öznelerini n verilerine neler olduğunu gerçek bir biçimde anlamalarını mümkün kılmalıdır.
Adil işleme, aynı zamanda, veri öznelerinin meşru çıkarlarının gerektirmesi durumunda, veri sorumlularının öngörülen asgari yasal zorunlulukların da ötesine geçmeye hazır olduklar ı anlamına gelir.
3.5. Hesap verilebilirlik ilkesi
Ana başlıklar
• Hesap verilebilirlik ilkesi, işleme faaliyetleri sırasında verilerin korunması için veri sorumluları tarafından aktif olarak uygulanacak önlemleri gerektirir.
• Veri sorumluları yürüttükleri işleme faaliyetlerinin veri koruma hukukuna uygunluğunu gözetmekle yükümlüdürler.
• Veri sorumluları, herhangi bir zamanda, veri öznelerine, kamuoyuna ve denetim makamlarına, veri koruma yasalarına uygun hareket ettiklerini kanıtlayabilmelidir.
İktisadi Kalkınma ve İşbirliği Örgütü (OECD) 2013 tarihinde benimsemiş olduğu gizli lik ilkelerinde, verilerin korunmasının uygulamada işe yarayabilmesi açısından veri sorumlularını n önemli bir role sahip olduğunu vurgulamıştır. Xxxxxx ilkeler kapsamında bir hesap verilebilir lik ilkesi geliştirilmekte ve şöyle denmektedir: “Bir veri sorumlusu yukarıda belirtilen ilkeler in gerçekleşmesini sağlayan tedbirlere uyum bakımından hesap verebilir olmalıdır. ”127
108 Sayılı Sözleşme veri sorumlularının hesap verebilirliğine değinmez ve konuyu ulusa l hukuka bırakırken, VK Direktifi madde 6(2) verilerin kalitesine dair 1. paragrafta belirtil miş olan ilkelere uyumun veri sorumlusu tarafından sağlanması gerektiğini öngörmüştür.
127 Ekonomik İ ş Birliğ i ve Kalkınma Ö rgü tü (2013), Kişisel verilerin korunması ve sınır ötesi akışlarının yönetilmesine ilişkin esaslar, Madde14.
Örnek: Hesap verilebilirlik ilkesini vurgulayan önemli bir yasama örneği 2002/58 sayılı Özel Hayatın Korunması ve Elektronik İletişim Direktifi’ne 2009 yılında yapılan değişikliklerdir.128 Değiştirilmiş 4. madde uyarınca, Direktif bir güvenlik politikasının uygulanması yükümlülüğü getirmektedir; maddede geçtiği haliyle “kişisel verilerin işlenmesiyle alakalı bir güvenlik politikasının uygulanmasının sağlanması”. Yani, direktifin içinde bulunan güvenlik hükümleri kapsamında kanun koyucu, bir güvenlik politikasına sahip olunması ve bunun uygulanmas ı gerektiği yönünde açık bir şarta yer vermenin gerekli olduğuna karar vermiştir.
Madde 29 Çalışma Kurultayın’ıngörüşüne göre,129 hesap verilebilirliğin özü veri sorumlusunun aşağıdaki yükümlülüklerinden oluşmaktadır:
• işleme faaliyetleriyle alakalı olarak verilerin korunmasına dair kura lara uygun davranılmasını -normal koşu lar altında- temin edecek tedbirleri almak; ve
• verilerin korunmasına dair kura xxxx xxxx adına hangi tedbirlerin alındığını veri öznelerine ve denetim makamlarına kanıtlayacak belgeleri hazır bulundurmak.
Bu bağlamda hesap verilebilirlik ilkesi veri öznelerinin veya denetim makamlarının eksiklikler i göstermesi için beklemekten ziyade veri sorumlularının mevzuata uyduklarını aktif olarak göstermelerini gerektirmektedir.
4. Avrupa veri koruma hukukunun kuralları
AB | İşlenen konular | AK |
Hassas olmayan verilerin hukuka uygun olarak işlenmesine dair kurallar | ||
Veri Koruma Direktifi, Madde 7 (a) | Rıza | Profil Oluşturma Tavsiye Kararı, Madde 3.4 (b) ve 3.6 |
128 2002/22/AB Sayılı, Elektronik haberleşme şebekeleri ve hizmetleri ile ilgili evrensel hizmet ve kullanıcı hakları Direktifi’nin değiştirilmesine ilişkin, Avrupa Birliği Parlamentosu ve Konseyi, 2002/58 Sayılı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi ve 2006/2004 Sayılı Tüketici koruma kanunlarının uygulanmasından sorumlu ulusal makamlar arasındaki işbirliği Tüzüğü, 2009/136/AB Sayılı Avrupa Birliği Parlamentosu ve Konseyi Direktifi, 25 Kasım 2009, OJ 2009 L 337, s. 11.
129 Madde 29 Çalışma Kurultayı, 3/2010 Sayılı, Hesap Verilebilirlik İlkesine ilişkin Öneri, WP 173, Brüksel, 13 Temmuz 2010.
Veri Koruma Direktifi, Madde 7 (b) | Sözleşmeye dayalı ve sözleşme öncesi ilişki | Profil Oluşturma Tavsiye Kararı, Madde 3.4 (b) |
Veri Koruma Direktifi, Madde 7 (c) | Veri sorumlusunun hukuki yükümlülükleri | Profil Oluşturma Tavsiye Kararı, Madde 3.4 (a) |
Veri Koruma Direktifi, Madde 7 (d) | Veri öznesinin hayati çıkarları | Profil Oluşturma Tavsiye Kararı, Madde 3.4 (b) |
Veri Koruma Direktifi, Madde 7 (e) ABAD, C-524/06, Xxxxx v. Germany, 16 Aralık 2008 | Kamu menfaati ve resmi yetkinin kullanılması | Profil Oluşturma Tavsiye Kararı, Madde 3.4 (b) |
Veri Koruma Direktifi, Madde 7 Madde 8 (2) ve 8 (3) ABAD, Birleştirilmiş davalar C-468/10 ve C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) and Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estado, 24 Kasım 2011 | Başkalarının meşru menfaatleri | Profil Oluşturma Tavsiye Kararı, Madde 3.4 (b) |
Özel nitelikli (hassas) kişisel verilerin hukuka uygun olarak işlenmesine dair kurallar | ||
Veri Koruma Direktifi, Madde 8 (1) | Genel işleme yasağı | 108 Sayılı Sözleşme , Madde 6 |
Veri Koruma Direktifi, Madde 8 (2)–(4) | Genel işleme yasağına getirilen istisnalar | 108 Sayılı Sözleşme , Madde 6 |
Veri Koruma Direktifi, Madde 8 (5) | (Cezai) Mahkumiyetler ile ilgili verilerin işlenmesi | 108 Sayılı Sözleşme , Madde 6 |
Veri Koruma Direktifi, Madde 8 (7) | Kimlik numaralarının işlenmesi | |
Güvenli işlemeye dair kurallar | ||
Veri Koruma Direktifi, Madde 17 | Güvenli işleme sağlama yükümlülüğü | 108 Sayılı Sözleşme , Madde 7 AİHM, I. v. Finland, No. 20511/03, 17 Temmuz 2008 |
Özel Hayatın Korunması ve Elektronik İletişim Direktifi, | Veri ihlali bildirimleri | |
Madde 4 (2) | ||
Veri Koruma Direktifi, Madde 16 | Gizlilik yükümlülüğü | |
Verilerin işlenmesinde şeffaflığa dair kurallar | ||
Şeffaflık | 108 Sayılı Sözleşme , Madde 8 (a) | |
Veri Koruma Direktifi, Madde 10 ve 11 | Bilgilendirme | 108 Sayılı Sözleşme , Madde 8 (a) |
Veri Koruma Direktifi, Madde 10 ve 11 | Bilgilendirme yükümlülüğüne getirilen istisnalar | 108 Sayılı Sözleşme , Madde 9 |
Veri Koruma Direktifi, Madde 18 ve 19 | Bildirim | Profil Oluşturma Tavsiye Kararı, Madde 9.2 (a) |
Uyuma teşvik kuralları | ||
Veri Koruma Direktifi, Madde 20 | Ön kontrol | |
Veri Koruma Direktifi, Madde 18 (2) | Kişisel veriler koruma yetkilileri | Profil Oluşturma Tavsiye Kararı, Madde 8.3 |
Veri Koruma Direktifi, Madde 27 | Davranış kuralları |
İlkeler ister istemez genel niteliklidirler. Somut olaylara uygulanmaları sırasında belirli bir yorum payı ve mevcut yollar arasından seçim imkânı bulunur. AK mevzuatına göre, bu yorum payını ulusal mevzuatları düzeyinde açıklığa kavuşturmak 108 Sayılı Sözleşme’nin Taraflar ına bırakılmıştır. AB hukukunda ise durum farklıdır: Verilerin korunması hususunda gereken düzenin iç pazarda kurulması için ulusal mevzuatlardaki veri koruması seviyelerini uyumlu hale getirecek detaylı kura ların AB düzeyinde oluşturulması gerekli görülmüştür. VK Direktifi, 6. maddesinde yer verilen ilkeler kapsamında, ulusal hukuk düzenlerinde tam olarak uygulanması gereken bir detaylı kura lar bütünü öngörmüştür. Bu sebeple, Avrupa düzeyinde veri korumasıyla alakalı detaylı kura lara dair aşağıdaki yorumlar ağırlıklı olarak AB mevzuatına yöneliktir.
4.1. Hukuka uygun işlemeye dair kurallar
Ana başlıklar
*Kişisel verilerin hukuka uygun olarak işlenmesi bu şartlar altında mümkündür:
*İşleme veri öznesinin rızasına dayanıyorsa; veya
*Veri öznelerinin hayati menfaatleri verilerinin işlenmesini gerektiriyorsa; veya
*İşleme, veri öznelerinin temel haklarının korunmasına dair menfaatler izin verdiği ölçüde, başkalarının meşru çıkarlarından kaynaklanıyorsa.
*Özel nitelikli kişisel verilerin hukuka uygun olarak işlenmesi daha özel ve katı bir rejime tabidir.
VK Direktifi verilerin hukuka uygun olarak işlenmesine dair iki farklı kural dizisinde n bahsetmektedir: Biri hassas olmayan verileri kapsayan işlemelere dair madde 7, diğeri hassas verileri kapsayan işlemlere dair madde 8.
4.1.1. Hassas olmayan verilerin hukuka uygun olarak işlenmesi
VK Direktifi’nin ‘Kişisel verilerin işlenmesinin hukuka uygunluğuna dair genel kurallar’ başlıklı ikinci bölümü, 13. madde kapsamında sayılan istisnalar saklı kalmak kaydıyla, kişisel veriler üzerinde yapılacak her türlü işlemenin öncelikle verilerin kalitesine dair Direktif’in 6. maddesinde sayılan ilkelere ve ikincil olarak verilerin işlenmesini meşru hale getirecek 7. maddedeki kriterlerden birisine uygun olması gerektiğini öngörmektedir.130 Bu hassas olmayan verilerin işlenmesini hukuka uygun hale getiren durumları açıklamaktadır.
Xxxx
XX mevzuatı uyarınca, rıza unsuru 108 Sayılı Sözleşme’de veya VK Direktifi’nde yer almamaktadır. Ancak, AİHM içtihatlarında ve çeşitli AK tavsiye kararlarında bu unsura değinilmiştir. AB mevzuatı kapsamında, verilerin hukuka uygun olarak işlenmesine dair bir dayanak olarak rıza, VK Direktifi madde 7(a)’da somut bir şekilde düzenlenmekte ve Şart’ın 8. maddesinde rıza unsuruna açıkça değinilmektedir.
Sözleşmeye dayalı ilişki
AB mevzuatı kapsamında verilerin hukuka uygun olarak işlenmesine dair başka bir dayanak VK Direktifi’nin 7(b) maddesinde yer alan “veri öznesinin taraf olduğu bir sözleşmenin ifası için gerekli olma” halidir. Bu madde ayrıca sözleşme öncesi ilişkileri de kapsamaktadır. Örneğin, taraflardan biri bir sözleşme akdetmek istemektedir ancak kontrol etmesi gereken bazı şeyler olduğundan henüz akdetmemiştir. Eğer taraflardan birisinin bu amaçla verileri işlemes i
130 ABAD, Birlikte Görülen C-465/00, C-138/01 ve C-139/01. Rechnungshof v. Österreichischer Rundfunk and Others and Xxxxxxx and Xxxxxxxxx v. Österreichischer Rundfunk , 20 Mayıs 2003, par. 65; XXXX, C-524/06, Xxxxx v. Germany, 16 Aralık 2008, par. 48; ABAD, Birlikte Görülen C-468/10 ve C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) and Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estado, 24 Kasım 2011, par. 26.
gerekiyorsa, “sözleşme akdedilmeden önce gerekli adımların atılabilmesi için veri öznesinin talebi üzerine” yapıldığı sürece bu şekilde bir işleme meşru olacaktır.
AK mevzuatı gereğince, “başkalarının hak ve özgürlüklerinin korunması” AİHS madde 8(2)’de verilerin korunması hakkına yapılacak hukuka uygun bir müdahale gerekçesi olarak sayılmaktadır.
Veri sorumlusunun hukuki yükümlülükleri
AB mevzuatı, verilerin işlenmesini hukuka uygun hale getirecek, “veri öznesinin hukuki bir yükümlülüğüne uygun davranmak için gerekliyse” şeklinde düzenlenmiş başka bir kriterden de bahsetmektedir. Bu madde özel sektörde faaliyet gösteren veri sorumlularına yönelikt ir ; kamuda faaliyet gösteren veri sorumlularının hukuki yükümlülükleri VK Direktifi madde 7(e)’de düzenlenmektedir. Özel sektör veri sorumlularının başkalarına ait verileri işlemek yükümlülüğü altında bulundukları birçok durumdan bahsetmek mümkündür; örneğin hekimle r ve hastaneler hastaların tedavi sürecine ait verileri uzun yı lar boyunca saklama yükümlülüğü altındadır; işverenler sosyal güvenlik ve vergilendirme gerekçeleriyle işçilerine ait veriler i, işletmeler ise vergilendirme gerekçesiyle müşterilerine ait verileri işlemekle yükümlüdürler.
Hava yolu şirketlerinin yolcu verilerini yabancı göç idarelerine zorunlu olarak aktarmalar ı bağlamında yabancı bir hukuk düzeninden kaynaklanan yasal yükümlülüklerin AB hukuku kapsamında veri işlemeleri için hukuki bir dayanak oluşturup oluşturmadığı sorusu da gündeme gelmiştir. (Bu konu Bölüm 6.2.’de detaylı olarak ele alınmaktadır.).
Veri sorumlusunun yükümlülükleri AK mevzuatı kapsamında da verilerin işlenmesine yönelik hukuki bir dayanak oluşturmaktadır. Daha önce de belirtildiği üzere, özel sektörde faaliye t gösteren bir veri sorumlusunun yasal yükümlülükleri, AİHS m. 8(2)’de bahsedildiği üzere başkalarının meşru çıkarlarına dair yalnızca tek bir örneği teşkil etmektedir. Bu sebeple yukarıdaki örnek AK mevzuatı bakımından da uygulama alanı bulacaktır.
Veri öznesinin hayati çıkarları
AB mevzuatı kapsamında VK Direktifi madde 7(d), kişisel verilerin “veri öznesinin hayati çıkarlarının korunması gerekçesiyle” işlenmesi durumunda hukuka uygun sayılacağını belirtmektedir. Veri öznesinin hayatta kalmasıyla yakından ilişkili bu çıkarlar örneğin tıbbi verilerin veya kayıp kişilere ilişkin verilerin hukuka uygun olarak ku lanılmasına yönelik bir dayanak oluşturabilirler.
AK mevzuatı kapsamında, veri öznesinin hayati çıkarları, verilerin korunması hakkına yönelik hukuka uygun bir müdahale gerekçesi olarak AİHS m.8’de yer almamaktadır. 108 Sayılı Sözleşme’yi belirli alanlar bakımından tamamlayıcı nitelikteki bazı AK tavsiye kararlarında, veri öznesinin hayati çıkarları, verilerin hukuka uygun olarak işlenmeleri için geçerli bir dayanak olarak ifade edilmektedir.131 Veri öznelerinin hayati çıkarları açıkça veri işlemeyi haklı kılan sebepler arasında görülmektedir: veri öznesinin temel haklarının korunması hiçbir zaman veri öznesinin hayati çıkarlarını tehlikeye atmamalıdır.
Kamu menfaati ve resmi yetkinin kullanılması
131 Profilleme Tüzüğü, Madde3.4 (b).
Kamuyu ilgilendiren işlerin düzenlenmesine yönelik çok sayıda yol olduğundan, VK Direktifi’nin 7(e) maddesi “kamu yararına yürütülen bir görevin ifası veya verileri elinde bulunduran veri sorumlusu veya üçüncü bir kişiye ait resmi bir yetkinin ku lanılması için gerekliyse” kişisel verilerin hukuka uygun olarak işlenebileceğini düzenler.132
Örnek: ‘Xxxxx v. Almanya’,133 davasında, Almanya’da yaşayan bir Avusturya vatandaşı olan Bay Xxxxx, Federal Göçmen ve Mülteci Dairesi’nden Yabancı Uyruklular Merkezi Sicili’ nde (‘AZR’) yer alan kendine ait verilerin silinmesini talep etmiştir. Almanya’da üç aydan fazla bir süreyle oturacak olan yabancı uyruklu kişilere dair kişisel verileri içeren bu sicil istatikse l amaçlarla ve kolluk kuvvetleri ve yargı makamları tarafından suçların veya kamu güvenliğini tehdit eden faaliyetlerin soruşturulması ve kovuşturulması aşamalarında ku lanılmaktad ır. Davayı ABAD’a taşıyan mahkeme, diğer devlet kurumlarının da erişime sahip olduğu Yabancı Uyruklular Merkezi Sicili gibi bir sicilde tutulan kişisel verilerin işlenmesinin, Alman vatandaşları için böyle bir sicilin bulunmadığı göz önüne alındığında, AB hukuka uygun olup olmadığını sormuştur.
Birincil olarak ABAD, VK Direktifi madde 7(e) uyarınca, kişisel verilerin işlenmesinin ancak kamu menfaati veya resmi bir yetkinin ku lanılması için gerekli olması durumunda hukuka uygun olacağını belirtmiştir.
ABAD’a göre, “bütün Üye Devletlerde eşdeğer seviyede bir korumanın sağlanması amacı göz önünde tutulduğunda VK Direktifi madde 7(e)’de yer verilen gereklilik kavramının […] Üye Devletler arasında farklılık gösterecek bir anlamı olamaz. Dolayısıyla da elimizde Topluluk hukuku kapsamında kendi bağımsız anlamına sahip ve direktifin 1(1) maddesinde belirtile n amaçları tam olarak yansıtması gereken bir kavram bulunmaktadır.”134
Mahkeme ayrıca, bir Üye Devletin topraklarındaki -o üye devletin vatandaşı olmayan- bir Birlik vatandaşının seyahat özgürlüğünün mutlak olmadığını, Avrupa Birliği Antlaşması ve bağlant ılı tedbirler uyarınca sınırlamalara ve şartlara tabi olabileceğini hatırlatmaktadır. Buradan hareketle, oturma hakkıyla alakalı yasaları uygulamakla görevli makamlara destek olması adına AZR gibi bir sicilin ku lanılması bir Üye Devlet için prensip olarak meşru ise, bu sicilin o belirli amaç için gerekli olmayan hiçbir bilgiyi içermemesi gerekmektedir. Mahkeme, kişisel veriler in işlenmesi için kurulmuş bu şekildeki bir sistemin yalnızca ilgili mevzuatı uygulamak için gerekli olan verileri içermesi ve sistemin merkezi niteliğinin ilgili mevzuatın uygulamasını daha etkili hale getirmesi durumunda AB hukuka uygun olacağını değerlendirmiştir. Ulusal mahkeme somut olayda bu şartların oluşup oluşmadığını belirlemek durumundadır. Şartlar yerine getirilmediyse, kişisel verilerin AZR gibi bir sicilde istatiksel amaçlar için saklanmas ı ve işlenmesi hiçbir şekilde VK Direktifi madde 7(e) uyarınca gerekli olarak görülemez.135
Son olarak, sicilde yer alan verilerin verilerin suçla savaş amacıyla ku lanılmalarıyla alakalı olarak Mahkeme, bu amacın “faillerin tabiiyetinden bağımsız olarak suçların ve ihlaller in kovuşturulması”na ilişkin olacağını ifade etmiştir. Söz konusu sicil ilgili Üye Devletin kendi vatandaşlarına dair verileri kapsamamaktadır ve uygulamadaki bu farklılık Avrupa Birliğini n İşleyişi Hakkında Antlaşma’nın 18. maddesi kapsamında yasaklanan bir ayrımcılık teşkil etmektedir. Mahkeme’nin yorumuna göre bu madde, “bir Üye Devletin, kendi vatandaşı
132 Bakınız, VK Direktifi, Gerekçe 32.
133 ABAD, C-524/06, Xxxxx v. Germany, 16 Aralık 2008.
134 A.e., par. 52.
135 A.e., par. 54, 58, 59, 66-68.
olmayan Birlik vatandaşlarına ait kişisel verileri suçla mücadele amacıyla işleyecek bir sistem kurmasını yasaklar”.136
Kişisel verilerin kamusal alanda faaliyet gösteren yetkililer tarafından ku lanımı da AİHS madde 8’in kapsamına girmektedir.
Veri sorumlusu veya üçüncü kişinin meşru çıkarları
Meşru çıkarlara sahip olan tek kişi veri öznesi değildir. VK Direktifi madde 7(f) “veri öznesinin temel hak ve özgürlüklerinin korunmasını gerektiren durumlar saklı kalmak kaydıyla, veri sorumlusunun veya verilerin ifşa olunduğu üçüncü kişi veya kişilerin meşru çıkarları için gerekli olması durumunda” kişisel verilerin işlenmesinin hukuka uygun olacağını düzenlemektedir.
