Ülkemizde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 07/04/2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” amacıyla çıkarılan Kanun’un temelleri, Avrupa Birliği (“AB”)’nin 95/46/EC sayı ve 24 Ekim 1995 tarihli “Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki Direktif”e (“Direktif”) dayanmaktadır.
Burada ilginç olan, kanun koyucu tarafından, geçtiğimiz aylarda (25/05/2018) uygulanmaya başlayan; ancak 14/04/2016 tarihinde onaylanan Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVKT”) yerine, ülkemizde çıkarılan Kanun’da, Direktif’in içeriğinin benimsenmiş olmasıdır. Tabii ki bu durum, bilinçli bir tercihin neticesi olarak karşımıza çıkmaktadır.
Bilindiği üzere, GVKT, Direktif’e göre çok daha kapsamlı ve karmaşık bir sistematiğe sahip bir hukuki kaynak niteliği taşımaktadır. Öyle ki, çok uzun yıllardır Direktif doğrultusunda Kişisel Verilerin Korunması Hukukunun öngördüğü düzeni, gündelik yaşamın bir parçası haline getiren Avrupa ülkelerinin birçoğu dahi, uygulanmaya başlamasına rağmen, GVKT’ye uyum sürecini henüz tamamlayamamışlardır. Hâl böyle iken, Kişisel Verilerin Korunması Hukukuna ilişkin bir kanunlaşma gereğinin mevzuat boyutunda ilk kez 2010 yılında (2010 T.C. Anayasa Değişikliği) gündeme geldiği ve nihayetinde 2016 yılında konuya ilişkin ilk Kanun’un yayımlandığı ülkemizde, benimsenecek kaynak olarak GVKT’nin tercih edilmesi, bahsi geçen Kanun’un düzenleyici olmaktan ziyade karmaşaya yol açmasına neden olabilirdi. Böylece, Kanun’un hazırlanmasında temel olarak, Direktif’in sistematiğine sadık kalınmıştır.
Henüz çok yeni sayılabilecek Kanun’un uygulanması noktasında ise (2 yıllık uyum süreci de göz önüne alındığında) uygulamanın, mevzuat metninde olduğu gibi yine Direktif’in uygulaması ile paralel olarak şekilleneceği söylenebilir. Bu noktada, Direktif’in uygulanmasına en fazla yön verme niteliğini haiz yargı kararları, konu özelinde ilgili AB Adalet Divanı (“ABAD”) kararları, ülkemizde Kanun’un uygulanması bakımından önem kazanmaktadır. ABAD’ın konuya ilişkin, uygulamayı şekillendiren sayısız kararı bulunsa da bazı kararları yakından incelemek, Kişisel Verilerin Korunması Hukukunun temel kavramlarının ne şekilde benimsenmesi gerektiği noktasında oldukça faydalı olacaktır.
Kişisel Verilerin Korunması Hukuku alanında, Direktif’in pratiği esnasında yaşanan hukuki uyuşmazlıklar neticesinde ortaya çıkmış ve bu hukuk dalının temel kavramlarının sınırlarını belirleme niteliğine sahip ve yakın zamanda verilmiş olmaları sebebiyle güncelliklerini koruyan dört adet karar bulunmaktadır. Bunlar; “unutulma hakkı”na ilişkin Google ve Manni kararları, “kişisel veri” kavramının sınırına ilişkin Nowak kararı ve son olarak “kişisel verilerin güvenliği” hususunda verilmiş Schrems (Safe Harbour) kararlarıdır.
