Ercüment Erdem Av. Eda Uludere

AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması

Nisan 2017

Giriş

Son yıllarda, verilerin korunması birçok yargı alanı politikasının öne çıkan başlıklarından biri haline geldi. Bu akımın önde gelenlerinden biri olarak, Avrupa Birliği (“AB”) Avrupa Komisyonu, 2012 yılında, kullanıcıların kendi verileri üzerindeki kontrollerini arttırmak ve işletmelerin maliyetini azaltmak amacıyla veri koruması kurallarına kapsamlı düzenlemeler getirmek adına; aynı zamanda AB Veri Koruma Reformu olarak da bilinen bir öneri sundu. Böylelikle Komisyon, Dijital Tek Pazar Stratejisi’nin uygulanmasını kolaylaştırmayı amaçladı.

Dört yıllık hazırlık ve birçok tartışmanın ardından, AB Parlamentosu Genel Veri Koruması Tüzüğü’nü[1] (“GVKT”) 14 Nisan 2016’da onayladı. GVKT m. 99 uyarınca, GVKT, AB Resmi Gazetesi’nde yayımını takip eden yirminci günde yürürlüğe girecek, ancak 25 Mayıs 2018 tarihinden itibaren uygulanacak. GVKT ile birlikte, aynı zamanda yetkili makamlar tarafından ceza gerektiren suçların önlenmesi, soruşturulması, ortaya çıkarılması veya kovuşturulması için veya cezai yaptırımların infazı ve bu verilerin serbest dolaşımına ilişkin kişisel veri işlenmesinde gerçek kişilerin korunmasına ilişkin 2016/680[2] sayılı AB Direktifi de onaylandı. Direktif, Üye Devletler tarafından 6 Mayıs 2018 tarihine kadar milli hukuklarına aktarılmak üzere 5 Mayıs 2016 tarihinde yürürlüğe girdi.

GVKT, 95/46/EC sayılı Direktifi ilga eder. Bu Direktif ile Türk hukukundaki ilgili düzenlemeler karşılaştırmalı olarak daha önceki makalemde incelendi[3]. Bu makalede GVKT ile AB verilerin korunması kurallarına getirilen önemli değişiklikler ve bunların AB dışında uygulanabilirliği konuları ele alınacaktır.

GVKT ile Getirilen Önemli Değişiklikler

Öncelikle, GVKT, AB Temel Haklar Bildirgesi m. 8/1’de ve Avrupa Birliğinin İşleyişine Dair Antlaşma m. 16/1’de öngörülen kişisel verilerin korunması hakkını teşvik etmeyi amaçlar. Bu kapsamda, GVKT ile getirilen düzenlemelerin ortak zemini gerçek kişilerin kişisel verileri üzerinde daha fazla kontrol sahibi olmalarını sağlamaktır. Getirilen bütün düzenlemeleri içermemekle birlikte, GVKT ile benimsenen bazı önemli kavramlar ve düzenlemeler aşağıda özetlenmiştir:

  • Rıza. Kişisel verilerin işlenmesi için temel kıstas olan veri sahibinin rızasının koşulları, GVKT tarafından zorlaştırılır ve GVKT m. 6/1 altında düzenlenir. Ayrıca, GVKT’nın Gerekçesinde[4] belirtildiği üzere rıza, serbestçe verilmiş, belirli, bilgilendirilmiş olarak ve kesin olarak veri sahibinin kendisine ait kişisel verilerin işlenmesine dair onayını gösteren, elektronik olarak da yapılabilecek yazılı veya sözlü bildirim ile açık olumlu rıza olarak anlaşılır. Rıza koşulunun istisnaları GVKT m. 6’da yer alır.
  • Unutulma Hakkı. GVKT m. 17 uyarınca, veri sahibine, veri sorumlusundan kendisini ilgilendiren kişisel verilerinin aşırı bir gecikme olmaksızın silinmesini talep etme hakkı (unutulma hakkı) tanımlanır ve unutulma hakkı aşağıdaki hallerde uygulanır:
    1. kişisel verilerin elde edildiği veya işlendiği amaçlar için gerekliliğini yitirmesi;
    2. veri sahibinin rızasını geri alması ve artık verilerin işlenmesi için başka bir yasal nedenin olmaması;
    3. veri sahibinin verilerinin işlenmesine karşı çıkması ve işleme için üstün meşru bir nedenin olmaması;
    4. kişisel verilerin hukuka aykırı bir şekilde işlenmesi;
    5. veri sahibinin tabi olduğu AB veya Üye Devlet mevzuatına göre kişisel verilerin silinmesinin zorunlu olması;
    6. bilgi toplum hizmetlerine sunulmak üzere elde edilen kişisel veriler.