ABAD aşağıdaki kararda açıkça Direktif madde 7(f)’ye dayanmıştır:
Örnek: ‘ASNEF ve FECEMD’137 davasında ABAD, ulusal hukukun, verilerin hukuka uygun işlenmelerine dair VK Direktifi madde 7(f) ile belirlenen şartlara bir ekleme yapamayacağını açıklığa kavuşturmuştur. Bu açıklama, İspanyol veri koruma mevzuatında yer alan ve veri öznesinin dışındaki gerçek kişilerin, yalnızca ilgili bilgilerin daha önce kamuya açık kaynaklarda yer almış olması durumunda verilerin işlenmesinde meşru bir çıkarları olduğunu ileri sürebileceklerine dair bir düzenlemeye atfen yapılmıştır.
ABAD ilk önce, VK Direktifi’nin, kişisel verilerin işlenmesiyle alakalı bireylerin hak ve özgürlüklerine yönelik korumanın düzeyinin bütün Üye Devletlerde aynı seviyede olması amacını taşıdığını belirtmiştir. Bu alandaki ulusal mevzuatın direktif ile uyumlulaştırılmasının sağlanan korumanın düzeyinde herhangi bir azalmaya sebep olmaması gerektiği de vurgulanmıştır. Aksine AB içinde yüksek düzeyde bir koruma sağlamayı hedeflemelidir.138 Dolayısıyla, ABAD, VK Direktifi’nin 7. maddesinde kişisel verilerin işlenmesinin hukuka uygun olarak değerlendirileceği durumlara dair kapsamlı ve sınırlayıcı bir liste yapılmasını n bütün Üye Devletlerde aynı koruma düzeyinin sağlanması amacından ileri geldiğini belirtmiştir. Ek olarak, “Üye Devletler bu listeye hukuka uygun işlemeye dair yeni ilkeler ekleyemezler veya 7. maddede sayılan altı ilkeden birinin kapsamını değiştirecek ek koşullar getiremezler.139 Mahkeme, VK Direktifi madde 7(f) uyarınca gerekli olan dengelemeyle bağlantılı olarak, “veri öznesinin temel haklarına yönelik olarak işlemeden kaynaklanabile cek ihlalin ciddiyetinin söz konusu verilerin daha önceden kamuya açık kaynaklarda yer almış olup olmadığına göre değişebileceğinin göz önüne alınmasının mümkün olduğunu” kabul etmiştir.
Ancak, “VK Direktifi madde 7(f), bazı kişisel veri kategorilerinin Üye Devletler tarafında n kategorik ve gene leştirilmiş bir şekilde ve her bir somut olay bakımından çatışan haklar ve çıkarlar bakımından bir dengeleme yapılmaksızın işleme kapsamı dışında tutulmalarının yasak olduğunu düzenlemektedir.”
136 A.e., par. 78 ve 81.
137 ABAD, Birlikte Görülen C-468/10 ve C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) and Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estado, 24 Kasım 2011.
138 A.e., par. 28. Bakınız VK Direktifi, Gerekçe 8 ve 10.
139 AİHM , Xxxxxx v. Romania [GC], No. 28341/95, 4 Mayıs 2000, par. 57; Bakınız AİHM , Association for European Integration and Human Rights and Ekimdzhiev v. Xxxxxxxx, Xx. 00000/00, 28 Haziran 2007; AİHM , Shimovolos v. Russia, No. 30194/09, 21 Haziran 2011; ve AİHM , Vetter v. France, No. 59842/00, 31 Mayıs 2005.
Bu değerlendirmeler çerçevesinde Mahkeme, “VK Direktifi madde 7(f)’nin, veri öznesinin rızasının bulunmadığı ve veri öznesinin kişisel verilerinin işlenmesinin veri sorumlusunun veya verilerin ifşa olunduğu üçüncü kişi veya kişilerin meşru çıkarları için gerektiği durumlarda, veri öznesinin temel hak ve özgürlüklerine saygı gösterilmesi yanında verilerin daha önceden kamuya açık kaynaklarda yer almış olmasını da şart koşan, dolayısıyla da böyle kaynaklarda yer almayan verilerin işlenmesini kategorik ve genelleştirilmiş bir biçimde enge leyen ulusa l
düzenlemelerin getirilmesini belirtmiştir. 140
yasaklayan
bir hüküm olarak yorumlanması gerektiğini ”
AK’nin tavsiye kararlarında da benzer yorumlamalara rastlamak mümkündür. AK’nin Profil Oluşturma Tavsiye Kararı, başkalarının meşru çıkarları için gerekmesi durumunda ve “veri öznesinin temel hak ve özgürlüklerinin korunması hali saklı kalmak kaydıyla ”, kişisel veriler in profil oluşturma amacıyla işlenmesini meşru olarak değerlendirmektedir.141
4.1.2. Özel nitelikli (hassas) kişisel verilerin hukuka uygun olarak işlenmesi
AK mevzuatı, hassas verilerin ku lanımına dair uygun bir korumanın düzenlenmesini ulusa l yasalara bırakırken, AB mevzuatı, VK Direktifi madde 8 uyarınca, ırk veya etnik kökene, siyasi görüşe, dini veya felsefi inanca, sendika üyeliğine, sağlık veya cinsel hayata ilişkin bilgile r içeren veri kategorilerinin işlenmesine yönelik detaylı düzenlemer içermektedir. Kural olarak hassas verilerin işlenmesi yasaktır.142 Ancak, bu yasağın istisnalarını sınırlı sayı ilkesi uyarınca sayan düzenlemeler Direktif madde 8(2) ve 8(3)’de yer almaktadır. Bu istisnalar arasında veri öznesinin açık rızası, veri öznesinin hayati menfaatleri, başkalarının meşru çıkarları ve kamu yararı bulunmaktadır.
Hassas olmayan verilerin işlenmesinden farklı olarak, veri öznesiyle kurulmuş bir sözleşme ilişkisi, hassas verilerin işlenmesinin meşruluğu için genel bir dayanak olarak görülemez. Bu sebeple, hassas verilerin veri öznesiyle yapılan bir sözleşme bağlamında işlenecek olması halinde, bu verilerin ku lanımı için veri öznesinin, sözleşmenin akdedilmesine yönelik rızası dışında, ayrı bir açık rızası gerekmektedir. Veri öznesinin hassas verileri ister istemez ortaya çıkaran mal ve hizmetlere yönelik açık bir talebi xxxx xxxx hükmünde değerlendirilmelidir.
Örnek: Bir uçak yolcusu, bilet rezervasyonu kapsamında, havayolu şirketinin bir tekerlekli sandalye ve Yahudi inancına uygun yemek sağlamasını talep ederse, yolcu sağlık durumu ve dini inancına dair bilgilerin açıklanmasına rıza gösterdiğine dair ek bir rıza maddesini imzalamamış olsa bile havayolu şirketi bu verileri kullanabilir.
Xxxx xxxxxxxxx açık rızası
Verilerin hukuka uygun olarak işlenmesinin ilk koşulu, bilgilerin hassas olup olmadığı na bakılmaksızın, veri öznesinin rızasıdır. Hassas bilgi söz konusu ise bu rıza açıkça verilmelid ir. Ancak ulusal mevzuat kapsamında hassas verilerin ku lanılması bakımından rızanın tek başına yeterli bir yasal dayanak olmadığı143, örneğin işlemenin veri öznesine yönelik olağandışı riskler
140 A.e., par. 40, 44, 48 ve 49.
141 Profilleme Tüzüğü, Madde3.4 (b).
142 VK Direktifi, Madde8 (1).
143 A.e., Madde8 (2) (a).
oluşturabileceği istisnai durumlarda rızanın tek başına yeterli yasal dayanak oluşturmayaca ğı düzenlenebilir.
Konuyla alakalı özel bir durum kapsamında, zımni rıza bile hassas verilerin işlenmesi için yasal bir dayanak olarak kabul edilmektedir: VK Direktifi madde 8(2)(e) uyarınca veri öznesi tarafından aleni bir şekilde kamuya duyurulmuş verilere ilişkin işlemeler yasak değildir. Bu hüküm veri öznesinin verilerini kamuya açıklama şeklindeki eyleminin bu veriler in ku lanılmasına yönelik zımni rızası olarak yorumlanması gerektiğini kabul etmektedir.
Veri öznesinin hayati menfaatleri
Hassas olmayan verilerin işlenmesinde olduğu gibi, hassas veriler veri öznesinin hayati menfaatleri söz konusu olduğunda işlenebilir.144
Hassas verilerin işlenmesinin bu temelde hukuka uygun olabilmesi için verilerin işlenmes ine dair kararın, örneğin bilinç kaybı veya kendisine ulaşılamaması vb. sebeplerle veri öznesinin takdirine sunulamayacak olması gerekir.
Başkalarının meşru menfaatleri
Hassas olmayan verilerin işlenmesinde olduğu gibi, hassas veriler başkalarının meşru menfaatleri söz konusu olduğunda işlenebilir. Ancak hassas veriler bakımından ve VK Direktifi madde 8(2) uyarınca bu işleme ancak aşağıdaki durumlarda mümkündür:
• veri öznesinin fiziksel veya hukuki bağlamda rıza göstermesine imkan bulunmad ığı hallerde işlemenin başka bir kişinin meşru menfaatleri açısından gerekli olması;145
• hassas verilerin iş hukuku kapsamında önem taşıdığı hallerde, örneğin tehlikeli sınıfta yer alan iş yerleri bakımından tıbbi veriler, veya resmi tati ler bakımından dini inançlarda olduğu gibi.146
• siyasi, felsefi, dini veya sendikasal amaçla kurulmuş vakıfların, derneklerin veya kar amacı gütmeyen diğer kuruluşların üyeleri, sponsorları veya ilgili diğer taraflarla alakalı verileri işlemesi durumunda (bu tür veriler hassas verilerdir çünkü veri öznelerin dini veya siyasi inançlarını açığa vurmaları muhtemeldir);147
• hassas verilerin yasal bir talebin ortaya koyulması, uygulanması veya savunulması amacıyla bir mahkeme veya idari merc i önünde ku lanılması.148
• Bunlara ek olarak, VK Direktifi madde 8(3) kapsamında tıbbi verilerin muayene ve tedavi amacıyla sağlık kuruluşları tarafından ku lanıldığı durumlarda bu hizmetler in yönetimi de bu istisna kapsamındadır. Özel bir koruma önlemi olarak, ‘sağlık kuruluş u” tanımı kapsamına giren kuruluşlar mesleki gizlilik (sır saklama) yükümlülüğü altında bulunanlarla sınırlandırılmıştır.
144 A.e., Madde8 (2) (c).
145 A.e., Madde8 (2) (c).
146 A.e., Madde8 (2) (b).
147 A.e., Madde8 (2) (b).
148 A.e., Madde8 (2) (b).
Kamu menfaati
Ek olarak, Veri Koruma Direktifi madde 8(4) uyarınca, Üye Devletler, aşağıdaki koşulara uyulduğu sürece hassas verilerin işlenebileceği yeni amaçlar öngörmekte serbesttir:
• verilerin işlenmesi somut bir kamu menfaatinin gerçekleştirilmesine yönelik sebeplerden kaynaklanıyorsa; ve
• verilerin bu amaçla işlenebileceği ulusal mevzuatta veya bir denetim makamını n
kararında yer alıyorsa; ve
• bu ulusal hükümler veya denetim makamı tarafından alınan karar veri öznesinin menfaatlerini etkili şekilde koruyacak gerekli güvencelere sahipse.149
Öne çıkan bir örnek, birçok Üye Devlette kurulmak üzere olan elektronik tıbbi kayıt sistemleridir. Bu sistemler, sağlık kuruluşları tarafından bir hastanın tedavi sürecinde topladıkları tıbbi verilerin bu hastaya sağlık hizmeti sunan ulusal çaptaki diğer sağlık kuruluşlarının erişimine sunulmasına izin vermektedir.
Madde 29 Çalışma Kurultayı, bu şekildeki sistemlerin kurulmasının hastalara ait veriler in işlenmesine dair VK Direktifi’nin 8(3) maddesi kapsamında mümkün olmadığını değerlendirmiştir. Söz konusu elektronik tıbbi kayıt sistemlerinin varlığının somut bir kamu yararı teşkil ettiği varsayılsa bile, madde 8(4) kapsamında, kurulmaları için açık bir yasal dayanağın bulunması ve sistemin güvenli bir şekilde işlemesi için gerekli tedbirlerin alınmış olması gerekecektir.150
4.2. İşleme sürecinin güvenliğine dair kurallar
Ana başlıklar
• İşleme sürecinin güvenliğine dair kura lar, veri sorumlusunun ve veri işleyenin, veri işleme faaliyetlerine yetkisiz müdaheleleri önlemek için gerekli teknik ve örgütsel tedbirleri almasına yönelik bir yükümlülüğe işaret eder.
• Gereken veri güvenliği seviyesi aşağıdaki kriterlere göre belirlenir:
1) herhangi belirli bir işleme tipi için piyasada bulunabilecek güvenlik önlemleri; ve
2) maliyetler;
3) işlenen veririnin hassaslığı.
• Verilerin güvenli olarak işlenmesi görevi genel bir sorumluluk bağlamında işleme sürecinde yer alan bütün kişilere, veri sorumlularına veya işleyenlere düşmekte ve verilerin gizli kaldığından emin olunması gerekmektedir.
Veri sorumlularının ve veri işleyenlerin veri güvenliğini sağlamaya yönelik gerekli önlemler i alma yükümlülüğü AK veri koruma mevzuatında ve AB veri koruma mevzuatında yer almaktadır.
4.2.1. Veri güvenliğinin unsurları
149 A.e., Madde8 (2) (b).
150 Madde 29 Çalışma Kurultayı (2007), Sağlıkla ilgili kişisel verilerin elektronik sağlık kayıtlarında işlenmesine ilişkin Çalışma Belgesi, WP 131, Brüksel, 15 Şubat 2007.
AB mevzuatında yer alan ilgili hükümler gereğince:
‘Üye Devletler, kişisel verilerin, özellikle de işleme sürecinde verilerin bir ağ üzerinde aktarımının söz konusu olduğu hallerde, kazara veya hukuka aykırı olarak imhası veya kaza eseri kaybolması, değişmesi, yetkisiz kişilerin eline geçmesi veya erişimine açılması durumlarına yönelik olarak gerekli teknik ve örgütsel tedbirlerin veri sorumlusu tarafından alınmasını sağlamalıdırlar.151
AK mevzuatında da benzer bir hüküm yer almaktadır:
“Otomatik veri dosyalarında saklanan kişisel verilerin kazara veya yetkisiz bir müdahale sonucu imhaya veya kaza eseri kaybolmaya, yetkisiz erişim, değişiklik veya yayılmaya karşı korunmaları için gerekli güvenlik tedbirleri alınmalıdır”.152
Verilerin güvenli olarak işlenmesine yönelik endüstriyel, ulusal ve uluslararası standartların da getirildiği sıklıkla görülmektedir. Örneğin Avrupa Gizlilik Mührü (EuroPriSe), AB’nin ürünleri, öze likle de yazılımları Avrupa veri koruma hukukuna uygunluk anlamında sertifikalandırma olanaklarını araştırdığı eTEN (Trans-Avrupa Telekomünikasyon Ağları) projelerinden birisidir. Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA) ise AB’nin, Üye Devletlerin ve iş dünyasının ağ ve bilgi güvenliği alanlarındaki sorunları önleme, tespit etme ve çözümler bulma konusundaki kabiliyetlerini geliştirmek üzere kurulmuştur.153 ENISA düzenli olarak güncel güvenlik tehditleri hakkında analizler yayınlar ve bu tehditlerin nasıl üstesinden gelinebileceğine dair tavsiyelerde bulunur.
Veri güvenliği tek başına doğru teçhizata -donanım ve yazılıma- sahip olmakla sağlanama z. Aynı zamanda, uygun iç organizasyon kura ları gerektirir. Bu kurallar tercihen aşağıdaki hususları kapsamalıdır:
• çalışanların veri güvenliği kura ları ve veri koruma hukuku kapsamındak i yükümlülükleri, öze likle de gizlilik/sır saklama yükümlülükleri hakkında düzenli olarak bilgilendirilmesi;
• sorumlulukların açık bir şekilde dağıtılması ve veri işleme süreçleriyle, öze likle de kişisel verilerin işlenmesine yönelik kararlar ve verilerin üçüncü kişilere aktarılmasıyla alakalı yetkinliklere dair açık bir çerçevenin çizilmesi;
• kişisel verilerin yalnızca yetkili kişinin talimatları veya genel olarak belirlenen kurallar uyarınca ku lanılması;
• veri sorumlusunun veya veri işleyenin bulundukları bölgeye ve donanım ve yazılımlarına erişimin, erişim yetkisine yönelik kontrollerle korunması;
• kişisel verilere erişim yetkilerinin bunu vermeye yetkili kişiler tarafından verildiğinde n ve düzgün şekilde belgelendirildiğinden emin olunması;
151 VK Direktifi, Madde17 (1).
152 108 Sayılı Sözleşme, Madde7.
153 Avrupa Birliği Parlamentosu ve Konseyi, 460/2004 Sayılı, Avrupa Ağ ve Bilgi Güvenliğ Ajansı’nın kurulmasına ilişkin Tüzük, 10 Mart 2004, OJ 2004 L 77.
• kişisel verilere elektronik yollardan erişimin otomatik protokoller aracılığıyla yapılmas ı ve bu protokollerin iç denetim birimi tarafından düzenli olarak kontrol edilmesi;
• Yasa dışı veri aktarımlarının gerçekleşmediğini gösterebilmek adına, otomatik erişim dışındaki biçimlerde ifşa edilen veriler bakımından belgelendirmenin dikkatli şekilde yapılması.
Personele veri güvenliği hakkında yeterli eğitimin verilmesi de alınacak etkili güvenlik önlemlerinin unsurlarından birisidir. Gerekli tedbirlerin yalnızca kâğıt üzerinde kalmamas ı, uygulamada da ku lanılması ve işe yarayabilmesi için doğrulama prosedürlerinin de öngörülmesi gerekmektedir (örneğin iç veya dış denetimler gibi).
Veri sorumlusu veya veri işleyenin güvenlik düzeyini arttıracak önlemler kişisel veri koruma memurları, çalışanlara verilecek güvenlik eğitimleri, düzenli denetimlerin yapılması, sızma testleri ve kalite mühürleri gibi tedbirleri içermektedir.
Örnek: ‘I v. Finlanda’154 davasında başvuran, çalıştığı hastanedeki diğer çalışanlar tarafında n tıbbi kayıtlarına hukuka aykırı olarak erişildiğini ispatlayamamıştır. Başvuranın veriler in korunması hakkının ihlal edildiği yönündeki iddiası, bu sebeple ulusal mahkemeler tarafında n reddedilmiştir. AİHM, hastanenin tıbbi dosyalar için ku landığı kayıt sisteminin “yalnızca uygulanan son beş tedaviyi göstermesi ve dosya arşive kaldırılır kaldırılmaz bu bilgilerin de siliniyor olması sebebiyle hasta kayıtlarının geçmişe yönelik olarak açıklığa kavuşturulmasına imkân vermediği” gerekçesiyle AİHS’nin 8. maddesinin ihlal edildiği sonucuna varmışt ır . Mahkeme, ulusal mahkemelerin bu gerçek üzerinde yeterince durmadığını ancak söz konusu kayıt sisteminin ulusal mevzuatta yer alan yasal koşu lara açıkça aykırı olmasının bu kararda belirleyici olduğunu ifade etmiştir.
Veri ihlali bildirimleri
Veri güvenliği ihlalleriyle başa çıkmak için birçok Avrupa ülkesinin veri koruma mevzuatlar ına dahil ettiği yeni bir yol bulunmaktadır: elektronik haberleşme hizmetleri sağlayıcılarının veri ihlallerini muhtemel mağdurlara ve denetim makamlarına bildirme zorunluluğu. Telekomünikasyon sağlayıcıları bakımından, bu bildirim AB hukuku kapsamında zorunludur.155 Veri ihlalleri bildirimlerinin veri öznelerine yapılmasının amacı zararların önlenmesidir: veri ihlallerinin ve olası sonuçlarının bildirilmesi veri öznelerine yönelik olumsuz etkilerin oluşması riskini en aza indirgemektedir. Ciddi ihmaller söz konusu olduğunda, hizmet sağlayıcılar para cezasına da çarptırılabilir.
Veri öznelerine ve/veya denetim makamlarına bu ihlallerin bildirilmesi amacıyla ulusa l mevzuatlar tarafından tanınan süreler gene lik le kısa olduğundan, veri ihlallerinin etkili şekilde
154 AİHM , I. v. Finland, No. 20511/03, 17 Temmuz 2008.
155 Bakınız, Avrupa Birliği Parlamentosu ve Konseyi, 2002/58 Sayılı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi, 12 Temmuz 2002, OJ 2002 L 201, madde 4 (3), 2009/136/AB Sayılı Direktif tarafından değiştirilen Avrupa Birliği ve Konseyi Direktifi, 2002/22/AB Sayılı Elektronik iletişim ağları ve hizmetleri ile ilgili evrensel hizmet ve kullanıcı haklarına ilişkin Direktif, 25 Kasım 2009, Ayrıca bakınız; 2002/58 Sayılı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi ve 2006/2004 Sayılı, Tüketici koruma kanunlarının uygulanmasından sorumlu ulusal makamlar arasındaki işbirliği Tüzüğü, 2009/136/AB Sayılı Avrupa Birliği Parlamentosu ve Konseyi Direktifi, 25 Kasım 2009, OJ 2009 L 337.
yönetilmesi ve bildirimlerin yapılabilmesi için iç taraftaki prosedürlerin önceden belirlenmiş olması gerekmektedir.
4.2.2. Gizlilik
AB mevzuatı uyarınca, verilerin güvenli şekilde işlenmesi, bu sürece dahil olan bütün kişilere, veri sorumlularına veya veri işleyenlere yönelik genel bir ödev olarak ifade edilmekte ve verilerin gizli kalması bu şekilde güvence altına alınmaktadır.
Örnek: Bir sigorta şirketi çalışanı iş yerinde bulunduğu sırada, şirket müşterisi olduğunu söyleyen birisi tarafından telefonla aranır ve sigorta sözleşmesine dair bilgiler talep edilir.