1- Google Kararı ve Unutulma Hakkı (ABAD’ın C-131/12 Sayılı ve 13 Mayıs 2014 Tarihli Google Kararı)
Unutulma Hakkı, bireylerin, internet üzerinde, arama motorları kullanılarak yapılan aramalarda kendi kişisel verilerine ilişkin sonuçlara yer verilmemesini talep ederek çevrimiçi kimlikleri üzerinde sahip oldukları denetim hakkını ifade etmektedir.[1]
Unutulma hakkı kavramının benimsendiği karara konu olayda, İspanya vatandaşı Avukat Mario Costeja Gonzalez, Google Arama sistemi üzerinde yapmış olduğu aramada, 1998 yılında, bir İspanyol gazetesinin, borçların tahsili için yürütülen yargılamalar esnasında kendisine ait olan bir arazinin müzayede yolu ile satılmasını konu alan bir ilanı yayımladığını görmüştür. Aslında, söz konusu ilanın yayımlanmasının ardından, Gonzalez borçlarını ödemiş ve yargılama, mülkü açık artırmaya çıkarılmadan neticelendirilmiştir. Buna rağmen, Gonzalez, 2010 yılında halen, Google Arama sistemi üzerinde, Gonzalez’in adının kullanılarak yapılan aramalarda, bahsi geçen gazete ilanına ilişkin bağlantıların yer aldığı ve herkesçe ulaşılabilir olduğunu fark etmiştir. Neticede, Gonzalez, konuya yönelik hukuki süreci başlatarak, belirli sayfaların gazeteden kaldırılması talebinin yanı sıra, Google’ın arama motorunda kendisine ilişkin yer alan verilerin kaldırılması veya gizlenerek başkaları tarafından bulunabilirliğinin önlenmesini talep etmiştir.[2]
İlk talep, İspanya Veri Koruma Kurumu tarafından, gazetenin bilgiyi kanunlara uygun şekilde yayınlamış olduğu gerekçesi ile gazeteyle ilgili başvurunun reddedilmesiyle karara bağlanmıştır. Ancak, Google İspanya ve Google ile ilgili şikayetler ilgili kurum tarafından onaylamıştır. Google’ın bu karara itirazı üzerine, hukuki süreç devam etmiş ve son olarak, davaya bakan mahkeme, ABAD’a başvurarak Direktif ve Avrupa Birliği Temel Haklar Şartı’nın 8. maddesinin yorumlanması şeklinde bir ön karar istemiştir.
Bu kapsamda, ABAD, öncelikle kişisel veri işlenmesi kavramına ilişkin bir yargıda bulunarak, “İnternette üçüncü taraflarca yayınlanmış veya bulundurulan bilgiyi konumlandırma, otomatik olarak indeksleme, geçici olarak saklama ve son olarak belirli bir tercih sırasına göre İnternet kullanıcılarına sunulmasından oluşan arama motoru faaliyeti bu tür bilgi kişisel veri içerdiği durumda, Madde 2(b) anlamında ‘kişisel verinin işlenmesi’ olarak nitelendirilmelidir; ve ikinci olarak, arama motoru işletmecisi bu işlemeye ilişkin olarak Madde 2(d) anlamında ‘denetleyici’ olarak kabul edilmelidir” ifadesiyle, arama motorları sonuçlarında kişisel veriye yer verilmesinin kişisel veri işleme faaliyeti olduğunu ve bu faaliyete ilişkin olarak, arama motoru sahibi şirketin de veri sorumlusu olduğu tespitini yapmıştır.
Yukarıda yer verilen tespit ışığında ABAD, kişisel veri sahibinin, kişisel verilerinin arama motoru sonuçlarında herkesçe erişilebilecek şekilde yer verilmemesini isteme hususundaki menfaatinin kural olarak, arama motoru sahibi şirketin ekonomik menfaati ile genel kamunun bu verilere erişme menfaatinden daha üstün olduğu yönünde bir karar vermiştir.
Sonuçta, arama motoru sonuçlarında, her ne kadar zaten yayımlanmış olan kişisel verinin, yayımlandığı kaynağa ulaşılmasını sağlayacak şekilde yer verilmesi de bir kişisel veri işleme faaliyeti olarak kabul edilerek, veri sahibinin, unutulma hakkı kapsamında, veri sorumlusu olan arama motoru sahibi şirketten, arama sonuçlarında yer alan kişisel verilerinin hatalı olması durumunun yanında, aynı zamanda verilerin eksik, ilgisiz veya işlemenin amacıyla ölçüsüz olmasından, güncel olmamasından veya tarihi, istatistiksel veya bilimsel amaçlarla tutulmaları zorunlu olmadığı sürece gereğinden daha uzun süre ile tutulmaları durumlarında da kaldırılmasını talep etme hakkına sahip olmaktadır.[3]
Böylece, ilgili karar gereğince, daha sonra GVKT ile de düzenlendiği üzere, unutulma hakkı uyarınca, veri sahiplerinin, çevrimiçi kimlikleri üzerindeki denetim hakkı arama motorları sonuçları kapsamında gündeme gelmiştir.