Müşterilerin verilerinin gizli tutulması görevi, çalışanın bu kişisel verileri ifşa etmeden önce asgari güvenlik tedbirlerini uygulamasını gerektirmektedir. Bu da, örneğin, müşterini n dosyasında kayıtlı bulunan telefon numarasına konuyla alakalı dönüş yapılacağına dair bir cevap verilmesi yoluyla sağlanabilir.
VK Direktifi’nin 16. maddesi gizliliği yalnızca veri sorumlusu-veri işleyen ilişkisi bağlamında ele almaktadır. Veri sorumlularının verileri, üçüncü kişilere ifşa bakımından gizli tutmak zorunda olup olmadıkları direktifin 7. ve 8. maddesinde düzenlenmektedir.
Verilerin, bir kişinin bilgisi dahiline veri sorumlusu veya veri işleyenin bir çalışanı olarak değil de tamamen kendi kişisel konumları gereği geçtiği durumlarda gizlilik yükümlülüğü geçerli olmayacaktır. Bu durumda VK Direktifi’nin 16. maddesi uygulama alanı bulmayacaktır çünkü kişisel verilerin bireyler tarafından ku lanılması, hanehalkı istisnası kapsamına girdiği sürece direktifin düzenleme alanının tamamen dışında kalmaktadır.156 Hanehalkı istisnası kişisel verilerin “gerçek bir kişi tarafından ve tamamen kişisel veya hanehalkı faaliyetleri sırasında ” ku lanılmasını ifade eder.157 ABAD’ın ‘Xxxxx Xxxxxxxx’000 davasında verdiği karardan beri bu istisnanın öze likle de verilerin ifşası bakımından dar olarak yorumlanması gerekmektedir . Öze likle bu istisna kişisel verilerin internet ortamındaki belirsiz sayıda kişiye yayınlanmas ı durumunu kapsamayacaktır (Daha fazla bilgi için bkz. Bölüm 2.1.2, 2.2., 2.3.1., ve 6.1).
AK mevzuatı uyarınca, gizlilik yükümlülüğü, 108 Sayılı Sözleşme’nin veri güvenliğine dair 7. maddesinde yer alan veri güvenliği kavramı içerisinde bulunmaktadır.
Veri işleyenler için gizlilik yükümlülüğü, veri sorumlusu tarafından kendilerine emanet edilen kişisel verilerin yalnızca veri sorumlusunun talimatlarına uygun olarak ku lanılabilece ği anlamına gelmektedir. Bir veri sorumlusunun veya veri işleyenin çalışanları bakımından ise gizililik yükümlülüğü, bu çalışanların kişisel verileri yalnızca yetkili amirlerinin talimatlar ı doğrultusunda ku lanmaları anlamına gelir.
Gizlilik yükümlülüğü veri sorumluları ve veri işleyenler arasındaki her türlü sözleşmede yer alması gereken bir yükümlülüktür. Ayrıca veri sorumluları ve veri işleyenler, gene likle iş akdinde yer verecekleri bir gizlilik hükmü yoluyla, çalışanlarına yönelik bir gizli lik yükümlülüğü getirmek durumundadırlar.
156 VK Direktifi, Madde3 (2) ikinci paragraf.
157 A.e.
158 ABAD, C-101/01, Xxxxxxxxx, 6 Kasım 2003.
Gizliliğe yönelik mesleki yükümlülüklerin ihlali, AK 108 Sayılı Sözleşme’ye taraf devletlerde ve birçok Üye Devlette ceza yasaları gereği cezalandırılabilir niteliktedir.
4.3. Verilerin işlenmesinde şeffaflığa dair kurallar
Ana başlıklar
• Kişisel verilerin işlenmesine başlamadan önce veri sorumlusu, veri öznesi bu bilgilere zaten sahip değilse, veri öznelerine kendi kimliği hakkında bilgi vermeli ve verileri hangi amaç ile işleyeceğini bildirmelidir.
• Verilerin üçüncü kişilerden toplandığı ha lerde, bilgilendirme yükümlülüğü aşağıdaki koşu ların gerçekleşmesi durumunda uygulanmaz:
1) verilerin işlenmesinin yasa ile öngörülmüş olması; veya
2) bilgilendirme yükümlülüğünün imkansız olduğunun anlaşılması veya aşırı bir gayret gerektirecek olması.
• Ayrıca, veri sorumlusu verileri işlemeye başlamadan önce:
1) denetim makamına planlanan işleme faaliyetleri ile alakalı bildirimde bulunmalı; veya
2) ulusal yasaların öngörmesi durumunda, işlemeye dair iç belgelendirmeyi bağımsız bir veri koruma memuruna yaptırmalı.
Verilerin adil olarak işlenmesi ilkesi, verilerin şeffaf bir şekilde işlenmesini gerektirmekted ir. AK mevzuatı uyarınca her kişi veri işleme dosyalarının varlığını, amaçlarını ve ilgili veri sorumlusunu tespit edebilecek durumda olmalıdır.159 Bunların nasıl sağlanacağı ise ulusa l hukuk düzenlerine bırakılmıştır. AB mevzuatı ise veri öznesi yararına şeffaflığı sağlamak adına veri sorumlusuna yönelik olarak veri öznesini bilgilendirme ve kamuoyuna bildir im yükümlülükleri öngörmektedir.
Her iki yasal sistemde de sınırlamanın belirli kamu menfaatlerini ve veri öznesinin veya başkalarının hak ve özgürlüklerini korumak için demokratik bir toplumda gerekli olması durumunda veri sorumlusunun şeffaflık yükümlülüklerine yönelik istisnalar ve sınırlama la r getirilebilir.160 Bu tür istisnalar, örneğin suçların soruşturulması bağlamında gerekli görülebilir veya başka koşu lar altında haklı gerekçelere dayanabilir.
4.3.1. Bilgilendirme
AK ve AB mevzuatına göre, verilerin işlenmesine başlamadan önce veri sorumluları, veri öznelerine planlanan işlemeyle alakalı bilgilendirmede bulunmakla yükümlüdür.161 Bu yükümlülük veri öznesinden gelecek bir talebe bağlı olarak değil, veri öznesinin söz konusu bilgilerle ilgilenip ilgilenmediğine bakılmaksızın, veri sorumluları tarafından proaktif bir şekilde yerine getirilmelidir.
Bilgilendirmenin içeriği
159 108 Sayılı Sözleşme, Madde8 (a).
160 A.e., Madde9 (2); ve VK Direktifi, Madde13 (1).
161 108 Sayılı Sözleşme, Madde8 (a); ve VK Direktifi Madde10 ve 11.
Bilgilendirme, işlemenin amacını, veri sorumlusunun kimlik ve iletişim bilgiler ini içermelidir.162 VK Direktifi, “verilerin toplandığı belirli durumlarla alakalı olarak, veri öznesi bakımından adil işlemenin güvence altına alınması için gerekli olması” durumunda bu bilgilendirme kapsamında başka ek bilgiler de verilmesi gerektiğini düzenlemektedir. VK Direktifi madde 10 ve 11 diğer konularla birlikte işlenen verilerin kategorilerini, bu veriler in alıcılarını ve verilere erişim hakkı ile verilerin düzeltilmesini talep hakkını da genel hatlarıyla belirlemektedir. Verilerin veri öznelerinden toplanması sırasında yapılacak bilgilendirmede, soruların cevaplanmasının zorunluluk veya gönüllülük esaslarından hangisine dayalı olduğu na ve bu sorulara cevap verilmemesi durumunda ortaya çıkabilecek olası sonuçlara dair bilgiler de yer almalıdır.163
AK mevzuatı uyarınca bu bilgilendirmenin yapılması verilerin adil işlenmesi ilkesi kapsamında iyi bir uygulama ve bu bağlamda da AK mevzuatının bir parçası olarak değerlendirilebilir.
Adil işleme ilkesi bilgilendirmenin veri özneleri tarafından kolaylıkla anlaşılabilir olmasını gerektirmektedir. Muhataplar açısından uygun olan bir dil ku lanılmalıdır. Hedef alınan kitlenin yetişkinler veya çocuklar, kamuoyu veya akademik uzmanlar olmasına bağlı olarak ku lanıla n dilin seviyesi veya türü de farklılık göstermelidir.
Bazı veri özneleri verilerinin nasıl ve neden işlendiğiyle alakalı olarak yalnızca özet bir şekilde bilgilendirilmek isterlerken, bazıları da detaylı bir açıklamaya ihtiyaç duyacaklardır. Uygun şekilde bilgilendirmeye dair bu yönün ne şekilde dengeleneceğiyle alakalı olarak, Madde 29 Çalışma Kurultayın’ınbir görüşünde katmanlı bilgilendirme164 olarak isimlendirilen ve veri öznesinin detay seviyesine karar verebileceği bir yapı öne çıkarılmaktadır.
Bilgilendirmenin yapılma zamanı
VK Direktifi bilgilendirmenin ne zaman yapılması gerektiğiyle alakalı, verilerin veri öznesinden (madde 10) veya üçüncü bir kişiden (madde 11) toplanmasına bağlı olarak kısmen değişen hükümler içermektedir. Verilerin veri öznesinden toplanmış olması durumunda bilgilendirmenin en geç toplama anında yapılması gerekmektedir. Verilerin üçünkü kişilerde n toplanması durumunda ise bilgilendirmenin en geç veri sorumlusunun verileri kaydettiği anda veya verilerin ilk kez üçüncü bir kişiye ifşa edilmesinden önce yapılması gerekmektedir.
Bilgilendirme zorunluluğunun istisnaları
AB mevzuatı uyarınca, veri öznesinin bilgilendirilmesi zorunluluğuna getirilmiş genel bir istisna veri öznesinin zaten bu bilgilere sahip olduğu durumlarda söz konusudur.165 Burada veri öznesinin, durumun koşu ları gereği, verilerinin belirli bir amaç için belirli bir veri sorumlus u tarafından işleneceğinin farkında olması durumundan bahsedilmektedir.
VK Direktifi’nin verilerin veri öznesinden alınmadığı durumlara yönelik bilgilendir me yükümlülüğünü düzenleyen 11. maddesi, istatistiksel amaçlarla ve tarihi veya bilimse l
162 108 Sayılı Sözleşme, Madde8 (a); ve VK Direktifi, Madde10 (a) ve (b).
163 VK Direktifi, Madde10 (c).
164 Madde 29 Çalışma Kurultayı (2004), 10/2004 Sayılı, Uyumlaştırılmış Bilgi Hükümlerine ilişkin Öneri, WP 100, Brüksel, 25 Kasım 2004.
165 VK Direktifi, Madde10 ve 11 (1).
araştırma amacıyla yapılacak işlemelerde de böyle bir yükümlülüğün aşağıdaki ha lerde bulunmayacağını belirtmektedir:
• bu bilgilendirmeyi yapmanın imkansız olduğu anlaşılırsa; veya
• bilgilendirmeyi yapmanın aşırı bir gayret gerektirecek olması durumunda; veya
• verilerin kaydedilmesi veya ifşasının yasa ile açıkça düzenlenmiş olması durumunda.166
Yalnızca VK Direktifi madde 11(2)’de işleme faaliyetlerinin kanunla düzenlenmiş olması durumunda veri öznelerinin bilgilendirilmesinin gerekli olmadığı düzenlenmekted ir. Kanunların muhatapları tarafından bilindiği şeklindeki genel yasal varsayımdan yola çıkılarak, direktifin 10. maddesi kapsamında bir veri öznesinden verilerin toplanması durumunda veri öznesinin bu bilgilere sahip olduğu ileri sürülebilir. Ancak kanunlara dair bu bilgili olma hali yalnızca bir varsayımdan ibaret olduğundan, işleme kanunla düzenlmiş olsa bile veri öznesini n, öze likle de verilerin doğrudan veri öznesinden toplandığı durumlarda bu bilgilendirme yi yapmak aşırı bir külfet getirmeyeceğinden, adil işleme ilkesi gereği madde 10 kapsamında bilgilendirilmesi gerekecektir.
AK mevzuatı kapsamında, 108 sayılı Sözleşme, 8. maddesine dair istisnaları açıkça düzenlemektedir. Aynı şekilde, VK Direktifi’nin 10. ve 11. maddelerinde belirtilen istisna la r 108 Sayılı Sözleşme’nin 9. maddesi kapsamındaki istisnalar açısından iyi uygulama örnekleri olarak görülebilirler.
Farklı bilgilendirme yolları
Bilgilendirmede ku lanılacak ideal yol her bir veri öznesine sözlü veya yazılı olarak bilgilendirmede bulunulmasıdır. Verilerin veri öznesinden alındığı durumlarda bilgilendir me işlemi toplama işlemiyle eş zamanlı olarak yapılmalıdır. Öze likle verilerin üçünkü kişilerde n toplandığı ha lerde, veri öznelerine şahsen ulaşmanın yaratacağı zorluklar göz önüne alınır sa, bilgilendirmenin uygun bir şekilde yayınlanma yoluyla yapılması da mümkündür.
Bilgilendirme yapmanın en etkili yollarından birisi de veri sorumlusunun ana sayfasında bilgilendirme kayıtlarına uygun bir şekilde -örneğin internet sitesi gizlilik politikası şeklinde - yer vermesidir. Ancak nüfusun önemli bir kesimi halen internet ku lanmamaktadır ve bir şirketin veya bir kamu makamının bilgilendirme politikası bu gerçeği hesaba katmalıdır.
4.3.2. Bildirim
Ulusal yasalar, faaliyetlere ilişkin kayıtların yayınlanabilmesi adına, veri sorumlularını işleme faaliyetlerine dair yetkili denetim makamlarına bildirimde bulunma yükümlülüğü altına sokabilirler. Alternatif olarak, ulusal mevzuat veri sorumlularının, veri sorumlusu tarafında n gerçekleştirilen işleme faaliyetlerinin bir kaydını tutmakla görevli bir kişisel veri koruma memuru istihdam etmelerini şart koşabilir.167 Tutulan bu iç kayıtlar, talep üzerine vatandaşlara açılmalıdır.
Örnek: Kurum içi bir kişisel veri koruma memuru tarafından yapılacak bu bildirim ve belgelendirmenin söz konusu veri işlemeye dair temel öze likleri betimlemesi gerekmektedir .
166 A.e., Gerekçe 40 ve Madde 11 (2).
167 A.e., Madde18 (2) ikinci paragraf.
Bu kapsamda, veri sorumlusuna, verinin ne amaç ile işlendiğine, işlemenin yasal dayanağına, işlenen verilerin kategorilerine, muhtemel üçüncü kişi alıcılara ve verilerin sınır ötesi aktarımının planlanıp planlanmadığına, planlanıyorsa bu verilerin hangileri olduğuna dair bilgilere yer verilmelidir.
Denetim makamı bu bildirimleri özel bir sicil formatında yayınlamalıdır. Bu durum aynı şekilde veri sorumlusu tarafından bağımsız bir kişiye verdiği belgelendirme kapsamındadır. Sicilin amacına ulaşması için de buna erişimin kolay ve ücretsiz olması gerekir. Aynı koşu lar bir veri sorumlusunun kişisel veri koruma memuru tarafından tutulan kayıtlar bakımından da geçerlid ir.
VK Direktifi’nin 18(2) maddesinde168 listelenen veri öznelerine yönelik bir risk oluşturma ihtimali düşük işleme faaliyetleri bakımından, yetkili denetim makamlarına bildirimde bulunma veya iç tarafta bir veri koruma memuru istihdam etme yükümlülüğüne ulusal hukuk düzenleri tarafından istisnalar getirilebilir.
4.4. Uyuma teşvik kuralları
Ana başlıklar
• Hesap verilebilirlik ilkesini getiren VK Direktifi, uyuma teşvik konusunda birçok yöntemden bahsetmektedir:
1) planlanan işleme faaliyetlerinin ulusal denetim makamlarınca ön kontrolünün yapılması;
2) veri sorumlusuna verilerin korunması alanında danışmanlık yapacak kişisel veri koruma memurları;
3) Mevcut veri koruma kura larının toplumun belirli bir alanına, öze likle de iş sektörüne uygulanmasına yönelik detayları belirten davranış kura ları.
• AK Mevzuatı, Profil Oluşturma Tavsiye Kararı’nda da uyuma teşvik için benzer yöntemleri önermektedir.
4.4.1. Ön denetim
VK Direktifi madde 20 gereğince, -işlemenin amacı veya mevcut koşu ları gereği- veri öznelerinin hak ve özgürlüklerine yönelik belirli riskler oluşturabilecek işleme faaliyetlerini n, denetim makamları tarafından işleme başlamadan önce denetlenmesi gerekmektedir. Ulusal mevzuat hangi işleme faaliyetlerinin ön denetime tabi tutulacağını belirlemek durumundad ır . Bu denetimler, işleme faaliyetlerinin yasaklanması veya işleme faaliyetinin tasarlanan halinde bazı öze liklerin değiştirilmesi yönünde bir emirle sonuçlanab ilir. VK Direktifi madde 20 gereksiz derecede riskli işlemelerin daha başlamadan bu faaliyeti yasaklamaya yetkili olan denetim makamları tarafından enge lenmesi amacıyla getirilmiş bir düzenlemedir. Bu sistemin doğru bir şekilde işleyebilmesi için ön koşul denetim makamına bildirimin yapılmış olmasıd ır. Veri sorumlularının bu bildirimde bulunma yükümlülüklerini yerine getirdiklerinden emin olmak için de denetim makamlarının bazı zorlayıcı yetkilere, örneğin veri sorumlular ını cezalandırma yetkisine sahip olması gerekecektir.
Örnek: Eğer bir şirket yasa gereği ön denetime tabi işleme faaliyetleri yürütmekteyse, ilgili şirket planlanan işleme faaliyetlerine dair belgeleri denetim makamına sunmak zorundadır.
168 A.e., Madde18 (2) birinci paragraf.
Şirket, denetim makamından olumlu bir cevap almadıkça işleme faaliyetler ine başlayamayacaktır.
Bazı Üye Devletlerde, denetim makamının belirli bir zaman dilimi -örneğin üç ay- içerisinde konuyla alakalı bir cevap vermemiş olması halinde işleme faaliyetlerinin başlatılabileceği ne dair ulusal düzenlemeler bulunmaktadır.
4.4.2. Kişisel veri koruma memurları
VK Direktifi, veri sorumlularının, kişisel veri koruma memuru olarak çalışacak bir memur istihdam edebileceklerine dair ulusal mevzuatta bir düzenleme yapılmasının mümkün olduğunu belirtmektedir.169 Böyle bir görevlinin bulundurulmasındaki amaç ise veri öznelerinin hak ve özgürlüklerinin işleme faaliyetleri sebebiyle olumsuz olarak etkilenmesini önlemektir.170
Örnek: Almanya’da, Alman Federal Veri Koruma Yasası’nın (Bundesdatenschutzgesetz) 4f Kısmı’nın 1. Alt kısmı gereğince, kişisel verilerin otomatik işleme tabi tutulması alanında 10 veya daha fazla kişi çalıştıran özel şirketlerin kurum içi bir kişisel veri koruma memur u istihdam etmeleri gerekmektedir.
Yukarıda belirtilen amaca ulaşılması, direktifte de belirtildiği üzere, memurun veri sorumlusunun organizasyonu içindeki pozisyonu itibariyle belirli bir seviyede bağıms ız olmasına bağlıdır. Haksız yere işten çıkarma gibi ihtimallere karşı koruma sağlayacak güçte işçi hakları da bu görevin etkili bir şekilde yerine getirilebilmesi açısından gerekli olacaktır.
Kurum içi kişisel veri koruma memurları kavramı, ulusal veri koruma mevzuatıyla uyumun teşvik edilmesi amacıyla bazı AK Tavsiye Kararlarında da benimsenmiştir.171
4.4.3. Davranış kuralları
Uyuma teşvik kapsamında, iş dünyası ve diğer sektörler tipik işleme faaliyetlerine yönelik detaylı kura ları belirleyebilir, böylece de en iyi uygulama biçimleri bir sisteme bağlanabil ir . Bu sektörlerde çalışanların uzmanlıkları sayesinde pratik ve bu pratiklikleri sebebiyle de büyük ihtimalle tercih edilecek çözüm yolları bulunabilecektir. Buna uygun olarak, Üye Devletler – ve Avrupa Komisyonu- Üye Devletler tarafından direktife uygun olarak yürürlüğe konan ulusa l mevzuatın düzgün bir şekilde uygulanmasına katkıda bulunacak ve çeşitli sektörlerin belirli öze liklerini dikkate alan davranış kura larının hazırlanması yönünde teşvik edilmektedir.172
Bu davranış kura larının, direktife uygun olarak yürürlüğe konan ulusal mevzuat ın düzenlemeriyle uyumlu olmasını sağlamak için Üye Devletler’in bu davranış kura larını n değerlendirilmesine yönelik bir prosedür belirlemeleri gerekmektedir. Bu prosedür de normal olarak ulusal makamların, ticaret derneklerinin ve veri sorumlusu kategorilerini temsil eden diğer kurumların sürece dahil olmalarını gerektirecektir.173
169 A.e., Madde18 (2) ikinci paragraf.
170 A.e.
171 Örneğin, Profilleme Tüzüğü, Madde8.3.
172 Bakınız VK Direktifi, Madde 27 (1).
173 A.e., Madde27 (2).
Topluluk kodları taslakları ve var olan Topluluk kodlarına yapılacak ekleme ve değişiklikle re dair öneriler değerlendirilmesi için Madde 29 Çalışma Kurultayı’na sunulabilirler. Bu Çalışma Grubu’nun onayı sonrasında, Avrupa Komisyonu bu kodların gerekli şekilde yayınlanması için gereken işlemleri gerçekleştirebilir.174
Örnek: Avrupa Doğrudan ve İnteraktif Pazarlama Federasyonu (FEDMA) kişisel veriler in doğrudan pazarlamada ku lanımıyla alakalı olarak bir Avrupa Uygulama Kodu hazırlamışt ır . Bu kod Madde 29 Çalışma Kurultayı’na sunulmuştur. Elektronik pazarlama iletişime dair bir ek ise 2010 yılında koda eklenmiştir.175
174 A.e., Madde27 (3).
175 Madde 29 Çalışma Kurultayı (2010), 4/2010 Sayılı FEDMA, doğrudan pazarlama’da kullanılan kişisel verilerin Avrupa Davranış Kurallarına ilişkin Önerisi, WP 174, Brüksel, 13 Temmuz 2010.
5.Veri öznelerinin hakları ve bu hakların uygulanması | |||
AB | İşlenen konular | AK | |
Erişim hakkı | |||
Veri Koruma Direktifi, Madde 12 ABAD, C-553/07, College van burgemeester en wethouders van Rotterdam v. M.E.E. Rijkeboer, 7 May 2009 | Kendi verilerine erişim hakkı | 108 Sayılı Sözleşme, Madde 8 (b) | |
Verilerin düzeltilmesini, silinmesini ve engellenmesini isteme hakkı | 108 Sayılı Sözleşme, Madde 8 (c) AİHM, Xxxxxxxxxx Xxxxx v. Turkey, No. 22427/04, 18 Kasım 2008 AİHM, Xxxxxxxxxx-Xxxxxx and Others v. Sweden, No. 62332/00, 6 Haziran 2006 AİHM, Ciubotaru v. Xxxxxxx, Xx. 00000/00, 27 Nisan 2010 | ||
İtiraz hakkı | |||
Veri Koruma Direktifi, Madde 14 (1) (a) | Veri öznesinin özel durumu sebebiyle itiraz hakkı | Profil Oluşturma Tavsiye Kararı, Madde 5.3 | |
Veri Koruma Direktifi, Madde 14 (1) (b) | Verilerin doğrudan pazarlama amaçları için kullanılmasına itiraz hakkı | Doğrudan Pazarlama Tavsiye Kararı, Madde 4.1 | |
Veri Koruma Direktifi, Article 15 | Otomatik kararlara itiraz hakkı | Profil Oluşturma Tavsiye Kararı, Madde 5.5 | |
Bağımsız denetim | |||
Şart, Madde 8 (3) Veri Koruma Direktifi, Madde 28 AB Kurumları Veri Koruma Tüzüğü, Bölüm V Veri Koruma Tüzüğü ABAD, C-518/07, European Commission v. Federal Republic of Germany, 0 Xxxx | Xxxxxx denetim makamları | 108 Sayılı Sözleşme, Ek Protokol, Madde 1 | |
2010 XXXX, X-000/00, Xxxxxxxx Xxxxxxxxxx x. Xxxxxxxx xx Xxxxxxx, 16 Ekim 2012 ABAD, C-288/12, European Commission v. Hungary, 8 Nisan 2014 | ||
Kanun yolları ve yaptırımlar | ||
Veri Koruma Direktifi, Madde 12 | Veri sorumlusuna yapılan talep | 108 Sayılı Sözleşme, Madde 8 (b) |
Veri Koruma Direktifi, Madde 28 (4) AB Kurumları Veri Koruma Tüzüğü, Madde 32 (2) | Denetim makamlarına yapılmış olan şikayetler | 108 sayılı Sözleşme, Ek Protokol, Madde 1 (2) (b) |
Şart, Madde 47 | Mahkemeler (genel olarak) | AİHS, Madde 13 |
Veri Koruma Direktifi, Madde 28 (3) | Ulusal mahkemeler | 108 Sayılı Sözleşme, Ek Protokol, Madde 1 (4) |
TFEU, Madde 263 (4) AB Kurumları Veri Koruma Tüzüğü, Madde 32 (1) TFEU, Madde 267 | ABAD | |
AİHM | AİHS, Madde 34 | |
Kanun yolları ve yaptırımlar | ||
Xxxx, Madde 47 Veri Koruma Direktifi, Madde 22 ve 23 ABAD, C-14/83, Xxxxxx xxx Xxxxxx and Xxxxxxxxx Xxxxxx v. Land Nordrhein- Westfalen, 10 Nisan 1984 | Ulusal veri koruma hükümlerinin ihlali | AİHS, Madde 13 (Yalnızca AK üye ülkeleri için) 108 Sayılı Sözleşme, Madde 10 AİHM, K.U. v. Finland, No. 2872/02, 2 Aralık 2008 AİHM, Biriuk v. Xxxxxxxxx, Xx. |
XXXX, X-000/00, X.X. Xxxxxxxx v. Southampton and South-West Hampshire Area Health Authority, 26 Şubat 1986 | 23373/03, 25 Kasım 2008 | |
AB Kurumları Veri Koruma Tüzüğü, Madde 34 ve 49 ABAD, C-28/08 P, European Commission v. The Bavarian Lager Co. Ltd, 29 Haziran 2010 | AB hukukunun AB kurum ve kuruluşları tarafından ihlali |
Genel bağlamda hukuk kura larının, özel bağlamda ise veri öznelerinin haklarının etkinliği bu kural ve hakların uygulanabilmelerini sağlayacak olan uygun mekanizmaların varlığına önemli bir ölçüde bağlıdır. Avrupa veri koruma mevzuatına göre, veri öznesinin veriler ini koruyabilmesi için ulusal hukuk tarafından yetkilendirilmiş olması gerekmektedir. Bağıms ız denetim makamları da ulusal hukuk düzenleri tarafından kurulmalı, veri öznelerine haklarını ku lanmalarında yardımcı olmalı ve kişisel verilerin işlenme süreçlerini denetlemelidirler. Ek olarak, AİHS ve Şart kapsamında güvence altına alınmış olan etkili bir yola başvurma hakkı, yargı yollarının herkese açık olmasını gerektirmektedir.
5.1. Veri öznelerinin hakları
Ana başlıklar
• Ulusal yasalar gereği herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme hakkına sahiptir.
• Veri özneleri ulusal mevzuat kapsamında aşağıdaki haklara da sahip olacaktır:
1) kendileriyle alakalı verileri işleyen herhangi bir veri sorumlusu üzerinden bu verilere erişebilme;
2) veriler doğru değil ise bunları işleyen veri sorumlusundan verilerin düzeltilmesini (veya gerekiyorsa ku lanımının engellenmesini) talep etme;
3) veriler veri sorumlusu tarafından hukuka aykırı bir şekilde işleniyorsa, verilerin silinmesini veya ku lanımının enge lenmesini isteme.
• Ayrıca, veri öznelerinin aşağıdaki durumlarda veri sorumlularına itiraz hakkı bulunacaktır:
1) otomatik kararlara yönelik itiraz hakkı (yalnızca otomatik yollarla işlenmiş veriler ku lanılarak verilen kararlar);
2) verilerin işlenmesinin orantısız sonuçlara yol açması durumunda işlemeye itiraz hakkı;
3) veriler doğrudan pazarlama amaçları için ku lanılmasına itiraz hakkı.
5.1.1. Erişim hakkı
AB mevzuatı kapsamında, VK Direktifi madde 12, veri öznelerinin erişim hakkı kapsamında veri sorumlusundan “kendilerine ait verilerin işlenip işlenmediği konusunda teyit ve en azından işlemenin amaçlarına, işlenen verilerin kategorilerine, ve verilerin ifşa olunduğu veri alıcılar ına
veya veri alıcısı kategorilerine dair bilgi alma” ve “verilerin eksik veya yanlış olması sebebiyle Direktif’in düzenlemeleriyle uyuşmayan nitelikteki verilerin düzeltilmesi, silinmesi veya ku lanımının enge lenmesi” haklarını da içeren unsurları barındırmaktadır. Ayrıca, veriler in işlenmesi Direktifin hükümleri ile uyumlu değilse verilerin düzeltilmesini ve enge lenmes ini kapsamaktadır.
AK mevzuatında, bu hakların aynıları bulunur ancak ulusal mevzuatla öngörülmeler i gerekmektedir. (108 Sayılı Sözleşme madde 8). Birçok AK tavsiye kararında, ‘erişim’ terimi ku lanılmakta, erişim hakkının çeşitli yönleri anlatılmakta ve yukarıdaki paragrafta belirtile nle aynı biçimde ulusal hukuk düzenlerinde hayata geçirilmesi önerilmektedir.
108 Sayılı Sözleşme’nin 9. maddesi ve VK Direktifi’nin 13. maddesi uyarınca, bir veri sorumlusunun bir veri öznesi tarafından yapılan erişim talebine uyma yükümlülüğü başkalarının üstün nitelikteki yasal menfaatleri neticesinde sınırlandırılabilir. Üstün niteliktek i yasal menfaatler ulusal güvenlik, kamu güvenliği ve suçların kovuşturulması gibi kamu menfaatlerinden veya verilerin korunmasındaki çıkardan daha ağır basan özel menfaatlerde n oluşabilir. Getirilecek istisna veya sınırlamaların her biri demokratik bir toplumda gerekli olmalı ve amaçla orantılı olmalıdır. Çok istisnasi durumlarda, örneğin tıbbi aciliyet le r sebebiyle, veri öznesinin korunması için şeffaflığın sınırlanması gerekebilir; bu öze likle de bütün veri öznelerinin erişim hakkının sınırlandırılması bakımından söz konusu olabilir.
Verilerin yalnızca bilimsel araştırma veya istatistiksel amaçlarla işlendiği durumlarda, VK Direktifi, erişim hakkının ulusal mevzuatla sınırlanmasına müsaade etmektedir; ancak yeterli yasal güvencelerin sağlanması gerekmektedir. Özelikle, bu veri işlemesi kapsamında herhangi bir bireye yönelik özel tedbirlerin veya kararların alınmadığı ve “veri öznesinin gizliliğini ihla l edebilecek hiçbir riskin kesinlikle bulunmadığı” güvencelerinin sağlanması gerekmektedir.176 108 Sayılı Sözleşme madde 9(3) kapsamında da benzer hükümler yer almaktadır.
Kendi verilerine erişim xxxxx
XX mevzuatı kapsamında, kendi verilerine erişim hakkı 108 Sayılı Sözleşmenin 8. maddesinde açıkça yer almıştır. AİHM birçok kararında kişinin, başkaları tarafından saklanan veya ku lanılan verilerine erişim hakkının bulunduğunu ve bu hakkın özel hayata saygı gösterilmes i ihtiyacından doğduğunu ifade etmiştir.177 ‘Leander’178 davasında ise AİHM, kamu kurumları tarafından saklanan kişisel verilere erişim hakkının bazı durumlarda sınırlanabileceğini kararlaştırmıştır.
AB mevzuatı kapsamında, kendi verilerine erişim hakkı VK Direktifi’nin 12. maddesinde ve temel bir hak olarak da Şart’ın 8(2) maddesinde düzenlenmiştir.
VK Direktifi madde 12(a) gereğince Üye Devletler, kişisel verilere ve bilgilere erişim hakkını her bir veri öznesine tanımak durumundadır. Öze likle, her veri öznesinin veri sorumlusunda n kendisine ait verilerin işlenip işlenmediğine dair teyit alma ve en azından aşağıdaki unsurları içeren bir bilgi alma hakkı bulunmaktadır:
176 VK Direktifi, Madde13 (2).
177 AİHM , Gaskin v. the United Kingdom, No. 10454/83, 7 Temmuz 1989; AİHM , Odièvre v. France [GC], No. 42326/98, 13 Şubat 2003; AİHM , K.H. and Others v. Xxxxxxxx, Xx. 00000/00, 28 Nisan 2009; AİHM , Xxxxxxx v. Italy, No. 33783/09, 25 Eylül 2012.
178 AİHM , Leander v. Sweden, No. 9248/81, 26 Mart 1987.
• verilerin işlenme amaçları;
• işlenen verilerin kategorileri;
• hangi verilerin işlenme aşamasında oldukları;
• verilerin ifşa olunduğu veri alıcıları veya veri alıcısı kategorileri;
• işlenme aşamasındaki verilerin kaynağına dair elde bulunan her türlü bilgi;
• otomatik olarak alınan kararlar söz konusu ise, verilerin herhangi bir otomatik işleme tabi tutulması sırasında geçerli olan mantık.
Ulusal hukuk kapsamında veri sorumlusu tarafından verilmesi gereken ek bilgile r düzenlenebilir, örneğin işlemenin yasal dayanağına atıfta bulunulması şart koşulabilir.
Örnek: Kişi kendi verilerine erişerek, bu verilerin tam ve doğru olup olmadığını belirleyebil ir. Bu sebeple, veri öznesinin işlenen verilerin kategorileriyle ve verilerin içeriğiyle alakalı bilgilendirilmesi bir gerekliliktir. Bu yüzden de veri sorumlusu, veri öznesine ismini, adresini, doğum tarihini ve ilgi alanlarını işlediğini söylemekle yetinemez. Bu bağlamda veri sorumlus u işlediği verilerin “isim: N.N.; bir adres: 1040 Viyana, Xxxxxxxxxxxxxxxxxx 00, Xxxxxxxxx; doğum tarihi: 10.10.1974; ilgi alanı:(veri öznesinin beyanı uyarınca) klasik müzik” olduğunu veri öznesine ifşa etmek zorundadır. Yukarıda sayılan son unsur, ek olarak, verinin kaynağına dair de bilgi içermektedir.
İşlenme sürecinde olan verilere ve bunların kaynağına ilişkin bütün bilgilere dair bilgilendirmenin veri öznesine iletimi anlaşılabilir bir biçimde yapılmalıdır. Bu da veri sorumlusunun veri öznesine neyi işlediğiyle alakalı daha detaylı açıklamalar yapmasını n gerekebileceği anlamına gelir. Örneğin bir erişim talebine cevap olarak yalnızca teknik kısaltmalara atıfta bulunulması veya tıbbi terimler ku lanılması, sırf bu kısaltmalar veya terimler saklanıyor olsa bile, gene likle yeterli olmayacaktır.
Veri sorumlusu tarafından işlenen verilerin kaynağına dair elde bulunan bütün bilgiler in yapılacak bir erişim talebine verilecek cevap kapsamında iletilmesi gerekmektedir. Bu düzenleme dürüstlük ve hesap verilebilirlik ilkeleri ışığında değerlendirilmelidir. Bir veri sorumlusu, ifşa sorumluluğundan kurtulmak adına verilerin kaynağına dair bilgileri imha edemez veya kendi faaliyet alanlarında normal olarak kabul edilen standartları ve belgelendirme ihtiyaçlarını görmezden gelemez. İşlenen verilerin kaynağına dair gerekli belgelendirmenin yapılmaması, veri sorumlusunun erişim hakkı kapsamındak i yükümlülüklerini yerine getirmediği anlamına gelecektir.
Otomatik değerlendirmelerin söz konusu olduğu durumlarda, veri öznesinin değerlendirilmes i sırasında dikkate alınan o belirli kriter de dahil olmak üzere, değerlendirmenin genel mantığını n açıklanması gerekmektedir.
VK Direktifi bilgiye erişim hakkının geçmişi kapsayıp kapsamadığına ve kapsıyorsa da geçmişteki hangi dönemi kapsadığına dair bir açıklık getirmemektedir. Bu bağlamda, ABAD’ın içtihatlarında belirtildiği üzere, kişinin kendi verilerine erişim hakkı süre sınırları yoluyla aşırı bir biçimde sınırlanamaz. Veri öznelerine geçmişteki veri işleme faaliyetleriyle alakalı olarak bilgi edinebilmeleri için de makul bir fırsat tanınmalıdır.
Örnek: ‘Rijkeboer’179 davasında ABAD’a, VK Direktifi madde 12 uyarınca, bir bireyin kişisel verilerin alıcılarına veya alıcı kategorilerine ve verilerin içeriğine dair bilgilere erişim hakkının
179 ABAD, C-553/07, College van burgemeester en wethouders van Rotterdam v. M. E. E. Rijkeboer, 7 Mayıs 2009.
erişim talebinin yapıldığı tarihten bir yıl öncesine kadar olan süreyle sınırla nıp sınırlanamayacağı sorulmuştur. ABAD, madde 12(a)’nın bu tür bir zaman sınırlamasına izin verip vermediğini belirlemek için ilgili maddeyi direktifin amaçları ışığında yorumlamaya karar vermiştir. Mahkeme, ilk olarak, veri öznesinin verileri düzelttirme, sildirme veya engellet me hakkını (Madde 12(b)) veya verinin ifşa olunduğu üçüncü kişilere düzeltme, silme veya engellemeye dair bildirimde bulunma hakkını (Madde 12(c)) ku lanabilmesi için erişim hakkının gerekli olduğunu belirtmiştir. Erişim hakkı aynı zamanda veri öznesinin kişisel verilerinin işlenmesine itiraz hakkını (Madde 14) veya işleme sebebiyle zarara uğradığı durumlarda dava hakkını (Madde 22 ve 23) ku lanabilmesi için de gereklidir.
Mahkeme, yukarıda atıfta bulunulan maddelerin uygulamada etkili olabilmesi için “söz konusu hak doğası gereği geçmişe de yöneliktir. Eğer bu şekilde olmaz ise, veri öznesi, yasa dışı veya yanlış olarak addedilen verileri düzelttirme, sildirme veya enge letme veya uğradığı zararlar için yasal yollara başvurma ve tazminata hak kazanma haklarını etkili bir şekilde ku lanamayacaktır.”
Verilerin düzeltilmesini, silinmesini ve engellenmesini isteme hakkı
Herkes, verilerinin doğruluğunu ve verilerin hukuka uygun işlenmesini denetlemek açısında n kendisi ile ilgili verilere erişim hakkına sahip olmalıdır.180 Bu ilkelere uygun olarak, veri özneleri, eğer verilerin yanlış veya eksik olması sebebiyle işlemenin direktif hükümlerine aykırı olarak yapıldığını düşünüyorlarsa, kendileri hakkında tutulan verilerin düzeltilmesini, silinmesini ve engellenmesini ulusal mevzuat kapsamında isteme hakkına sahiptir.181
Örnek: ‘Xxxxxxxxxx Xxxxx v. Türkiye’182 davasında AİHM, ceza yargılaması kapsamında sunulan hatalı polis raporu sebebiyle AİHS madde 8’in ihlal edildiğine karar vermiştir.
Başvuran yasa dışı örgüt üyeliği suçlamasıyla iki defa yargılanmış ancak hiçbir zaman suçlu bulunmamıştır. Başvuranın başka bir suçtan tutuklanıp yargılandığı bir davada emniye t mahkemeye “ek suçlara dair bilgilend irme formu” başlıklı bir rapor sunmuş ve bu raporlarda başvuranı iki ayrı yasa dışı örgütün üyesi olarak göstermiştir. Başvuranın bu raporla ve emniye t kayıtlarıyla alaklı düzeltme talepleri yerine getirilmemiştir. AİHM polis raporunda yer alan bilgilerin, yetkililer tarafından sistemli bir şekilde toplanmaları ve saklanmaları durumunda kamuya açık bilgilerin de ‘özel hayat’ kapsamına girmeleri mümkün olduğundan, AİHS’nin 8. maddesi kapsamında olduğuna karar vermiştir. Ayrıca, polis raporu yanlış bilgiler içermekte ve hazırlanma ve mahkemeye sunulma bakımından hukuka aykırı niteliktedir. Mahkeme madde 8’in ihlal edildiğini belirtmiştir.
Örnek: ‘Segerstedt-Xxxxxx ve Diğerleri v. İsveç’,183 davasında başvuranlar birtakım liberal ve komünist siyasi partiler ile ilişkilendirilmişlerdir. Başvuranlar kendileri hakkındaki bilgiler in emniyet kayıtlarına girdiğinden şüphelenmişlerdir. AİHM bu bilgilerin saklanmasının hukuki dayanağının bulunduğuna ve meşru bir amaç kapsamında tutulduklarına ikna olmuştur. AİHM, bazı başvuranlar bakımından verilerin tutulmaya devam edilmesinin bu kişilerin özel hayatlarına yönelik orantısız bir müdahale olduğuna karar vermiştir. Örneğin Bay Xxxxxx hakkında, gösteri yürüyüşlerinde polise şiddet yoluyla mukavemeti savunduğu iddiasını içeren
180 VK Direktifi, Gerekçe 41.
181 A.e., Madde12 (b).
182 AİHM , Xxxxxxxxxx Xxxxx v. Turkey, No. 22427/04, 18 Kasım 2008, par. 33, 42 ve 43; AİHM , Dalea v. France, No. 964/07, 2 Şubat 2010.
183 AİHM , Xxxxxxxxxx-Xxxxxx and Others v. Sweden, No. 62332/00, 6 Haziran 2006, par. 89 ve 90; Bakınız, örneğin: AİHM,
M.K. v. France, No. 19522/09, 18 Nisan 2013.
1969 yılına ait bir bilgi tutulmuştur. AİHM bu bilginin, öze likle de tarihi niteliği göz önüne alındığında, hiçbir ulusal güvenlik menfaatine yönelik olamayacağını ifade etmiştir. AİHM, beş başvurandan dördü bakımından AİHS’nin 8. maddesinin ihlal edildiğine karar vermiştir.