Burada dikkat edilmesi gerek husus ise, incelenen kararda vurgulandığı üzere, veri sahiplerinin unutulma haklarının sınırsız olmadığı, bireyin ve talep konusu işlenen kişisel verinin sağladığı toplumsal menfaatin, kişinin unutulma hakkından ağır basmakta olduğu durumlarda, bu hak öne sürülemeyeceğidir.
2- Manni Kararı ve Unutulma Hakkı (ABAD’ın C‑398/15 Sayılı ve Mart 2017 Tarihli Manni Kararı)
İtalya’da bir inşaat şirketi sahibi olan Salvatore Manni, şirketinin yeni projesi kapsamında, satış gerçekleştiremediğini, bunun sebebinin, kendisinin tek ortağı ve tasfiye memuru olduğu eski şirketinin iflas sürecine dair kayıtlarının Lecce Ticaret Odası’na ait sicil kayıtlarında hâlen ulaşılabilir olduğu ve bu kayıtlara ulaşan bir pazar araştırması ve risk analizine yönelik bir şirketin söz konusu kayıtlardan kendisine ait kişisel verileri toplaması ve kamuoyuyla paylaşması ile kendisi hakkında olumsuz yönde oluşan şöhretin sebep olduğu gerekçesiyle, ilgili kayıtların silinmesini talep etmiştir.[4]
Konuya ilişkin devam eden hukuki süreçte, dava ABAD’ın önüne gelmiş ve uyuşmazlık unutulma hakkı kapsamında değerlendirilmiştir.
ABAD, yaptığı inceleme neticesinde, söz konusu davaya ilişkin olarak, temel olarak iki ana gerekçe kapsamında, Lecce Ticaret Odası tarafından gerçekleştirilen kişisel veri işleme faaliyetinde bir hukuka aykırılık bulunmadığı yönünde karar vermiştir. Birinci gerekçe, ABAD’a göre, söz konusu ticaret sicil kayıtlarında, yalnızca işlemeye konu faaliyetle ölçülü ve oldukça sınırlı kişisel veriye yer verilmektedir. ABAD’ın ikinci ve asıl önemli olan gerekçesi ise özetle şöyle ifade edilebilmektedir; eğer bir gerçek kişi, faaliyetleri hususunda, üçüncü kişiler bakımından tek güvenilir teminatı ticaret sicil kayıtları olan bir şirket üzerinden ticari faaliyetlerini sürdürmeyi tercih ediyorsa, sözü edilen sınırlı sayıdaki kişisel verisinin işlenmesini ve bunlara herkesçe erişilebilmesini göze almalıdır.[5] Bu gerekçelerden anlaşıldığı gibi, kararda vurgulandığı üzere üçüncü kişilerin çıkarının ortadan kalkmasına sebep olacak şekilde çok uzun bir süre geçmesi vb. istisnalar hariç tutulmak kaydıyla, davada, kişinin sosyal konumu, unutulma hakkının ihlali denetiminde dikkate alınmıştır.
Yukarıda bahsedilen Google kararında da ifade edildiği üzere, Manni kararında da unutulma hakkının sınırsız bir hak olmadığı üzerinde durulmuş ve kişisel verileri söz konusu kişinin, sosyal konumu ve kişisel verilerinin toplum açısından, kişinin unutulma hakkına nazaran daha yüksek bir menfaat taşıması hâlinde, toplumsal menfaatin unutulma hakkını kısıtlayabileceği söylenmiştir.
Öyleyse, incelenen iki karar da (Google ve Manni), bir menfaat dengesini işaret etmektedir. Söz konusu kararlar doğrultusunda, benzer durumlarda, unutulma hakkının sınırlarını belirlerken bu dengenin gözetilmesi ve ağır basan menfaate göre bir sonuca varılması yerinde olacaktır.