Bazı durumlarda, örneğin bir ismin yazılışının düzeltilmesinin, bir adresin veya telefon numarasının değiştirilmesinin veri öznesi tarafından talep edilmesi yeterli olacaktır. Ancak söz konusu taleplerin veri öznesinin yasal kişiliği veya yasal belgelerin tebligatı açısından doğru ikametgâh gibi yasal meselelere bağlı olması durumunda düzeltme talebinin yapılması yeterli olmayabilir ve veri sorumlusu iddia edilen yanlışlığa dair kanıt isteme yetkisine sahip olabilir. Bu tür istekler veri öznesinin sırtına makul olmayan bir ispat yükü yüklememeli ve veri öznelerinin verilerini düzelttirme haklarını kullanmaktan menetmemelidir. AİHM başvuranın gizli sicillerde tutulan bilgilerin doğruluğuna itiraz etme imkanının bulunmadığı birçok davada AİHS madde 8’in ihlal edildiğine karar vermiştir.184
Örnek: ‘Ciubotaru v. Moldova’185 davasında başvuran, resmi kayıtlarda Moldovalı olarak kayıtlı gözüken etnik kökenini, iddiaya göre talebinin doğruluğunu kanıtlayamamamas ı sebebiyle, Romanyalı olarak değiştirmekte başarısız olmuştur. AİHM, Devletlerin bir bireyin etnik kimliğini kaydederken nesnel deliller talep etmelerini kabul edilebilir bulmuştur. Böyle bir iddianın tamamen öznel ve asılsız teme lere dayandırılması durumunda yetkililer bu iddiayı reddedebilecektir. Ancak başvuranın iddiası etnik kökenine dair öznel bir algıdan çok daha fazlasına dayandırılmıştır; başvuran Romanyalı etknik grupla dil, isim, empati vb. nesnel olarak doğrulanabilir birçok bağlantıya sahip olduğunu ortaya koyabilmiştir. Ancak, ulusal mevzua t gereği başvuran ebeveynlerinin Romanyalı etnik grubuna ait olduğuna dair kanıt sunması gerekmiştir. Böyle bir şart, Moldova’nın tarihsel gerçekleri göz önüne alındığında, Sovyet yetkililerin başvuranın ebeveynleriyle alakalı olarak zamanında kaydettiği etnik kimlik ten başka bir etnik kimliğin kaydedilebilmesinin önünde aşılamaz bir engel oluşturmuştur. Devlet, başvuranın iddiasının nesnel olarak doğrulanabilir kanıtlar ışığında incelenmesini enge led iği için özel hayata etkili bir biçimde saygı gösterilmesini sağlama şeklindeki pozitif yükümlülüğünü yerine getirmemiştir. Mahkeme AİHS madde 8’in ihlal edildiği kanaatine varmıştır.
Verilerin doğru olup olmadığına ilişkin olarak bir kamu makamı nezdinde devam eden hukuk davaları veya işlemler sırasında, veri öznesi, verilerin doğruluğuna itiraz edildiği ve resmi kararın henüz verilmediğine ilişkin bir girişin veya notun veri dosyasına yerleştirilmes i talebinde bulunabilir. Bu süreçte veri sorumlusu verileri, öze likle de üçüncü kişilere, kesin veya nihai veri olarak sunmamalıdır.
Veri öznesinin, verilerin silinmesi veya değiştirilmesi yönündeki talebinin kaynağı sıklıkla veri işlemelerinin yasal bir dayanağa sahip olmadığı iddiasına dayanmaktadır. Bu tür talepler çoğu zaman rızanın geri çekildiği veya bazı verilere veri toplama amaçlarının gerçekleştirilmesi için artık ihtiyaç olmadığı durumlardan kaynaklanmaktadır. İşleme sürecinin meşruiyetinde n sorumlu olması sebebiyle, verilerin işlenmesinin meşru olduğunu ispat yükü de veri sorumlusunun omuzlarındadır. Hesap verilebilirlik ilkesi uyarınca, veri sorumlusu veriler in işlenmesinin geçerli bir yasal dayanağı olduğunu herhangi bir zamanda gösterebilecek durumda olmalıdır, aksi takdirde işlemenin durdurulması gerekir.
184 AİHM , Xxxxxx v. Romania, No. 28341/95, 4 Mayıs 2000.
185 AİHM , Ciubotaru v. Xxxxxxx, Xx. 00000/00, 27 Nisan 2010, par. 51 ve 59.
Verilerin yanlış olduğu veya hukuka aykırı olarak işlendiği iddiasıyla işlemeye itiraz edilmes i durumunda, veri öznesi adil işleme ilkesi gereğince söz konusu verilerin ku lanımını n engellenmesini talep edebilecektir. Bu ise verilerin silinmediği, ancak veri sorumlusunun enge leme süresince bu verileri kullanmaktan kaçınması gerektiği anlamına gelmektedir. Yanlış veya hukuka aykırı olarak tutulan verilerin ku lanımına devam edilmesinin veri öznesine zarar verebileceği durumlarda bu engel öze likle önem taşımaktadır. Ulusal hukuk veriler in ku lanımının enge lenmesine dair bir yükümlülüğün ne zaman oluşabilece ğine ve bu enge lemenin nasıl uygulanması gerektiğine dair detayları düzenlemelidir.
Veri öznelerinin, bunlara ek olarak, veri sorumlusunun, işleme faaliyetleri öncesinde söz konusu verileri alan üçüncü kişilere enge leme, düzeltme veya silinmeyle alakalı bildirimde bulunmasını sağlama hakları bulunmaktadır. Verilerin üçüncü kişilere ifşasının veri sorumlus u tarafından belgelendirilmesi gerektiği göz önüne alındığında, veri alıcılarının tespit edilmesini n ve silinmenin talep edilmesinin mümkün olacağı söylenebilir. Ancak veriler bu arada, örneğin internette, yayınlanmışsa veri alıcıları tam olarak bulunamayacağından bütün veri örneklerini n sildirilmesi imkânsız olabilir. VK Direktifi uyarınca, “bunu yapmanın imkânsız olduğu veya aşırı bir çaba gerektireceği ortaya çıkmadıkça” düzeltme, silme veya enge leme taleplerini n iletilmesi için veri alıcılarıyla iletişime geçilmesi zorunludur.186
5.1.2. İtiraz hakkı
İtiraz hakkı, otomatik kararlara yapılacak itiraz hakkını, veri öznesinin özel durumu sebebiyle itiraz hakkını ve verilerin doğrudan pazarlama amaçlarıyla ku lanılmasına itiraz hakkını kapsamaktadır.
Otomatik kararlara itiraz hakkı
Otomatik kararlar, otomatik işleme tabi tutulmuş verilerin ku lanılması yoluyla verile n kararlardır. Bu tür kararların, ilgili oldukları bireylerin hayatları üzerinde, örneğin bireyler in kredi notlarına, iş yeri performanslarına, davranış veya güvenilirliklerine ilişkin olmalar ı nedeniyle göz ardı edilemeyecek etkilere sebep olmaları ihtimali yüksekse, olumsuz sonuçlar ın önüne geçilmesi için özel koruma tedbirlerinin alınması gerekmektedir. VK Direktifi, bireyler açısından önemli olan soruların otomatik kararlarla belirlenmemesi gerektiğini ve bireyin söz konusu otomatik kararı inceleme hakkına sahip olması gerektiğini öngörmektedir.187
Örnek: Otomatik kararlarla alakalı uygulamaya dair önemli bir örnek kredi derecelendirmesidir. Müstakbel bir müşterinin kredi notu hakkında hızlıca karar verebilmek için meslek, aile durumu vb. bazı veriler müşteriden toplanmakta ve müşteriyle alakalı olarak kredi bilgi sistemi gibi diğer kaynaklardan elde edilebilen bilgilerle birleştirilmektedir. Bu veriler müstakbel müşterinin kredi verilebilirliğini temsil eden ortalama bir değeri hesaplayan bir derecelendirme algoritmasına otomatik olarak aktarılır. Bu sayede şirket çalışanı veri öznesinin müşteri olarak kabul edilebilir olup olmadığını saniyeler içerisinde öğrenebilir.
Buna rağmen, VK Direktifi uyarınca Üye Devletler, bir kişinin otomatik bir karara tabi tutulmasının, ya ilgili otomatik kararın veri öznesinin lehine olması nedeniyle kişinin menfaatlerinin tehlikede olmadığı ya da kişinin menfaatlerinin başka uygun yollarla güvence
186 VK Direktifi, Madde12 (c), son cümle.
187 A.e., Madde 15 (1).
altına alınmış olduğu hallerde mümkün olmasına izin vermelidir.188 Profil Oluşturma Tavsiye Kararı’nda da görülebileceği üzere otomatik kararlara itiraz xxxxx XX mevzuatında da yer almaktadır.189
Veri öznesinin özel durumu sebebiyle itiraz hakkı
Veri öznelerinin kendilerine ait verilerin işlenmesine itiraz edebileceklerini düzenleyen genel bir itiraz hakkı bulunmamaktadır.190 Ancak VK Direktifi madde 14(a), veri öznesinin kendisine ilişkin özel durumlardan kaynaklanan mücbir yasal sebeplerle itiraz hakkının bulunduğunu öngörmektedir. Benzer bir hak AK Profil Oluşturma Tavsiye Kararı’nda da tanınmıştır.191 Bu hükümler, veri öznesinin verilerinin korunmasındaki menfaatleri ile başkalarının veri öznesinin verilerinin işlenmesindeki meşru menfaatleri arasında bir denge kurmak amacıyla getirilmişt ir.
Örnek: Bir banka kredi ödemelerinde temerrüde düşen müşterilerine ilişkin verileri yedi yıl süresince saklar. Bu veri tabanında yer alan bir müşteri, tekrar bir kredi talebinde bulunur. Veri tabanına bakılır, duruma ilişkin bir mali değerlendirme yapılır ve müşterinin kredi ku lanamayacağına karar verilir. Ancak müşteri, kişisel verilerinin veri tabanına kaydedilmesine itiraz edebilir ve ödemede temerrüde düşmesinin konudan haberdar olması sonrasında düzelttirmiş olduğu bir hatadan kaynaklandığını ispat ederse verilerin silinmes ini talep edebilir.
Başarılı bir itirazın sonucunda verilerin veri sorumlusu tarafından işlenmesine son verilebil ir. Ancak, veri öznesinin itirazından önce gerçekleştirilmiş olan işleme faaliyetleri meşru kalmaya devam ederler.
Verilerin doğrudan pazarlama amaçları için kullanılmasına itiraz hakkı
VK Direktifi madde 14(b) verilerin doğrudan pazarlama amaçları için ku lanılmasına itiraz hakkını düzenlemektedir. Bu hak aynı zamanda AK Doğrudan Pazarlama Tavsiye Kararı’nda da yer almaktadır.192 Bu itiraz hakkı, veriler doğrudan pazarlama amacıyla üçüncü kişilere ifşa olunmadan önce ku lanılmak üzere getirilmiştir. Bu sebeple de veri öznesine, veriler in aktarılması öncesinde önce itiraz imkanı tanınmalıdır.
188 A.e., Madde 15 (2).
189 Profilleme Tüzüğü, Madde 5 (5).
190 Bakınız AİHM , M.S. v. Sweden, No. 20837/92, 27 Ağustos 1997, tıbbi verilerin onay alınmadan veya itiraz hakkı tanınmadan iletildiği; veya AİHM , Leander v. Sweden, No. 9248/81, 26 Mart 1987; veya AİHM , Xxxxxx v. the United Kingdom, No. 48009/08, 10 Mayıs 2011.
191 Profilleme Tüzüğü, Madde 5 (3).
192 Avrupa Konseyi, Bakanlar Komitesi (1985), Rec(85)20 Sayılı, Doğrudan Pazarlama amacıyla kullanılan kişisel verilerin korunmasıyla ilgili Üye Devletlere yönelik Öneri, 25 Ekim 1985, Madde 4 (1).
5.2. Bağımsız denetim
• Verilerin etkili bir şekilde korunmasını sağlamak için ulusal hukuk tarafından bağımsız denetim makamları oluşturulmalıdır.
• Ulusal denetim makamları tamamen bağımsız hareket etmeliler ve bu bağımsızlık
kurucu kanunları ile güvence altına alınmalı ve denetim makamının teşkilat yapısı da buna göre düzenlenmelidir.
• Denetim makamlarının belirli görevleri vardır; bunlardan bazıları şu şekildedir:
1) ulusal düzeyde veri korumasını denetlemek ve desteklemek;
2) veri öznelerine, veri sorumlularına, hükümetlere ve genel olarak kamuoyuna tavsiyelerde bulunmak;
3) yapılan şikayetleri dinlemek ve verilerin korunması hakkının ihlal edilmesiyle alakalı olarak veri öznelerine destek vermek;
4) veri sorumlarını ve veri işleyenleri denetlemek;
5) gerekmesi durumunda:
*veri sorumlularını ve veri işleyenleri ikaz, ihtar veya cezalandırma yoluyla duruma müdahale etmek.
*verilerin düzeltilmesini, enge lenmesini veya silinmesini emretmek yoluyla müdahale etmek.
*işlemeyi yasaklamak yoluyla müdahale etmek.
6) konuları mahkemeye sevk etmek.
VK Direktifi bağımsız denetimi, verilerin etkili bir şekilde korunmasını sağlayacak önemli bir mekanizma olarak değerlendirmektedir. Direktif, verilerin korunmasının sağlanması için 108 Sayılı Sözleşme’de veya OECD Gizlilik İlkeleri’nde ilk başta yer almamış olan bir aracı ku lanıma sokmuştur.
Bağımsız denetimin etkili bir veri korumanın geliştirilmesi açısından vazgeçilmez olduğu anlaşıldığındanre, OECD Gizlilik İlkeleri’nin 2013 tarihinde kabul edilen gözden geçirilmiş halinde yer alan bir düzenlemede, Üye ülkere “gizliliğin uygulanmasına yönelik makamlar ın, yetkilerini etkili bir biçimde ku lanmalarını ve nesnel, tarafsız ve tutarlı bir biçimde kararlar vermelerini mümkün kılacak yönetim, kaynaklar ve teknik uzmanlık altyapısı sağlanarak kurulması ve kalıcı hale getirilmesi” çağrısında bulunulmuştur.193
AK mevzuatı kapsamında, 108 Sayılı Sözleşme’nin Ek Protokolü denetim makamlarını n kurulmasını zorunlu hale getirmiştir. Söz konusu düzenlemenin 1. maddesinde, Taraf Devletlerin ulusal mevzuatlarına dahil etmeleri şart olan bağımsız denetim makamlarına dair yasal çerçeve belirlenmiştir. Anılan maddede, bu makamların görevlerini ve yetkiler ini açıklarken, VK Direktifi’nde ku lanılmış olan yapıların benzerlerine yer verilmiştir. Kural olarak, denetim makamları AB ve AK hukuku kapsamında aynı şekilde işlev göstermelidir.
AB mevzuatı kapsamında, denetim makamlarının yetkileri ve teşkilat yapıları ilk olarak VK Direktifi madde 28(1)’de belirlenmiştir. AB Kurumları Veri Koruma Tüzüğü194 AB kurum ve kuruluşları tarafından yapılacak veri işlemeleriyle alakalı denetim makamı olarak EDPS’yi
193 Ekonomik İ ş Birliğ i ve Kalkınma Ö rgü tü (2013), Kişisel verilerin korunması ve sınır ötesi akışlarının yönetilmesine ilişkin esaslar, par. 19 (c).
194 Kişisel verilerin Topluluk kurumları ve organları tarafından işlenmesiyle ilgili olarak gerçek kişilerin korunması ve bu verilerin serbest dolaşımı hakkında 18 Aralık 2000 tarihli ve (AT) 45/2001 Sayılı Avrupa Parlamentosu ve Konsey Tüzüğü, OJ 2001 L 8, Madde 41–48.
belirlemiştir. Tüzük, bu denetim makamının görevlerini ve sorumluluklarını ortaya koyarken, VK Direktifi’nin yayınlanmasından bu yana edinilen tecrübelerden faydalanmaktadır.
Veri koruma makamlarının bağımsızlığı Avrupa Birliğinin İşleyişi Hakkında Antlaşma’ nın 16(2) maddesi ve Şart’ın 8(3) maddesi kapsamında güvence altına alınmıştır. Öze likle de Şart’ın ilgili maddesi, bağımsız bir makam tarafından yapılacak denetimi verilerin korunmas ına dair temel hakkın ana unsurlarından birisi olarak görmektedir. Ek olarak, VK Direktifi Üye Devletlere, direktifin uygulamasıyla alakalı gerekli denetimleri yürütecek olan tamamen bağımsız nitelikteki denetim makamlarını kurma görevi yüklemiştir.195 Bağımsızlık yalnızca denetim makamının kuruluşuna dair kanunlar aracılığıyla değil, makamın teşkilat yapısının da bu bağımsızlığı sağlayacak şekilde oluşturulmasıyla güvence altına alınmalıdır.
ABAD, veri koruma denetim makamlarının sahip olması gereken bağımsızlığın kapsamına dair sorularla ilk kez 2010 yılında karşı karşıya gelmiştir. 196 Aşağıdaki örnekler Mahkemenin konuyla alakalı düşünecelerini sergilemektedir.
Örnek: ‘Avrupa Komisyonu v. Almanya’197 davasında, Avrupa Komisyonu ABAD’dan, Almanya’nın veri korumasını sağlamakla yükümlü denetim makamlarının “tam bağımsızlığı ” şartını iç hukukuna yanlış bir şekilde aktardığının ve böylece de VK Direktifi madde 28(1) kapsamındaki yükümlülüklerini yerine getirmediğinin ilan edilmesini talep etmiştir. Komisyon’un görüşüne göre sorun, Almanya’nın kişisel verilerin işlenmesini denetlemek le yükümlü ve kamu sektörü dışında yer alan farklı federe devletlerdeki (Länder) makamlar ı Devlet’in gözetimi altına koymuş olmasıdır.
Mahkeme göre, davanın esasının değerlendirilebilmesi söz konusu hükümde yer alan bağımsızlık şartının kapsamına ve dolayısıyla da bu hükmün yorumlanmasına bağlıdır.
Mahkeme direktifin 28(1) maddesinde yer alan ‘tam bağımsızlıkla’ ibaresinin söz konusu hükmün lafzına ve VK Direktifi’nin amaçlarına ve sistemine dayanarak yorumlanmas ı gerektiğinin altını çizmiştir.198 Mahkeme, denetim makamlarının, direktifte güvence altına alınan kişisel verilerin işlenmesine dair hakların ‘koruyucusu’ olduğunu ve Üye Devletlerde bu makamların kurulmasının “kişisel verilerin işlenmesiyle alakalı olarak bireylerin korunmasında esaslı bir bileşen” oluşturduğunu vurgulamıştır.199 Mahkeme, “denetim makamlarını n görevlerini yerine getirirken nesnel ve tarafsız hareket etmeleri gerektiği”ni ifade etmiştir. Bu amaçla da yalnızca denetlenen kurumların değil, Federal veya Federe devletlerin de doğrudan veya dolaylı etkisi gibi dış etkilerden bağımsız olmaları gerekmektedir.200
Mahkeme ayrıca ‘tam bağımsızlık’ ibaresinin anlamının AB Kurumları Veri Koruma Tüzüğü’nde tanımlandığı şekliyle, EDPS’nin bağımsızlığı kavramı ışığında değerlendirilmes i gerektiği sonucuna varmıştır.201 Mahkeme tarafından altı çizildiği üzere, madde 44(2) bağımsızlık kavramını açıklığa kavuşturmakta ve EPDS’nin, görevlerini yerine getirmes i sırasında hiçbir kişi veya kurumdan talimat bekleyemeyeceği ve alamayacağını eklemektedir.
195 VK Direktifi, Madde 28 (1), son cümle; 108 Sayılı Sözleşme, Ek Protokol, Madde1 (3).
196 Bakınız, Avrupa Birliğ i Temel Haklar Ajansı (2010), Temel haklar: 2010 yıllındaki karşılaşılan zorluklar ve başarılar, Annual report 2010, s. 59. Avrupa Birliğ i Temel Haklar Ajansı bu konuyu daha detaylı, mayıs 2010 yılında yayınlanmış olan Avrupa Birliği'nde veri koruması: Ulusal Veri Koruma Makamlarının rolü isimli raporunda işlemiştir.
197 ABAD, C-518/07, Avrupa Komisyonu v. Federal Republic of Germany, 9 Mart 2010, par. 27.
198 A.e., par. 17 ve 29.
199 A.e., par. 23.
200 A.e., par. 25.
201 A.e., par. 27.
Bu da bağımsız bir veri koruma denetim makamının devlet tarafından denetlenmesi ihtimal ini devre dışı bırakır.
Bu bağlamda, Mahkeme, devlet makamları dışındaki merciler tarafından gerçekleştirilen kişisel veri işlemelerini denetlemekle yükümlü federal devlet düzeyindeki Alman veri koruma kurumlarının yeterince bağımsız olmadıklarını çünkü devlet denetimine tabi olduklarını ifade etmiştir.
Örnek: ‘Avrupa Komisyonu v. Xxxxxxxxx’000 xxxxxxxxx xx XXXX, Xxxxxxxxx Veri Koruma Kurumu’nun (Veri Koruma Komisyonu, DSK) bazı üyelerinin ve çalışanlarının konumlarıyla alakalı olarak da benzer sorunlara işaret etmiştir. Mahkeme, Avusturya kanunlarının, Avusturya Veri Koruma Kurumu’nun görevlerini VK Direktifi bağlamında bir tam bağımsızlıkla yerine getirmesini enge lediğine karar vermiştir. Avusturya Veri Koruma Kurumu’ nun bağımsızlığının yeterince güvence altına alınmadığı çünkü Federal Şansölyeliğin kuruma iş gücü sağladığı, kurumu gözetim altında bulundurduğu ve kurumun faaliyetleriyle alakalı olarak her an bilgilendirilme hakkına sahip olduğu ifade edilmiştir.
Örnek: ‘Avrupa Komisyonu v. Xxxxxxxxxx’,000 xxxxxxxxx XXXX, “her bir denetim makamının kendine verilen görevleri tamamen bağımsız olarak yerine getirmesini sağlama şartının […], Üye Devletlerin bu makama, öngörülen görev süresinin tamamı boyunca hizme t vermesi için izin verme yükümlülüğünü de beraberinde getireceğini” belirtmiştir. Xxxxxxx ayrıca “denetim makamının görev süresinin kişisel verilerin korunması amacıyla sona erme tarihinden önce sonlandırılması sebebiyle Macaristan’ın, VK Direktifi kapsamındaki […] yükümlülüklerini ihlal ettiğine karar vermiştir.
Denetim makamlarına, ulusal hukuk kapsamında aşağıdaki görev ve yetkiler verilmiştir:204
• veri sorumlularına ve veri öznelerine veri korumayla alakalı her hürlü konuda tavsiyelerde bulunmak;
• işleme faaliyetlerini soruşturmak ve buna uygun olarak müdahale etmek;
• veri sorumlularını ikaz veya ihtar etmek;
• verilerin düzeltilmesini, enge lenmesini, silinmesini veya imha edilmesini emretmek;
• işleme faaliyetine yönelik geçici veya kalıcı yasaklar koymak;
• konuları mahkemeye sevk etmek.
Bir denetim makamının, işlevlerini gerçekleştirebilmesi için bir soruşturma kapsamında gerekli olan bütün kişisel verilere, bilgilere ve veri sorumlusunun söz konusu bilgileri tuttuğu bütün tesislere erişimi olmalıdır.
Bir denetim kurumunun verdiği kararların sürecine ve yasal etkilerine dair ulusal yargı düzenleri arasında gözle görülür farklılıklar bulunmaktadır. Ombudsman benzeri tavsiye kararlarından tutun, doğrudan uygulanabilir nitelikte kararlara kadar farklı şeki lerde ele alınmaktadır denetim kurumlarının kararları. Bu nedenle, bir yargı düzeni içerisinde yer alan kanun yollarının etkililiği değerlendirilirken, kanun yolları kendi bağlamları içerisinde ele alınmalıdır.
202 ABAD, C-614/10, Avrupa Komisyonu v. Republic of Austria, 16 Ekim 2012, par. 59 ve 63.
203 ABAD, C-288/12, Avrupa Komisyonu v. Hungary, 8 Nisan 2014, par. 50 ve 67.
204 VK Direktifi, Madde 28; Bakınız 108 Sayılı Sözleşme, Ek Protokol, Madde 1.
5.3. Kanun yolları ve yaptırımlar
• 108 Sayılı Sözleşme ve VK Direktifi uyarınca, ulusal hukuk verilerin korunmasına hakkına yönelik ihlallere karşı gerekli kanun yolları ve yaptırımları düzenlemelidir.
• AB hukuku bağlamında etkili başvuru hakkı, bir denetim makamına başvuru imkanından bağımsız olarak ulusal hukukun, veri koruma haklarının ihlallerine yönelik
kanun yollarını düzenlemesini gerektirmektedir.
• Yaptırımlar, ulusal hukuk ile belirlenmeli ve etkili, eşdeğer, orantılı ve caydırıcı olmalılar.
• Kişi, mahkemeye gitmeden önce veri sorumlusuna başvurmalıdır. Mahkemeye gitmeden
önce bir denetim makamına başvuruda bulunmanın zorunlu olup olmadığı hususu ulusal mevzuatın takdirine bırakılmıştır.
• Veri özneleri, son bir çare olarak ve belirli şartlar altında, veri koruma hukuku ihlallerini ABAD’ın önüne getirebilirler.
• Ek olarak, veri öznelerinin de çok sınırlı bir kapsamda olmak üzere doğrudan ABAD’a başvuru imkanları vardır.
Veri koruma mevzuatı kapsamındaki haklar ancak hak sahipleri tarafından ku lanılabilir; bu da veri öznesi olan veya en azından olduğunu iddia eden birisi olacaktır. Bu kişiler haklarını ku lanırlarken, ulusal hukuk kapsamında öngörülen şartları sağlayan kişiler tarafından temsil edilebilirler. Küçükler, ebeveynleri veya xxxxxxxx tarafından temsil edilmek zorundadırlar. Bir kişi, denetim makamları önünde, veri koruma haklarını desteklemek amacıyla kurulmuş dernekler tarafından da temsil edilebilir.
5.3.1. Veri sorumlusuna yapılan talep
Bölüm 3.2’de değinilmiş olan haklar öncelikle veri sorumlusuna karşı öne sürülmelid ir. Doğrudan ulusal denetim makamına veya bir mahkemeye başvurmanın da bir yararı olmayacaktır çünkü bu durumda denetim makamının tek yapabileceği şey ilk aşamada veri sorumlusuna başvurulması gerektiği tavsiyesinde bulunmak olacaktır; mahkeme ise başvuruyu kabul edilemez olarak değerlendirebilecektir. Bir veri sorumlusuna yapılacak yasal bir talepte resmi olarak bulunması gereken koşu lar, öze likle de bu talebin yazılı olarak yapılıp yapılmayacağı hususu ulusal hukukla düzenlemelidir.
Veri sorumlusu sıfatıyla kendisine başvuru yapılan birim, veri sorumlusu olmasa da bu talebe bir cevap vermelidir. Talepte bulunanla alakalı hiçbir verinin işlenmediği şeklindeki cevap da dahil olmak üzere bir cevap her koşulda ulusal mevzuat ile öngörülmüş olan süre içerisinde veri öznesine iletilmelidir. VK Direktifi madde 12(a) ve 108 Sayılı Sözleşme madde 8(b) uyarınca talep, ‘aşırı bir gecikme olmaksızın’ ele alınmalıdır. Bu sebeple, ulusal hukuk, veri sorumlusunun talebi uygun şekilde ele almasına yetecek kadar uzun olmak kaydıyla, yeterince kısa bir cevap süresi belirlemelidir.
Talebe cevap vermeden önce veri sorumlusu talepte bulunanın gerçekten belirttiği kişi olup olmadığını tespit etmeli ve böylece ciddi bir gizlilik ihlalinin önüne geçmelidir. Kimliği n tespitine dair gerekliliklerin ulusal mevzuat tarafından düzenlenmediği ha lerde veri sorumlus u bu şartlara kendisi karar vermelidir. Ancak adil işleme ilkesi gereği, veri sorumluları kimlik tespiti (ve Bölüm 2.1.1’de tartışıldığı üzere, talebin güvenilirliği) için gerektiğinden fazla zorlayıcı şartlar getirmemelidir.
Ulusal hukuk ayrıca veri sorumlularının talepleri incelemeye almadan önce talepte bulunanda n bir ödeme isteyip isteyemeyeceklerini düzenlemelidir: VK Direktifi madde 12(a) ve 108 Sayılı Sözleşme madde 8(b) uyarınca talepler ‘aşırı bir […] masraf gerektirmeyecek şekilde’ karşılanmalıdır. Birçok Avrupa ülkesinin ulusal hukukunda veri koruma mevzuatı kapsamında yapılan taleplerin, aşırı ve olağan dışı bir çaba gösterilmesini gerektirmedikçe, ücretsiz olarak karşılanması gerektiği düzenlenmiştir; buna karşılık, veri sorumluları da gene likle, taleplere cevap alma hakkının kötüye ku lanımına karşı ulusal hukuk düzenleri tarafında n korunmaktadır.
Veri sorumlusu olarak kendisine talepte bulunulan kişi, kurum veya merci veri sorumlus u olduğunu inkâr etmiyorsa, ulusal hukuk tarafından öngörülen süre içerisinde :
• talebi kabul etmek ve talebin gereğinin nasıl yerine getirildiğine dair talepte buluna na bilgi vermeli; veya
• talebin gereğinin neden yerine getirilmeyeceğine dair talepte bulunanı bilgilendirmeli.
5.3.2. Denetim makamlarına yapılmış olan şikayetler
Bir erişim talebinde bulunan veya bir veri sorumlusuna itiraz eden kişi gerekli süre içerisinde tatmin edici bir cevap alamazsa ulusal veri koruma denetim makamına destek talebiyle başvurabilir. Denetim makamı nezdindeki prosedürler sırasında, talepte bulunan tarafında n iletişime geçilen kişi, kurum veya mercinin talebe cevap verme zorunluluğunun bulunup bulunmadığı ve verilen cevabın doğru ve yeterli olup olmadığı açıklığa kavuşturulmalıdır. Denetim makamı başvuru kapsamında verdiği kararla alakalı olarak başvuru sahibini bilgilendirmelidir.205 Denetim makamları nezdindeki prosedürlerin sonuçlarının yasal etkiler i ulusal hukuktaki düzenlemelere bağlıdır: örneğin makamın kararlarının yasal olarak uygulanabilir, yani resmi makamlar tarafından icra edilebilir olup olmadığı, veya veri sorumlusunun denetim makamının kararlarını (görüş, ihtar, vs.) yerine getirmemesi durumunda bir mahkemeye başvurmanın gerekli olup olmadığı vb. hususlar ulusal hukuk tarafında n düzenlenmelidir.
ABİHA madde 16 ile güvence altına alınmış olan veri koruma haklarının AB kurumları veya kuruluşları tarafından ihlal edildiğinin iddia edilmesi durumunda, veri öznesi, EDPS’nin görev ve yetkilerini düzenleyen AB Kurumları Veri Koruma Tüzüğü uyarınca bağımsız bir veri koruma denetim makamı olarak öngörülen EDPS’ye206 başvuruda bulunabilir. EDPS 6 ay içinde bu başvuruya cevap vermezse, şikâyet reddedilmiş olarak kabul edilir.
Ulusal denetim makamları tarafından verilen kararlara karşı mahkemeler nezdinde itiraz yolu açıktır. Bu yol veri özneleri için olduğu kadar, bir denetim makamı önündeki işleme nin taraflardan birisi olan veri sorumluları açısından da geçerlidir.
Örnek: Birleşik Kra lık Bilgi Komiseri, 24 Temmuz 2013 tarihinde, Xxxxxxxxxxxx polisi tarafından ku lanılmakta olan araç plakası takip sisteminin hukuka aykırı olduğuna ve ilgili birimin bu sistemi ku lanmayı durdurması gerektiğine dair bir karar verdi. Kameralar tarafında n toplanan veriler hem yerel polis kayıtlarında hem de merkezi veri tabanında saklanmaktayd ı . Plaka fotoğrafları iki yıl, arabaların fotoğrafları ise doksan gün boyunca tutulmaktayd ı.
205 VK Direktifi, Madde 28 (4).
206 Kişisel verilerin Topluluk kurumları ve organları tarafından işlenmesiyle ilgili olarak gerçek kişilerin korunması ve bu verilerin serbest dolaşımı hakkında 18 Aralık 2000 tarihli ve (AT) 45/2001 Sayılı Avrupa Parlamentosu ve Konsey Tüzüğü, OJ 2001 L 8.
Kameraların ve diğer gözetleme biçimlerinin böylesine yoğun bir şekilde ku lanımını n çözülmesi amaçlanan sorun ile orantsız olduğuna karar verildi.
5.3.3. Mahkemeye yapılmış olan şikayetler
VK Direktifi uyarınca, veri koruma mevzuatı kapsamında bir veri sorumlusundan talepte bulunan kişi veri sorumlusunun cevabından memnun kalmazsa, ulusal mahkemelere şikâyet hakkına sahip olmalıdır.207
Mahkemeye başvurmadan önce denetim makamlarına başvurulması gerekip gerekmediği hususu ulusal yasalar ile düzenlenmesi gereken bir alan olarak bırakılmıştır. Çoğu durumda, veri koruma haklarını ku lanmak isteyen kişiler açısından ilk olarak denetim makamlar ına başvurulması, bu makamlarda işletilen prosedür bürokratik olmayacağından ve ücretsiz olacağından, daha avantajlı olacaktır. Denetim makamının kararında (görüşünde, ihtarında, vs.) yer alacak olan uzman görüşler veri öznesinin hakkını mahkemeler önünde takibi sırasında da yararlı olabilecektir.
AK mevzuatı kapsamında, AİHS’ye Akit Taraflardan birisinin veri koruma haklarına yönelik olarak ulusal düzeyde gerçekleştirdiği iddia edilen ve aynı zamanda AİHS’nin 8. maddesine de tecavüz eden ihlallerin, iç hukuk yollarının tüketilmesini takiben AİHM önüne getirilebilmes i mümkündür. AİHS’nin 8. maddesinin ihlal edildiğine dair AİHM nezdinde ileri sürülecek bir iddianın dinlenebilir olması için başka kriterler de bulunmaktadır (AİHS madde 34-37).208
AİHM’ye yapılacak başvurular yalnızca Akit Taraflara yöneltilebilecek olmasına karşın, Akit Taraflardan birisinin ulusal hukukunda yer alan veri koruma haklarının ihlaline yönelik yeterli korumayı sağlayamayarak AİHS kapsamındaki pozitif yükümlülüklerini yerine getirmemes i durumunda özel hukuk kişilerinin eylem ve ihmalleri de bu başvurular kapsamında dolaylı olarak ele alınabilir.
Örnek: ‘K.U. v. Finlanda’,209 davasında başvuran, ergin olmayan bir çocuk, bir çöpçatanlık sitesinde kendisine ilişkin olarak cinsel içerikli bir ilan yayınlandığı şikayetinde bulunmuşt ur. Bu ilanı yayınlayan kişinin kimliği hizmet sağlayıcı tarafından açıklanmamıştır çünkü Fin hukuku gereği hizmet sağlayıcının gizlilik yükümlülüğü bulunmaktadır. Başvuran, Fin hukukunun, kendisini töhmet altında bırakan verilerin bir gerçek kişi tarafından internete yüklenmesine yönelik olarak yeterli korumayı sağlamadığını iddia etmiştir. AİHM, devletler in, bireylerin özel hayatlarına yönelik keyfi müdahalelerden kaçınma zorunlulukları yanında, “bireylerin birbirleri arasındaki ilişkiler kapsamında bile olsa özel hayata saygı gösterilmes ini sağlamak üzere tasarlanmış önlemleri almak” gibi pozitif yükümlülükleri de olabileceğini ifade etmiştir. Başvuranın durumunda, pratik ve etkili bir korumanın sağlanabilmesi için failin kimliğinin tespiti ve kovuşturulması için gerekli adımların atılması gerekirdi. Bu koruma devlet tarafından sağlanmamıştır ve Mahkeme AİHS madde 8’in ihlal edildiği kanaatine varmıştır.
Örnek: ‘Xxxxx v. Almanya’,210 davasında başvuran iş yerinde hırsızlık yaptığı şüphesiyle gizli kamera yoluyla gözetlenmiştir. AİHM, “ulusal makamların, başvuranın AİHS 8. madde kapsamındaki özel hayatına saygı gösterilmesi hakkı ile işvereninin mülkiyet haklarını
207 VK Direktifi, Madde 22.
208 AİHS, Madde 34–37, bakınız: xxx.xxxx.xxx.xxx/Xxxxx/xxxx.xxxx?xxxxxxxxx/ analysis&c=#n1347458601286_pointer.
209 AİHM , K.U. v. Finland, No. 2872/02, 2 Aralık 2008.
210 AİHM , Xxxxx v. Germany (dec.), No. 420/07, 5 Ekim 2010.
korumaktaki çıkarları ve adaletin sağlanmasındaki kamu yararı arasında bir denge kuramadığını gösterecek herhangi bir emare bulunmadığına ” hükmetmiştir. Bu sebeple de başvurunun kabul edilemez olduğu ilan edilmiştir.
AİHM, Üye Devletin AİHS kapsamında güvence altına alınmış olan haklardan herhangi birisini ihlal ettiği kanaatine varırsa, Üye Devlet AİHM’nin kararını uygulamak zorundadır. Uygulama tedbirleri ilk olarak ihlale bir son vermeli ve ihlalin başvuran açısından doğurduğu olums uz sonuçları olabildiğince telafi etmelidir. Kararların yerine getirilmesi ayrıca AİHM’nin tespit ettiğine benzer nitelikteki ihlallerin önlenmesine yönelik, mevzuat değişikliği, içtihat veya diğer şeki lerde alınacak genel tedbirleri de gerektirebilir.
AİHM’nin AİHS’ye bir aykırılık tespit etmesi durumunda, AİHS’nin 41. maddesi, başvuranın zararlarının hakkaniyete uygun bir biçimde Taraf Devlet tarafından karşılanmas ına hükmedilebileceğini düzenlemektedir.
AB mevzuatı uyarınca,211 AB veri koruma hukukunu yürürlüğe koyan ulusal veri koruma mevzuatı ihlallerinin mağdurları, bazı durumlarda ABAD’a başvuruda bulunabilirler. Bir veri öznesinin veri koruma haklarının ihlal edildiğine dair iddiasının ABAD nezdinde bir sürece nasıl dönüşebileceğine dair iki olası senaryo vardır.
İlk senaryoya göre, veri öznesi, verilerin korunması hakkını ihlal eden bir AB idari veya düzenleyici yasasının doğrudan mağduru olmalıdır. ABİDA madde 263(4) gereğince:
‘Her gerçek veya tüzel kişi, […] muhatabı olduğu veya kendisini doğrudan ve bireysel olarak ilgilendiren tasarruflar ile kendisini doğrudan ilgilendiren ve uygulama tedbirleri alınmasını gerektirmeyen düzenleyici tasarruflara karşı dava açabilir’.
Bu durumda, bir AB kurumu tarafından verileri hukuka aykırı olarak işlenen kişiler doğrudan ABAD’ın AB Kurumları Veri Koruma Tüzüğü ile alakalı konularda karar vermeye yetkili birimi olan Genel Mahkeme’ye başvurabilirler. Bir kişinin yasal durumunun bir AB yasal hükmü tarafından doğrudan etkilenmesi durumunda da ABAD’a doğrudan başvuru imkanı bulunmaktadır.
İkinci senaryo ABAD’ın ABİDA’nın 267. maddesi uyarınca ön karar verme yetkisiyle alakalıdır.
Veri özneleri, ulusal mahkemeler önünde görülen davalar sırasında ilgili mahkemeden, AB Antlaşmaları’nın ve AB kurumlarının, kuruluşlarının, ofislerinin veya ajanslarının eylemlerini n geçerliliğine dair ABAD’ın yorumunun talep edilmesini isteyebilir. XXXX’xx bu talep üzerine yaptığı açıklamalar ön karar olarak bilinmektedir. Bu yol şikâyet sahibi açısından doğrudan başvurulabilecek bir kanun yolu değildir ancak ulusal mahkemelerin AB mevzuatını doğru bir şekilde yorumladıklarından emin olmalarını sağlamaktadır.
Ulusal mahkemeler önünde görülen bir davanın taraflarından birisi ABAD’a bir soru yöneltilmesini talep ederse, yalnızca kararlarına karşı kanun yolları kapalı olan temyiz merciler i bu talebe uymakla yükümlüdürler.
211 AB (2007), Avrupa Birliği Antlaşmasını ve Avrupa topluluklarını Kuran Antlaşmaları tadil xxxx Xxxxxx Antlaşması, Lisbon’da imzalanmış, 13 Aralık 2007, OJ 2007 C 306. Bakınız, konsolide metinler Avrupa Birliği Antlaşması, OJ 2012 C 326 ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma, OJ 2012 C 326.
Örnek: ‘Kartner Landesregierung ve Diğerleri’ davasında,212 Avusturya Anayasa Mahkemesi, Şart’ın 7, 9 ve 11. maddeleri ışığında 2006/24/EC sayılı direktifin (Veri Saklama Direktifi) 3. ve 9. maddelerinin geçerliliğine ve Veri Saklama Direktifi’ni iç hukuka aktaran Telekomünikasyona İlişkin Avusturya Federal Yasası’nın VK Direktifi’nin ve AB Kurumlar ı Veri Koruma Tüzüğü’nün bazı yönleriyle çelişip çelişmediğine dair sorular yönlendirmiş t ir ABAD’a.
Anayasa Mahkemesi önündeki davanın taraflarından birisi olan Bay Seitlinger, telefonu, interneti ve elektronik postayı hem iş hem de özel amaçlı olarak ku landığını ifade etmiştir . Sonuç olarak, gönderdiği ve aldığı veriler kamuya açık telekomünikasyon şebekeleri üzerinde n geçmektedir. 2003 tarihli Avusturya Telekomünikasyon Yasası uyarınca, başvuranın telekomünikasyon hizmet sağlayıcısı başvuranın şebekeyi ku lanımına dair veriler i toplamak ve saklamakla yasal olarak yükümlüdür. Bay Seitlinger, kendisine ait kişisel veriler in saklanmasının bir bilginin şebeke üzerinde A kişisinden B kişisine aktarılması şeklindeki teknik amacı gerkçekleştirmek için hiçbir şekilde gerekli olmadığını fark etmiştir. Ayrıca bu tür bilgilerin toplanması ve saklanması faturalandırma amacı için de hiçbir şekilde gerekli olamayacaktır. Bay Seitlinger kişisel verilerinin işlenmesine kesinlikle rıza göstermemişt ir.
Bütün bu ekstra verilerin Telekomünikasyon Yasası’dır.
toplanıp
saklanmasının tek sebebi 2003 tarihli Avusturya
Bu sebeple Bay Seitlinger Avusturya Anayasa Mahkemesi’ne başvuruda bulunmuş ve müşteris i olduğu telekomünikasyon hizmet sağlayıcısı için öngörülen yasal zorunlulukların kendisini n Şart’ın 8. maddesi kapsamında korunan temel haklarını ihlal ettiği iddiasında bulunmuştur.
ABAD yalnızca, kendisine yöneltilen ön karar talebinin temelini oluşturan unsurlar hakkında karar verebilir. Davanın esasına karar verme yetkisi halen ulusal mahkemededir.
Prensip olarak, ABAD kendisine yöneltilen soruları yanıtlamakla yükümlüdür. Vereceği kararın yerinde olmayacağı veya esas dava ile aynı zamanda sonuçlandırılamayaca ğı gerekçesiyle ön karar vermeyi reddedemez. Ancak, soru yetki alanı dışında kalıyorsa ön karar vermeyi reddedebilir.
Sonuç olarak, ABİHA madde 16 kapsamında güvence altına alınmış olan veri koruma hakları, bir AB kurum veya kuruluşu tarafından kişisel verilerin işlenmesi sırasında ihlal edilirse veri öznesi konuyu ABAD Genel Mahkeme’ye taşıyabilir (AB Kurumları Veri Koruma Tüzüğü madde 32(1) ve (4)). Aynı durum EDPS’in bu tür ihlallere sebep olan kararları için de geçerlid ir (AB Kurumları Veri Koruma Tüzüğü madde 32(3)).
AB Kurumları Veri Koruma Tüzüğü kapsamındaki konularda karar verme yetkisi ABAD Genel Mahkeme’nindir ancak bir AB kurumu veya kuruluşunda personel olan birisi tarafında n yapılacak başvuruların AB Kamu Personeli Mahkemesi’ne yapılması gerekmektedir.
Örnek: Avrupa Komisyonu v. The Bavarian Lager Co. Ltd213 davasında, AB kurumlarını n ve kuruluşlarının kararlarına ve faaliyetlerine karşı hangi yasal yollara başvurulabilece ği anlatılmaktadır.