3- Nowak Kararı ve Kişisel Veri Kavramı (ABAD’ın C‑434/16 Sayılı 20 Aralık 2017 Tarihli Kararı)
Kişisel Verilerin Korunması Hukuku bakımından “kişisel veri” kavramının ne şekilde tanımlandığı ve yapılan tanım üzerinden hangi verilerin kişisel veri olarak değerlendirilip ilgili mevzuat kapsamında değerlendirilebileceği büyük önem arz etmektedir. Var olan mevzuat metinleri, bunların yorumlanması ve uygulaması göz önünde bulundurulduğunda, mevcut yönelimin, kişisel veri kavramının sınırlarının olabildiğince geniş tutulması ve gerçek bir kişiye ait her türlü verinin kişisel veri olarak nitelenmesi şeklinde bir anlayışın söz konusu olduğu söylenebilmektedir. Öyle ki, aşağıda bahsedilecek karar uyarınca, onlarca kişiye yönelik hazırlanan bir sınava tabi tutulan bir kimsenin, söz konusu sınavdaki sorulara yönelik vermiş olduğu yanıtları içeren bir cevap kâğıdı dahi ABAD tarafından kişisel veri olarak nitelendirilmiş ve bunun ilgili mevzuat kapsamında değerlendirilmesi gerektiği söylenmiştir.
Peter Nowak isimli şahsın, birkaç kez girmiş olduğu sınavda başarısız olması üzerine, sınavı yapan enstitüden, kendisine ait ellerinde bulunan tüm kişisel verileri talep etmesi; ancak enstitünün, kişisel veri içermediği gerekçesiyle sınav kağıtlarını, başvurana teslim etmemesi gerekçesiyle başlayan hukuki süreçte, konu ABAD’ın önüne gelmiştir.[6]
ABAD, söz konusu olaya ilişkin olarak, Direktif’te düzenlenen kişisel veri tanımında, kimliği belirlenebilen her türlü kişiye ait veriden bahsedildiği, sınav sorularına verilen yanıtlardan, sınava girenlerin anlayış, bilgi birikimi, muhakemeleri hakkında fikir sahibi olunabileceği, dahası verilen cevapların üzerine sınavı değerlendirenlerce yazılan yorumların da sınava giren adayların yetenekleri ve kapasiteleri hakkında bir değerlendirme içereceğinden bahisle, sınav kağıdında yazılan cevapların ve hatta sınavı değerlendiren kişinin yorumlarının da kişisel veri olarak nitelendirilmesi gerektiği ifade edilmiştir.[7]
Hatırlamak gerekirse; Direktif’in ilgili 2/(a) maddesinde kişisel veri “ iziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye (“veri öznesi”) ilişkin herhangi bir bilgi” şeklinde tanımlanırken, GVKT’de ise “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanımlara paralel olarak; KVKK 3/d maddesinde aynı kavrama yönelik “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” tanımına yer verilmiştir.
4- Schrems (Safe Harbour) Kararı ve Kişisel Verilerin Yurt Dışına Aktarılması (ABAD’ın C‑362/14 Sayılı ve 6 Ekim 2015 Tarihli Kararı)
Bilindiği üzere gerek AB düzenlemeleri gerekse ülkemiz mevzuatı, kişisel verilerin yurt dışına aktarılması şeklindeki kişisel veri işleme faaliyetini, yurt içi aktarımdan daha hassas nitelikte değerlendirmiş ve bu aktarım sürecine ek tedbirler öngörmektedir. Bu noktada ilk akla gelen yeterli korumanın bulunduğu ülke kavramı olmaktadır. Bu bölümde incelenecek karar da yeterli korumanın bulunduğu ülke niteliğine sahip olunması bakımından birtakım sınırlamalar getirmektedir.
Schrems kararına konu olayda, Maximillian Schrems, AB ile ABD arasında 2000 yılında imzalanan Safe Harbour Anlaşması kapsamında ABD’li şirketlerce (dava konusu olayda Facebook) , ayrıca yerel kişisel veri koruma otoritelerinin denetimine tabi tutulmadan ABD’ye aktarılan AB vatandaşlarına ait kişisel verilerin işlenmesi bakımından ABD’nin yeterli güvenliğe sahip ülke konumunda olmadığı ve bu nedenle söz konusu işleme faaliyetinin yerel otoritelerce denetlenmesi gerektiğinden bahisle hukuki süreç başlatılmıştır. Schrems’in iddialarına temel oluşturan en önemli dayanak olarak ise ABD Ulusal Güvenlik Kurumu'nun (NSA) dinleme ve izleme faaliyetlerine ilişkin eski NSA görevlisi Edward Snowden’ın bahsi geçen kişisel verilerin, NSA ile paylaşıldığını ortaya koyan ifşaatları gösterilmiştir.[8]
Önüne gelen uyuşmazlık hakkında ABAD, ABD’nin Avrupa standartlarında bir veri koruma mevzuatına sahip olmadığı gerekçesiyle ABD ile olan anlaşmanın geçersiz olduğunu, ayrıca böyle bir anlaşmanın geçerli olması hâlinde bile, bu tip bir anlaşmanın, vatandaşına ait bir kişisel verinin işlenmesine ilişkin olarak ilgili yerel otoritenin söz konusu işleme faaliyeti üzerindeki denetim yetkisini ortadan kaldırmayacağı ile bir kişisel verinin aktarılması sürecindeki hukuka aykırılığa yönelik yapılacak taleplerde her zaman ilgili otoritenin denetim yetkisinin bulunduğu şeklinde bir karar vermiştir.
Bu karar ile birlikte, yerel veri koruma otoritelerinin, ilgili bir anlaşma olsun ya da olmasın her koşulda, yurt dışına aktarım şeklindeki kişisel veri işleme faaliyetini denetleyebileceği hususu ortaya konmuştur.
Sonuç:
Yukarıda incelenen kararların her biri Kişisel Verilerin Korunması Hukukundaki temel kavramlar ile ilgili olup bunların uygulaması sırasında karşılaşılabilecek problemlerin üstesinden gelmek adına söz konusu kavramların yorumlanmasına yöneliktir. Görüldüğü üzere, her ne kadar unutulma hakkı, kişisel veri, kişisel verilerin aktarılması gibi kavramlar, bu hukuk dalıyla ilgilenen veya ilgilenmeyen birçok kimse tarafından çok sık karşılaşılan kavramlar da olsa, günümüzde bahsi geçen kavramların neleri ifade ettikleri, hangi faaliyetleri kapsadıkları, uygulamada ne şekilde yorumlanması gerektiği gibi hususlar, hâlen tartışılabilmektedir.
Bahsedilen kararlar, Direktif’in uygulanmasına yön verdikleri gibi aynı zamanda GVKT’nin hazırlanması sürecine de katkı sağlamışlardır. Bu nedenle, henüz bu alandaki pratiği çok az olan ülkemiz için de bu yazıda geçen kararların ve daha birçoğunun hem mevzuat çalışmaları hem Kişisel Verileri Koruma Kurulu faaliyetleri, hem de toplum bazında ülkemiz koşullarına uygun biçimde benimsenmesi son derece yararlı olacaktır.
[1] Edward L. Carter, “The Right To Be Forgotten” (Oxford Research Encyclopedia of Communication, Kasım 2016) <http://communication.oxfordre.com/view/10.1093/acrefore/9780190228613.001.0001/acrefore-9780190228613-e-189>
[2] Avrupa İnsan Hakları Mahkemesi, “Mahkeme İçtihadına İlişkin Bilgi Notu” (Mayıs 2014) Sayı 174, <https://www.echr.coe.int/Documents/CLIN_2014_05_174_TUR.pdf>
[3] Case C‑131/12 Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González, [2014] ECLI:EU:C:2014:317 <file:///C:/Users/User/Downloads/8095c-81cab-cf0bd-f94d5%20(2).pdf>
[4] Case C‑398/15 Camera di Commercio,Industria, Artigianato e Agricoltura di Lecce v Salvatore Manni, [2017] ECLI:EU:C:2017:197 <http://curia.europa.eu/juris/document/document.jsftext=&docid=188750&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=290077>
[5] Denis Kelleher, “Manni: Does the right to be forgotten apply to company registers?” (International Association of Privacy Professionals, Mart 2017) <https://iapp.org/news/a/manni-does-the-right-to-be-forgotten-apply-to-company-registers/>
[6] Case C‑434/16 Peter Nowak v Data Protection Commissioner, [2017] ECLI:EU:C:2017:994 <http://curia.europa.eu/juris/document/document.jsftext=&docid=198059&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=304631>
[7] Steve Peers, “Privacy and data protection in universities: recent ECJ and ECtHR rulings” (EU Law Analysis, Aralık 2017 <http://eulawanalysis.blogspot.com/2017/12/privacy-and-data-protection-in.html>
[8] Case C‑362/14 Maximillian Schrems v Data Protection Commissioner, [2015] ECLI:EU:C:2015:650
<http://curia.europa.eu/juris/document/document.jsf?docid=169195&doclang=EN>