Bavarian Lager Avrupa Komisyonu’ndan, Komisyon tarafından düzenlenmiş olan bir
212 ABAD, Birlikte Görülen C-293/12 ve C-594/12, Digital Rights Ireland and Seitling and Others, 8 Nisan 2014.
213 ABAD, C-28/08 P, Avrupa Komisyonu v. The Bavarian Lager Co. Ltd, 29 Haziran 2010.
toplantıya ait ve şirketle alakalı bazı yasal sorunlara ilişkin olduğu iddia edilen xxxxxxxxxx ın tamamına erişim talebinde bulunmuştur. Üstün gelen veri koruma menfaatlerinin varlığı sebebiyle Komisyon şirketin bu talebini reddetmiştir.214 Bu karara karşı Bavarian Lager, AB Kurumları Veri Koruma Tüzüğü’nün 32. maddesini uygulayarak ABAD nezdinde, daha da açık olmak gerekirse İlk Derece Mahkemesi (Genel Mahkeme’nin o dönemdeki adı) nezdinde bir şikâyette bulunmuştur. İlk Derece Mahkemesi, T-194/04 sayılı Bavarian Lager v. Commiss ion dosyasında verdiği karar kapsamında Komisyon’un erişim talebinin reddine ilişkin kararını iptal etmiştir. Avrupa Komisyonu bu kararı temyiz ederek ABAD’ın Adalet Divanı’ na başvurmuştur. Adalet Divanı (Büyük Daire olarak) İlk Derece Mahkemesi’nin kararını bir kenara bırakarak Avrupa Komisyonu’nun erişim talebinin reddine dair kararını onamıştır.
5.3.4. Yaptırımlar
AK mevzuatı kapsamında, 108 Sayılı Sözleşme’nin 10. maddesi, 108 Sayılı Sözleşme’de belirlenen verilerin korunmasına dair temel ilkeleri iç hukukta yürürlüğe koyan hükümler in ihlaline karşı uygun yaptırım ve kanun yollarının Taraflarca belirlenmesi gerektiğini öngörmektedir.215 AB mevzuatı kapsamında, VK Direktifi madde 24 uyarınca Üye Devletle r “bu Direktifin hükümlerinin tam olarak uygulanmasına yönelik uygun tedbirleri almalılar ve özelikle de benimsenen hükümlerin ihlali durumunda uygulanacak yaptırımlar ı düzenlemelidirler […]”.
Her iki hukuki düzenleme de Üye Devletlere uygun kanun yollarının ve yaptırımların seçiminde geniş bir takdir payı bırakmaktadır. Ne AK mevzuatı ne de AB mevzuatı hangi tür ve yapıda yaptırımların uygulanacağına dair bir yol göstermemekte, yaptırımlara ilişkin örnekler sunmamaktadır.
Ancak:
“Üye Devletler bireylerin AB hukuku kapsamındaki haklarının güvence altına alınması bakımından hangi tedbirlerin en uygunu olduğu konusunda bir takdir hakkına sahip olsalar da AB Antlaşması’nın 4(3) maddesinde yer alan dürüst işbirliği ilkesine uyarınca etkinlik, eş değerlik, orantılılık ve caydırıcılık şeklindeki asgari gerekliliklere saygı gösterilmesi gerekmektedir”.216
ABAD ulusal hukukun yaptırımları belirlemekte tamamen özgür olmadığını birçok kez tekrarlamıştır.
Örnek: ‘Xxx Xxxxxx ve Kamann v. Land Nordrhein-Westfalen’217 davasında ABAD, bir direktifin muhattabı olan bütün Üye Devletler’in, bu direktifin amaçlarına uygun ve tamamen geçerli olacak şekilde ulusal hukuk sistemleri içerisinde uygulanmasını sağlayacak gerekli bütün tedbirleri almakla yükümlü olduklarını ifade etmiştir. Mahkeme, direktifi n uygulanmasını sağlayacak yol ve yöntemlerinin seçimi Üye Devletler’e bırakılmış olsa da bu
214 Bakınız: Avrupa Veri Koruma Denetçisi tarafından yayınlanan (2011), ‘Bavarian Lager’ kararından sonra kişisel veriler içeren metinlere kamusal erişim hakkı, Brüksel:
xxx.xxxxxx.xxxx.xxxxxx.xx/XXXXXXX/
webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_ Lager_EN.pdf.
215 AİHM , I. v. Finland, No. 20511/03, 17 Temmuz 2008; AİHM , K.U. v. Finland, No. 2872/02, 2 Aralık 2008.
216 Avrupa Birliğ i Temel Haklar Ajansı (2012), Opinion of the European Union Agency for Fundamental Rights on the proposed data protection reform package, 2/2012, Vienna, 1 Ekim 2012, s. 27.
217 ABAD, C-14/83, Xxxxxx xxx Xxxxxx and Xxxxxxxxx Xxxxxx v. Land Nordrhein-Westfalen, 10 Nisan 1984.
seçim hakkının Üye Devletler üzerindeki yükümlülüğü etkilemeyeceğini belirtmiştir. Özelik le, etkili bir hukuki başvuru, bireyin söz konusu hakkını aramasına ve tam anlam ve kapsamıyla uygulamasına imkân vermelidir. Bu gerçek ve etkili korumayı elde edebilmek için de kanun yollarının, caydırıcı etkiye sahip yaptırımları mümkün kılacak cezai ve/veya tazmine yönelik prosedürleri başlatması gerekmektedir.
AB hukukunun AB kurumları veya kuruluşları tarafından ihlal edilmesi durumunda uygulanacak yaptırımlarla alakalı olarak, AB Kurumları Veri Koruma Tüzüğü’nün getirdiği sınırlamadan dolayı yaptırımlar ancak disiplin cezası şeklinde tasarlanabilirler. Tüzüğün 49. maddesi uyarınca “bu Tüzük kapsamındaki yükümlülüklere kasten veya ihmal yoluyla uyulmaması halinde, Avrupa Topluluğu memurları veya diğer şeki lerde hizmet verenler disiplin cezasına tabi tutulacaktır […]”.
6. Sınır ötesi veri akışı
AB | İşlenen konular | AK |
Sınır ötesi veri akışı | ||
Veri Koruma Direktifi, Madde 25 (1) ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003 | Tanım | 108 Sayılı Sözleşme, Ek Protokol, Madde 2 (1) |
Verilerin serbest akışı | ||
Veri Koruma Direktifi, Madde 1(2) | AB Üye Devletleri arasında | |
108 Sayılı Sözleşmeye Üye Devletler arasında | 108 Sayılı Sözleşme, Madde 12 (2) | |
Veri Koruma Direktifi, Madde 25 | Yeterli koruma seviyesine sahip üçüncü ülkelere | 108 Sayılı Sözleşme, Ek Protokol, Madde 2(1) |
Veri Koruma Direktifi, Madde 26 (1) | Özel durumlarda üçüncü ülkelere | 108 Sayılı Sözleşme, Ek Protokol, Madde 2 (2) (a) |
Üçüncü devletlere yönelik sınırlandırılmış veri akışı | ||
Veri Koruma Direktifi, Madde 26 (2) Veri Koruma Direktifi, Madde 26 (4) | Sözleşme maddeleri | 108 Sayılı Sözleşme, Ek Protokol, Madde 2 (2) (b) Sözleşme hükümlerinin hazırlanmasına yönelik rehber |
Veri Koruma Direktifi, Madde 26 (2) | Bağlayıcı şirket kuralları | |
Örnekler: EU–US PNR-Antlaşması EU–US SWIFT-Antlaşması | Özel uluslararası antlaşmalar |
VK Direktifi Üye Devletler arasındaki serbest veri akışını düzenlemenin yanında kişisel verilerin AB dışındaki üçüncü ülkelere aktarımı için gereken koşu lara dair hükümler de içermektedir. AK de üçüncü ülkere sınır ötesi veri akışına dair kura ların belirlenmesini n önemini görmüş ve 108 Sayılı Sözleşme’ye Ek Protokol’ü 2001 yılında kabul etmiştir. Bu Protokol, sınır ötesi veri akışına yönelik olarak sözleşme taraflarında ve AB Üye Devletleri’ndeki mevzuat içerisinde bulunan ana düzenleyici öze likleri benimsemiştir.
Ana başlıklar
6.1. Sınır ötesi veri akışının doğası
• Sınır ötesi veri akışı, kişisel verilerin yabancı bir ülke mevzuatına tabi olan bir alıcıya aktarılmasıdır.
108 Sayılı Sözleşme’ye Ek Protokol 2(1) maddesi, sınır ötesi veri aktarımını kişisel veriler in yabancı bir ülke mevzuatına tabi olan bir alıcıya aktarılması şeklinde tanımlamaktadır. VK Direktifi madde 25(1) ise “işleme sürecinde olan veya aktarım sonrası işlenmesi planla nan kişisel verilerin üçüncü bir ülkeye aktarımını” kurala bağlamaktadır. Bu tür veri aktarımlar ı ancak 108 Sayılı Sözleşme’ye Ek Protokol’un 2. maddesi ve AB Üye Devletleri için de buna ek olarak VK Direktifi’nin 25. ve 26. maddelerinde belirlenen kura lar dahilinde mümkündür.
Örnek: ‘Xxxxx Xxxxxxxxx’218 davasında ABAD, Bir internet sitesinde çeşitli kişilere atıfta bulunma ve bu kişilerin kimliklerini ismen veya diğer yollarla, örneğin telefon numaralar ını veya çalışma şartlarına veya hobilerine dair bilgiler vererek açık etmenin 95/46 sayılı Direktif’in 3. maddesinin 1. fıkrası kapsamında ‘kişisel verilerin tamamen veya kısmen otomatik olarak işlenmesine’ vücut verdiğini belirtmiştir.
Mahkeme, direktifin devamındaki düzenlemelerde, Üye Devletlerin kişisel verilerin üçüncü ülkelere aktarımını denetleyebilmesine imkân sağlayacak çeşitli kura ların yer aldığına işaret etmiştir.
Ancak internetin direktifin kaleme alındığı dönemdeki gelişim aşaması ve direktifte internet in ku lanımına yönelik uygulanabilecek kriterlerin yokluğu dikkate alınarak, “Topluluk mevzuatındaki ‘[verilerin] üçüncü bir ülkeye aktarımı’ ibaresinin, söz konusu veriler üçüncü bir ülkede bulunan ve bu verilere ulaşabilecek teknik imkanlara sahip kişilerin erişimine açılmış da olsa, verilerin bir internet sayfasında yüklenmesini kapsayacak şekilde ku lanıld ığı söylenemez.”
Aksi takdirde, direktif “kişisel veriler bir internet sayfasında yüklendiği her an üçüncü bir ülkeye veri aktarımı olduğu şeklinde yorumlanacak olsaydı, bu aktarım söz konusu verilere erişmek için gerekli teknik imkanlara sahip üçüncü ülkelerin hepsine yapılmış bir aktarım olurdu. Böylece de [direktif tarafından] öngörülen özel rejim internet üzerindeki faaliyetle re ilişkin genel uygulamaya yönelik bir rejim haline gelirdi. Bu sebeple, Komisyon […] tek bir üçüncü ülkenin bile gerekli korumayı sağlamadığını tespit ederse, Üye Devletler herhangi bir kişisel verinin internete yüklenmesini enge lemekle yükümlü olacaktır.”
(Kişisel) verilerin sırf yayınlanmalarının sınır ötesi veri akışı olarak değerlendirilemeyece ği ilkesi çevrimiçi resmi siciller veya (elektronik) gazeteler ve televizyon gibi kitle iletiş im araçları açısından da uygulama alanı bulacaktır. Yalnızca belirli alıcılara yönlendirilmiş olan iletişim, ‘sınır ötesi veri akışı’ kavramı için uygundur.
218 ABAD, C-101/01, Xxxxx Xxxxxxxxx, 6 Kasım 2003, par. 27, 68 ve 69.
6.2. Üye Devletler veya Akit Taraflar arasındaki serbest veri akışı
• Kişisel verilerin EEA içerisindeki başka bir üye devlete veya 108 Sayılı Sözleşme’nin Akit Taraflarından başka birisine aktarımı sınırlamalardan muaf olmalıdır.
AK mevzuatı kapsamında, 108 Sayılı Sözleşme madde 12(2) uyarınca, sözleşmenin Tarafları arasında kişisel verilerin serbest bir biçimde akışı söz konusu olmalıdır. Ulusal hukuk kişisel verilerin başka bir Akit Tarafa gönderimini kural olarak sınırlayamaz. Ancak aşağıdaki durumlarda istisnai olarak sınırlama söz konusu olabilir:
• verinin özel yapısı bunu gerektiriyorsa;219 veya
• bu sınırlandırma, üçüncü taraflara sınır ötesi veri akışı konusunda ulusal kanun hükümlerinin dolanılmasını önlemek için gerekliyse.220
AB mevzuatı kapsamında, Üye Devletler arasında verilerin serbest akışına yönelik olarak verilerin korunması amacıyla sınırlama ve yasak getirilmesi VK Direktifi’nin 1(2) maddesi uyarınca yasaklanmıştır. Verilerin serbest akışının geçerli olduğu alan İzlanda, Lihtenştayn ve Norveç’i iç pazara dahil eden Avrupa Ekonomik Alanı Antlaşması (EEA)221 ile genişletilmiştir.
Örnek: Aralarında Slovenya ve Fransa’nın da bulunduğu birçok AB üye ülkesinde ofisler i bulunan bir uluslararası şirketler grubunun iştiraklerinden birisi kişisel verileri Slovenya’da n Fransa’ya aktarmaktaysa, bu veri akışının Slovenya ulusal hukuku tarafından sınırlanmamas ı ve yasaklanmaması gerekir.
Ancak aynı Slovenyalı iştirak, bu kişisel verileri ABD’de yerleşik olan ana şirkete aktarmak isterse, Slovenyalı veri aktarıcısı, ana şirket yeterli veri koruma seviyesi sağlamaya yönelik ve gönüllü katılım esasına dayalı bir Davranış Kura ları düzenlemesi olan Güvenli Liman Gizlilik İlkeleri’ni imzalamamışsa, yeterli veri koruması bulunmayan üçüncü ülkere yapılacak sınır ötesi veri aktarımlarına dair mevzuat kapsamında öngörülen prosedürü işletmek durumundad ır . (Bkz. Bölüm 6.3.1.)
EEA Üye Devletleri’ne iç pazarın kapsamı dışındaki amaçlar için, örneğin suçların soruşturulması amacıyla sınır ötesi veri aktarımı yapılması durumunda, bu aktarımlar VK Direktifi’nin düzenlemelerine tabi değildir ve bu sebeple de verilerin serbest akışı ilkesini n uygulama alanına girmezler. AK mevzuatına gelirsek, bütün alanlar 108 Sayılı Sözleşme’ni n ve 108 Sayılı Sözleşme’ye Ek Protokol’ün kapsamına girmektedir. Ancak Akit Taraflarca istisnalar öngörülebilir. Tüm EEA üyeleri aynı zamanda 108 sayılı Sözleşme’ye de Taraftır.
6.3. Üçüncü ülkelere serbest veri akışı
219 108 Sayılı Sözleşme, Madde12 (3) (a).
220 A.e., Madde12 (3) (b).
221 Avrupa Topluluklarının Üye Devletleri ve Avusturya Cumhuriyeti, Finlandiya Cumhuriyeti, İzlanda Cumhuriyeti, Lihtenştayn Prensliği, Norveç Krallığı, İsveç Krallığı ve İsviçre Konfederasyonu arasındaki Avrupa Ekonomik Alanı içerisindeki Antlaşmaya ilişkin, 13 Aralık 1993 tarihli, Avrupa Birliği Konseyi ve Komisyon Kararı, OJ 1994 L 1.
Ana başlıklar
• Kişisel verilerin üçüncü ülkelere aktarımı aşağıdaki şartların gerçekleşmesi halinde ulusal veri koruma mevzuatı uyarınca sınırlamalardan muaf olacaktır:
1) veri alıcısının yeterli veri korumasına sahip olduğu doğrulanmışsa; veya
2) verilerin aktarılması veri öznesinin hususi menfaatleri veya başkalarının üstün meşru menfaatleri, öze likle de kamu menfaatleri için gerekliyse.
• Üçüncü bir ülkede verilerin yeterince korunması, verilerin korunmasına yönelik temel ilkelerin bu ülkenin ulusal hukukunda etkili şekilde uygulandığı anlamına gelmektedir.
• AB mevzuatı uyarınca, üçüncü bir ülkede verilerin yeterince korunduğunun tespitini
Avrupa Komisyonu yapmaktadır. AK mevzuatı gereğince, yeterliliğin nasıl değerlendirileceği hususu ulusal hukuk tarafından düzenlenmelidir
6.3.1. Yeterli koruma sağlandığı için serbest veri akışı
AK Mevzuatı, sözleşmeye taraf olmayan devletler açısından da, eğer alıcı devlet veya kuruluş planlanan veri transferi için yeterli bir korumanın sağlanacağı güvencesini veriyorsa, veriler in serbest akışına ulusal mevzuat kapsamında izin verilebileceğini öngörmüştür.222 Yabancı bir ülkedeki veri koruma seviyesinin nasıl ve kim tarafından değerlendirilmesi gerektiğine karar verecek olan ulusal hukuktur.
AB Mevzuatı kapsamında, yeterli koruma sağlayan bir üçüncü ülkeye serbest veri akışı VK Direktifi’nin 25(1) maddesinde düzenlenmiştir. Eşdeğerlik yerine yeterlilik şartının aranması sayesinde farklı veri koruma yöntemlerinin kabulü de mümkün olmuştur. VK Direktifi’ nin 25(6) maddesi uyarınca Avrupa Komisyonu yabancı ülkelerin veri koruma yeterlilik seviyelerini yeterlilik tespitleri yoluyla belirleme konusunda yetkilidir ve bu tespiti yaparken de 25. ve 26. maddenin yorumlanmasına esaslı katkıları bulunan Madde 29 Çalışma Kurultayı’na danışarak ilerlemektedir.223
Avrupa Komisyonu tarafından verilen bir yeterlilik tespiti hukuken bağlayıcıdır. Belirli bir ülkenin yeterli olduğuna dair Avrupa Komisyonu tarafından Avrupa Birliği Resmî Gazetesi’nde bir tespit yayınlanırsa, bütün EEA üye ülkeleri ve onların kurumları bu karara uymakla yükümlüdür. Bu da ulusal makamlar önünde herhangi bir kontrol veya lisans prosedürü işletilmesine gerek olmaksızın veri akışının gerçekleşebileceği anlamına gelir.224
Avrupa Komisyonu’nun bir ülkenin yasal sisteminin parçalarını değerlendirmesi veya değerlendirme kapsamını belirli bir konuyla sınırlaması mümkündür. Örneğin, Komisyon Kanada'nın yalnızca ticaret mevzuatına yönelik bir yeterlilik tespiti yapmıştır.225 Aynı şekilde
222 108 Sayılı Sözleşme, Ek Protokol, Madde 2 (1).
223 Örneğin, Madde 29 Çalışma Kurultayı (2003), Üçüncü ülkelere kişisel verilerin aktarılmasına ilişkin Çalışma Belgesi: AB Veri Koruma Direktifi’nin 26(2). Maddesi’ne ilişkin Uluslararası Veri Aktarımına dair bağlayıcı kurumsal kuralların uygulanması, WP 74, Brüksel, 3 Haziran 2003; ve Madde 29 Çalışma Kurultayı (2005), 95/46/AB Sayılı Direktifin 26(1).
xxxxxxx’xxx ortak anlayışına ilişkin Çalışma Metni, 24 Ekim 1995, WP 114, Brüksel, 25 Kasım 2005.
224 Yeterlilik bulgusu alan listelerin güncellenmiş listesi için lütfen Avrupa Komisyonu’nun Xxxxxx Xxxxx Müdürlüğü ana web sayfasına bakınız: xxxx://xx.xxxxxx.xx/xxxxxxx/ data-protection/document/international-transfers/adequacy/index_en.htm.
225 Avrupa Komisyonu (2002), 95/46/AB Sayılı, Avrupa Birliği Parlamentosu ve Konseyi, Kanada Kişisel Bilgi Koruması ve
Komisyon, AB ve yabancı devletler arasında antlaşmalara dayalı aktarımlar için de birçok yeterlilik tespitinde bulunmuştur. Bu kararlar münhasıran tek bir veri aktarımı tipine, AB’den belirli bazı denizaşırı noktalara yapılan uçuşlarda yolcu isim kayıtlarının havayolu şirketler i tarafından yabancı sınır kontrol makamlarına aktarımına yöneliktir (Bkz. Bölüm 6.4.3.). AB ve üçüncü ülkeler arasındaki antlaşmalara dayalı olarak gerçekleştirilen veri aktarımlarına dair daha güncel uygulamada yeterlilik tespiti ihtiyacı ortadan kaldırılmakta ve antlaşma nın kendisinin yeterli bir veri koruması sağladığı varsayılmaktadır.226
En önemli yeterlilik kararlarından biri aslında birtakım yasal hükümlere dayalı değildir. 227 Bilakis, Güvenli Liman Gizlilik İlkeleri olarak bilinen Davranış Kura ları tarzındaki kurallar ile ilgilidir. Bu ilkeler ABD şirketlerine yönelik olarak AB ve ABD arasında yapılan görüşmele r kapsamında detaylı olarak düzenlenmiştir. Güvenli Liman üyeliği ABD Ticaret Bakanlığı nezdinde yapılacak bir gönüllü bağlılık beyanı ile gerçekleştirilmekte ve Bakanlık tarafında n yayınlanan bir listede belgelendirilmektedir. Yeterliliğin en önemli unsurlarından birisi veri koruma uygulamalarının etkililiği olduğundan, Güvenli Liman Düzenlemesi aynı zamanda belirli bir ölçüye kadar devlet denetimi öngörmektedir: yalnızca ABD Federal Ticaret Komisyonu’nun denetimine tabi olan şirketler Güvenli Liman’a katılabilirler.
6.3.2. Özel durumlarda serbest veri akışı
AK mevzuatı kapsamında, 108 Sayılı Sözleşme’ye Ek Protokol madde 2(2) uyarınca, yeterli veri korumasının bulunmadığı üçüncü ülkelere kişisel veri aktarımına, söz konusu aktarım ulusal hukuk tarafından düzenlendiği ve aşağıdaki unsurlar bakımından gerekli olduğu sürece izin verilecektir:
• veri öznesinin özel menfaati için gerekliyse; veya
• başkalarının üstün nitelikteki meşru menfaatleri, öze likle de kamu menfaatleri için gerekliyse.
AB mevzuatı kapsamında, VK Direktifi madde 26(1), 108 sayılı Sözleşme’ye Ek Protokol ile benzer hükümler içermektedir.
Direktif uyarınca veri öznesinin menfaatleri, aşağıdaki koşu ların gerçekleşmesi halinde üçüncü bir ülkeye serbest veri akışını haklı gösterebilecektir:
• veri öznesinin verilerin gönderimine yönelik açık rızası bulunmaktaysa; veya
• veri öznesi verilerin yurt dışındaki bir alıcıya aktarımını gerektirecek bir sözleşmese l ilişkiye girer -veya girmeye hazırlanırsa- ; veya
• veri sorumlusu ve bir üçüncü kişi arasında veri öznesinin menfaatlerine yönelik bir
sözleşme yapılmışsa; veya
• veri aktarımı veri öznesinin hayati menfaatlerinin korunması için gerekliyse ; veya
Elektronik Belgeler Yasası tarafından sağlanan kişisel verilerin korunması Direktifi kapsamında aldığı 2002/2/AB Sayılı Karar, 20 Aralık 2001, OJ 2002 L 2.
226 Örneğin, Amerika Birleşik Devletleri ile Avrupa Birliği arasında, Amerika Birleşik Devletleri, Ulusal Güvenlik Departmanı tarafından Yolcu İsmi Kayıtlarının kullanılması ve aktarılmasına ilişkin Sözleşme (OJ 2012 L 000, x. 0–00) xxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxx ile Avrupa Birliği arasında, Avrupa Birliğinden Amerika Birleşik Devletlerine Finansal Mesajlaşma Verilerinin, Terörist Mali İzleme Programı kapsamında işlenmesi ve aktarılmasına ilişkin Sözleşme, OJ 2010 L 8, s. 11–16. 227 Avrupa Komisyonu, 2000/520/AB Sayılı, Avrupa Birliği Parlamentosu ve Konseyinin 95/46/AB Sayılı Direktifi uyarınca, güvenli liman gizlilik ilkelerinin ve ABD Ticaret Bakanlığı tarafından yayınlanan, konuyla ilgili, sıkça sorulan soruların sağladığı korumanın yeterliliği hakkındaki, 26 Temmuz 2000 tarihli, Komisyon Kararı, OJ 2000 L 215.
• resmî sicillerden verilerin aktarımı amacıyla; bu resmi sicillerde yer alan bilgilere erişim hakkı şeklindeki üstün nitelikli kamu yararının bir örneğidir.
Başkalarının meşru menfaatleri de verilerin sınır ötesi serbest akışını haklı gösterebilir:228
• VK Direktifi kapsamına girmeyen ulusal güvenlik veya kamu güvenliği meseleler i dışındaki hususlarla alakalı önemli bir kamu menfaati sebebiyle; veya
• bir hak iddiasında bulunmak, bir hakkı ku lanmak veya savunmak için.
Yukarıda sunulmuş olan durumlar, diğer ülkelere serbest veri aktarımı için alıcı ülkede yeterli veri koruma seviyesinin bulunması gerekliliğinin istisnaları olarak anlaşılmalıdır. İstisnalar her daim sınırlayıcı bir biçimde yorumlanmalıdır. Madde 29 Çalışma Kurultayında VK Direktifi madde 26(1) bağlamında, öze likle de rızanın veri aktarımına temel oluşturduğu durumlar bakımından bu hususun defalarca altını çizmiştir.229 Madde 29 Çalışma Kurultayırızanın yasal önemine dair genel kura ların direktifin 26(1) maddesi açısından da uygulama alanı bulacağı sonucuna varmıştır. Örneğin, iş ilişkileri bağlamında işçiler tarafın verilen rızanın aslen özgür iradeyle verilmiş rıza olup olmadığı belirsiz ise, bu durumda veri aktarımları direktifin 26(1)(a) maddesine dayandırılamazlar. Bu durumlarda, veri aktarımları için ulusal veri koruma makamlarının lisans çıkarması gerekliliğini öngören madde 26(2) uygulanacaktır.
6.4. Üçüncü ülkelere sınırlandırılmış veri akışı
Ana başlıklar
• Verilerin yeterli koruma seviyesine sahip olmayan üçüncü ülkere gönderilmesinden önce planlanan veri akışının, veri sorumlusu tarafından denetim makamının incelemesine sunulması gerekebilir.
• Verileri göndermek isteyen veri sorumlusu bu inceleme sırasında iki hususun varlığını ortaya koymak durumundadır:
1) verilerin veri alıcısına aktarılmasına dair yasal bir dayanağın bulunduğunu; ve
2) veri alıcısında yeterli veri korumasının sağlanması için gerekli tedbirlerin alınmış olduğunu göstermek.
• Veri alıcısında yeterli veri korumasının oluşturulması için alınabilecek tedbirlerden bazıları şunlardır:
1) veri gönderimi yapan veri sorumlusu ve yabancı veri alıcısı arasında kararlaştırılacak sözleşmesel şartlar.
2) Özelikle çok uluslu şirketler grubu dahilinde gerçekleştirilen veri aktarımlarına uygulanabilir nitelikte bağlayıcı şirket kura ları.
• Yabancı makamlara yapılacak veri aktarımları aynı zamanda özel bir uluslararası
antlaşma ile de düzenlenebilir.
VK Direktifi ve 108 Sayılı Sözleşme’ye Ek Protokol, veri sorumlusu veri alıcısı tarafında yeterli veri koruma tedbirlerinin sağlanması için özel ayarlamalar yaptığı ve bu ayarlamalar ın yapıldığını yetkili bir makama ispatlayabildiği sürece, verilerin korunmasıyla alakalı yeterli bir koruma düzeyi sağlayamayan üçüncü ülkelere sınır ötesi veri akışına dair rejimlerin ulusa l hukuklar tarafından düzenlenebilmesine izin vermiştir. Bu gereklilik açık olarak yalnızca 108
228 VK Direktifi, Madde 26 (1) (d).
229 Bakınız, özellikle Madde 29 Çalışma Kurultayı (2005), 95/46/AB Sayılı Direktifin 26(1). maddesi’nin ortak anlayışına ilişkin Çalışma Metni, 24 Ekim 1995, WP 114, Brüksel, 25 Kasım 2005.
Sayılı Sözleşme’ye Ek Protokol’de yer almaktadır; ancak VK Direktifi kapsamında da standart prosedürün bu şekilde olduğu değerlendirilmektedir.
6.4.1. Sözleşme maddeleri
Gerek AK mevzuatı gerekse AB mevzuatı, veri gönderimi yapan veri sorumlusu ve üçüncü ülkedeki veri alıcısı arasındaki sözleşme maddelerinin, veri alıcısında yeterli veri koruma düzeyinin sağlanması için ku lanılabilecek yollardan birisi olduğundan bahsetmektedir.
AB düzeyinde, Avrupa Komisyonu, Madde 29 Çalışma Kurultayın’ında desteğiyle, Komisyon Kararı gereği yeterli veri korumasının bir kanıtı olarak görülecek olan bazı standart sözleşme maddeleri geliştirmiştir.230 Komisyon kararları bütün içerikleriyle Üye Devletler açısında n bağlayıcı olduklarından, sınır ötesi veri akışını denetlemekle yükümlü olan ulusal makamlar ın bu standart sözleşme maddelerini prosedürlerine dahil etmeleri gerekmektedir.231 Yani, veri gönderimi yapan veri sorumlusu ve üçüncü ülkedeki veri alıcısının aralarında anlaşıp bu maddeleri kabul etmeleri, gerekli güvencelerin sağlandığına ilişkin olarak denetim makamına yeterli kanıtı sunacaktır.
AB yasal çerçevesi içerisinde standart sözleşme maddelerinin varlığı veri sorumlularının diğer ad hoc sözleşme maddeleri düzenlemelerine engel değildir. Ancak, bu şekilde getirile cek düzenlemelerin de standart sözleşme maddeleri tarafından sağlanan koruma düzeyinin aynısını sağlaması gerekmektedir. Standart sözleşme maddelerinin en önemli unsurları şunlardır:
• veri öznelerinin, sözleşmenin tarafı olmasalar da sözleşmeden kaynaklanan haklarını ku lanabilmelerini sağlayacak olan bir üçüncü taraf lehtar maddesi;
• veri alıcısı veya içe aktarıcısının, uyuşmazlık halinde veri gönderimini yapan veri
sorumlusunun ulusal denetim makamı ve/veya ulusal mahkemelerinin usu lerine tabi olacaklarına dair kabulü.
Şu anda, veri sorumlusudan veri sorumlusuna yapılan aktarımları düzenleyen ve veri gönderimi yapan veri sorumlusunun arasından seçim yapabileceği iki ayrı standart maddeler grubu bulunmaktadır.232 Veri sorumlusundan veri işleyene yapılan aktarımlar için ise sadece bir çeşit standart sözleşme maddeleri grubu vardır.233
AK mevzuatı bağlamında, 108 Sayılı Sözleşme Danışma Komitesi sözleşme maddelerini n hazırlanmasına yönelik olarak bir kılavuz hazırlamıştır.234
6.4.2. Bağlayıcı şirket kuralları
230 VK Direktifi, Madde26 (4).
231 Avrupa Birliği’nin İşleyişi Hakkında Antlaşma, Madde 288.
232 Birinci Set Avrupa Birliği Komisyonu, 2001/497/AB Sayılı, 95/46/AB Sayılı Direktif uyarınca Kişisel verilerin üçüncü ülkelere aktarılması için standart sözleşme hükümlerini içermektedir, 15 Haziran 2001 tarihli, Komisyon Kararı’nın ekindedir, OJ 2001 L 181; İkinci Set Avrupa Birliği Komisyonu, 27 Aralık 2004 tarihli ve 2004/915/AB Sayılı Direktif uyarınca kişisel verilerin üçüncü ülkelere transferi için standart sözleşme hükümlerinine alternatif bir setin sunulmasına ilişkin Komisyon Kararı’nın ekindedir, OJ 2004 L 385.
233 Avrupa Komisyonu, Avrupa Birliği Komisyonu, 2010/87/AB Sayılı, 5 Şubat 2010 tarihli, 95/46/AB Sayılı Direktif uyarınca (2010), Avrupa Birliği Parlamentosu ve Konseyi’nin Kişisel verilerin üçüncü ülkelerde bulunan veri işleyenlere aktarılmasına ilişkin sözleşmeye dayalı hükümler, OJ 2010 L 39.
234 Avrupa Konseyi, 108 Sayılı Sözleşmeye Danışma Komitesi (2002), Kişisel verilerin üçüncü şahıslara aktarımı sırasında korunmasına ilişkin sözleşme hükümlerinin hazırlanması için kullanılan rehber.
Çok taraflı bağlayıcı şirket kura ları (BŞKler) sıklıkla birçok Avrupa veri koruma makamını birden ilgilendirir.235 BŞKlerin uygun bulunabilmesi için BŞKler’in taslakları standart hale getirilmiş başvuru formları ile birlikte konuyla alakalı en üst makama gönderilmelidir.236 En üst makamın hangisi olduğu standart hale getirilmiş başvuru formundan anlaşılabil ir. Sonrasında bu üst makam, BŞKlerin değerlendirilme sürecindeki katılımları gönüllülük esasına dayalı olmasına karşın, grubun iştiraklerinin bulunduğu EEA üye ülkelerindeki denetim makamlarının hepsini bilgilendirir. Bağlayıcı olmamasına rağmen söz konusu veri koruma makamlarının hepsi değerlendirmenin sonucunu resmi lisanslama prosedürlerine dahil etmek durumundadır.
6.4.3. Özel uluslararası anlaşmalar
AB, iki çeşit veri aktarımına yönelik olarak özel sözleşmeler öngörmüştür:
Yolcu İsmi Kayıtları (PNR numarası)
Yolcu İsmi Kayıtları (PNR) verileri rezervasyon sürecinde hava yolu şirketleri tarafında n toplanır ve yolcuların isimleri, adresleri, kredi kartı detayları ve koltuk numaraları gibi bilgiler i içerir. ABD hukukuna göre, hava yolu şirketleri bu verileri yolcunun uçuşu öncesinde ABD İç Güvenlik Bakanlığı’na bildirmek zorundadır. Bu ABD’ye giden ve ABD’den gelen uçuşlar için geçerlidir.
VK Direktifi hükümlerine uygun olarak PNR verilerinin uygun şekilde korunmasını sağlamak için 2004 yılında özel bir ‘PNR paketi’237 kabul edilmiştir. Pakete ABD İç Güvenlik Bakanlığı (DHS) tarafından yürütülen veri işlemelerinin uygunluğu da dahil edilmiştir.
PNR paketinin ABAD tarafından iptalini takiben,238 AB ve ABD aralarında PNR verilerini n ABD’ye aktarımına yasal bir dayanak oluşturmak ve alıcı ülkede yeterli veri korumasını sağlamak amaçlarıyla 2 farklı sözleşme imzalamışlardır.
AB ülkeleri ve ABD’nin verileri nasıl paylaştığı ve yönettiğine dair düzenlemeler içeren 2012 tarihli ilk sözleşme birçok hata içermekteydi ve aynı yıl içerisinde yasal belirliği sağlamak adına başka bir sözleşme ile değiştirildi.239 Yeni sözleşme önemli iyileştirmeler içermektedir.
235 Bağlayıcı kurumsal kuralların içeriği ve yapısına dair, Madde 29 Çalışma Kurultayı (2008), Bağlayıcı kurumsal kurallar için bir çerçeve oluşturan çalışma belgesi, düzenlemiştir, WP 154, Brüksel, 24 Haziran 2008; ve Madde 29 Çalışma Kurultayı (2008), bağlayıcı kurumsal kurallarda bulunacak unsurlar ve ilkeler içeren bir tablo oluşturan çalışma belgesi, sunmuştur, WP 153, Brüksel, 24 Haziran 2008.
236 Madde 29 Çalışma Kurultayı, 1/2007 Sayılı, Kişisel verilerin aktarımına dair alınan bağlayıcı kurumsal kuralların onayına ilişkin standart bir uygulamanın düzenlenmesi Önerisi, WP 133, Brüksel, 10 Xxxx 2007.
237 2004/496/AB Sayılı, Komisyon Kararı, Avrupa Topluluğu ve Birleşik Devletler arasında imzalanan, havayolu taşıyıcıları
tarafından uçak yolcuların Yolcu Adı Kayıtlarının (PNR numarası) Birleşik Devletler Vatan Güvenliği Departmanı Gümrük ve Sınır Güvenliği Bürosuna gönderilmesine dair Sözleşmeye ilişkin,17 Mayıs 2004, OJ 2004 L 183, s. 83, ve 2004/535/AB Sayılı, Komisyon Kararı, Birleşik Devletler Gümrük ve Sınır Koruma Bürosuna transfer edilen uçak yolcularının, Yolcu Adı Kaydına (PNR numarası) yer alan kişisel verilerin korunmasına ilişkin, 00 Xxxxx 0000, XX 0000 L 235, s. 11-22.
238 ABAD, Birlikte Görülen C-317/04 ve C-318/04, European Parliament v. Council of the European Union, 30 Mayıs 2006, par. 57, 58 ve 59, mahkeme, yeterlilik kararının ve verilerin işlenmesine ilişkin anlaşmanın Direktifin kapsamı dışında bırakıldığına karar vermiştir.
239 2012/472/AB Sayılı, Komisyon Kararı, Amerika Birleşik Devletleri ile Avrupa Birliği arasında, Amerika Birleşik Devletleri, Ulusal Güvenlik Departmanı tarafından Yolcu İsmi Kayıtlarının kullanılması ve aktarılmasına ilişkin Sözleşmesine ilişkin, 26 Nisan 2012, OJ 2012 L 215/4. Bu karara, sözleşme eklenmiştir, OJ 2012 L 215, s. 5-14.
Sözleşme bilgilerin hangi amaçlarla (örneğin ciddi nitelikteki sınıraşan suçlar ve terörizm) ku lanılabileceğini sınırlar ve açıklığa kavuşturur ve verilerin tutulabileceği süreyi belirler: 6 ay geçtikten sonra veriler anonimleştirilmeli ve maskelenmelidir. Verilerin kötüye ku lanımını n söz konusu olduğu hallerde herkesin ABD hukuku kapsamında idari ve yargısal yollara başvuru hakkı bulunmaktadır. Ayrıca kişiler kendi PNR verilerine erişim hakkına ve tutulan bilgiler in doğru olmaması durumunda ABD İç Güvenlik Bakanlığı’ndan verilerinin silme seçeneği de dahil olmak üzere düzeltilmesini talep etme hakkına sahiptirler.
1 Temmuz 2012 yılında yürürlüğe giren bu sözleşme 2019 yılına kadar 7 yıl boyunca yürürlük te kalacaktır.
Avrupa Birliği Konseyi 2011 yılında PNR verilerinin işlenmesi ve aktarımına dair AB- Avustralya Antlaşması’nın güncellenmiş bir versiyonunu onaylamıştır.240 AB ve Avusturalya arasında yapılan PNR verilerine dair bu sözleşme, küresel PNR ilkeleri241, AB-PNR sistemini n kurulması242 ve üçüncü devletlerle yapılan sözleşme müzakereleri243 gibi unsurları içeren AB gündemi açısından ileri doğru atılmış bir adımdır.
Mali iletişim verileri
Avrupa’da bulunan bankalardan çıkan küresel çaptaki para aktarımlarının çoğunun veri işleyeni olan Belçika merkezli Dünya Bankalararası Finansal İletişim Topluluğu (SWIFT) ABD’de kurulu bir eş merkez üzerinden faaliyetlerini yürütmekteydi ve ABD Hazine Bakanlığı’ nın terörizm soruşturmaları çerçevesinde ilettiği bir veri paylaşımı talebiyle karşı karşıya kaldı.244
AB perspektifinden bakıldığında, esasen Avrupa verileri olan ancak sırf SWIFT’in veri işleme merkezlerinden birisinin orada bulunmasından dolayı ABD’de erişilebilir olan bu veriler in ifşasına yönelik hukuki bir dayanak yoktu.
AB ve ABD arasında SWIFT Sözleşmesi olarak bilinen özel bir sözleşme gerekli hukuki dayanağın oluşturulması ve yeterli veri korumanın sağlanması amacıyla 2010 yılında kabul edildi.245
240 2012/381/AB Sayılı, Komisyon Kararı, Avusturalya ile Avrupa Birliği arasında, hava taşıyıcıları tarafından Yolcu İsmi Kart’ının (PNR numarası) Avusturalya Gümrük ve Sınır Koruma Hizmeti ‘ne aktarılması ve işlenmesine Sözleşmesine ilişkin, 13 Aralık 2011, OJ 2012 L 186/3, Bir önceki 2008 sözleşmesinin yerini alan Sözleşmenin metni, bu Karara eklenmiştir, OJ 2012 L 186, s. 4–16.
241 Bakınız, Avrupa Birliği Komisyonu tarafından 21 Eylül 2010 tarihinde, Yolcu Adı Kayıt (PNR) verilerinin üçüncü ülkelere aktarılmasına yönelik küresel yaklaşım üzerine yapılan bildirim, COM (2010) 492 final, Brüksel. Bakınız Madde 29 Çalışma Kurultayı (2010), 7/2010 Sayılı, Avrupa Birliği Komisyonu tarafından, Yolcu Adı Kayıt (PNR) verilerinin üçüncü ülkelere aktarılmasına yönelik küresel yaklaşım üzerine yapılan bildirime ilişkin Öneri, WP 000, Xxxxxxx Kasım 12, 2010.
242 Avrupa Birliği Parlamentosu ve Konseyi tarafından, Terör suçlarını ve ciddi suçları önleme, tespit etme, soruşturma ve kovuşturma için kullanılan PNR verilerin kullanılmasına ilişkin Direktif Önerisi, COM (2011) 32 final, Brüksel, 2 Şubat 2011. Nisan 2011’de, Avrupa Birliği Parlamentosu, Avrupa Birliği Temel Haklar Ajansın’dan bu Önerinin Avrupa Birliği Temel Şart’ı ile uyumu konusunda görüş bildirmesini talep etmiştir. Bakınız: FRA (2011), 1/2011 Sayılı Öneri– PNR, Viyana, 14 Haziran 2011.
243 AB, şu anda Kanada ile, yürürlükte olan 2006 anlaşmasının yerine geçecek olan yeni bir PNR anlaşmasını müzakere etmektedir.
244 Bu bağlamda bakınız, Madde 29 Çalışma Kurultayı (2011), 14/2011 Sayılı, Kara para aklamanın ve terörizmin finansmanının önlenmesine ilişkin veri koruma konularına ilişkin Öneri, WP 186, Brüksel, 13 Haziran 2011; Madde 29 Çalışma Kurultayı (2006), 10/2006 Sayılı, Uluslararası Bankalar arası Finansal Telekomünikasyon Topluluğu (SWIFT) tarafından işlenen kişisel verilere ilişkin Öneri, WP 128, Brüksel, 22 Kasım 2006; Gizliliğin korunmasına dair Belçika Komisyonu’nun Kararı (Commission de la protection de la vie privée) (2008), ‘Şirket SWIFT’e ilişkin denetim ve tavsiye prosedürü başlatıldı’, 9 Aralık 2008.
245 2010/412/EU Sayılı, Konsey Kararı, Amerika Birleşik Devletleri ile Avrupa Birliği arasında, Avrupa Birliğinden Amerika Birleşik Devletlerine Finansal Mesajlaşma Verilerinin, Terörist Mali İzleme Programı kapsamında işlenmesi ve aktarılmasına ilişkin Sözleşmeye ilişkin, 13 Temmuz 2010, OJ 2010 L 195, s. 3 ve 4. Sözleşme, Karara eklenmiştir, OJ 2010 L 195, s. 5-14.