Unutulma hakkı Avrupa Adalet Divanı (“AAD”) tarafından GVKT’nin yürürlüğe girmesinden önce kabul edildi. 13 Mayıs 2014 tarihli Google v. İspanya kararında AAD unutulma hakkını şöyle açıklar: “(…) önceden hukuka uygun bir şekilde işlenen bir veri, zaman içerisinde, elde edilme veya işlenme amaçları kapsamında gerekliliğini yitirerek [95/46/EC] sayılı Direktif ile bağdaşmayacak hale gelebilir. Bu özellikle, verilerin yetersiz, ilgisiz olduğu veya artık ilgisini yitirdiği veya amaçlar ve geçen süre göz önüne alındığında aşırı olduğu durumlarda görülür. Bu nedenle, (…) bu sonuçların listesi ile ilgili bütün bilgi ve bağlantıların silinmesi zorunludur. [5]

  • Taşınabilirlik Hakkı. GVKT m. 18 veri sahibine; yapılandırılmış, yaygın biçimde kullanılan ve makine tarafından okunabilir bir şekilde sunulan ve kişinin kendisini ilgilendiren kişisel verilerin alınması ve bu verileri elinde bulunduran veri sorumlusu tarafından herhangi bir engelle karşılaşmaksızın başka bir veri sorumlusuna iletme hakkı olarak tanımlanan taşınabilirlik hakkı getirir[6].
  • Veri İhlallerini Bildirme. GVKT m. 33 kişisel verilerin güvenliğinin tehlikeye düştüğü durumlar için bir bildirim yükümlülüğü öngörür. Buna göre veri sorumlusu, aşırı bir gecikme olmaksızın ve makul olarak durumun öğrenilmesinden itibaren 72 saatten fazla olmamak kaydıyla, kişisel verilerin ihlalinin gerçek kişilerin hak ve hürriyetlerine karşı risk oluşturma ihtimalinin çok düşük olduğu haller hariç olmak kaydıyla, kişisel verilerin ihlalini denetleyici kuruluşa bildirmelidir. Ayrıca, veri işleyen de veri sorumlusuna herhangi bir kişisel veri ihlalini aşırı bir gecikme olmaksızın bildirmelidir.
  • Gizlilik Etki Değerlendirmesi (GED). GVKT m. 35 uyarınca, özellikle yeni teknolojilerin kullanıldığı ve işlemenin ortamı, kapsamı, içeriği ve amaçları da göz önünde bulundurulduğunda bunun gerçek kişilerin hak ve özgürlükleri bakımından yüksek risk oluşturma ihtimali varsa, veri sorumlusu, işlemeden önce, öngörülen işlemenin kişisel verilerin korunması üzerindeki etkisi hakkında bir değerlendirmede bulunmalıdır. Bununla ilgili m. 35(3)’te verilen örnekler aşağıdaki gibidir:
  1. profilleme dahil olmak üzere otomatik bilgi işlemeye dayalı şekilde gerçek kişilerin kişisel özelliklerinin sistematik ve kapsamlı bir incelemesi ve gerçek kişiyi ilgilendirecek hukuki sonuçlar yaratan veya benzer şekilde gerçek kişiyi önemli ölçüde etkileyecek kararlar alınması;
  2. büyük ölçüde özel veri kategorisinde verinin işlenmesi veya ceza mahkumiyetine veya suçlara ilişkin kişisel verilerin işlenmesi; veya
  3. halka açık bir yerin büyük ölçüde ve sistematik gözetlenmesi.
  • Veri Koruma Görevlisi (VKG). GVKT m. 37 uyarınca, veri sorumlusu ve veri işleyen aşağıdaki durumlarda bir veri koruma görevlisi atamalıdır:
  1. mahkemelerin yargılama faaliyetleri hariç bir kamu kurum veya kuruluşu tarafından yapılan işlemde;
  2. veri sorumlusu veya veri işleyenin temel faaliyet alanlarının; mahiyet, kapsam ve/veya amaçları gereği veri sahipleri üzerinde kapsamlı olarak rutin ve sistematik gözetleme yapılmasını gerektiren işlemeleri zorunlu kılmasında; veya
  3. veri sorumlusu veya veri işleyenin temel faaliyet alanlarının; özel veri kategorilerindeki verilerin kapsamlı olarak işlenmesi veya ceza mahkumiyetine veya suçlara ilişkin kişisel verilerin işlenmesini içermesi durumunda.
  • AB Dışına Veri Aktarma. GVKT m. 45(3), Komisyon’un üçüncü bir devlet, bölge veya üçüncü bir ülke içerisinde bir veya birden çok belirli sektör veya bir uluslararası örgütün yeterli derecede koruma sağladığına karar vermesine izin verir. Böyle bir karar yok ise, GVKT m. 46 uyarınca veri sorumlusu veya veri işleyen, kişisel verileri, ancak uygun güvenlik önlemlerini almak ve aktarılan yerde veri sahibi haklarının ve etkin kanun yollarının bulunması halinde üçüncü bir devlete veya uluslararası örgüte aktarabilir.
  • Tek Durak Noktası Mekanizması. Tek durak noktası mekanizması, veri sorumlusu veya veri işleyen farklı Üye Ülkelerde bulunsa dahi veya AB’deki tek bir Üye Ülkede yerleşik veri sorumlusu veya veri işleyenin faaliyetleri aslında birden çok Üye Ülkedeki veri sahibini etkiliyorsa, veri işleyen veya veri sorumlusunun “ana işletmesinin” bulunduğu Üye Ülkenin denetleyici kuruluşu, tüm AB genelindeki veri işleme faaliyetleri için denetleme faaliyetinde bulunur (öncü denetleyici kuruluş)[7]. Kamu kurumları veya özel kuruluşlar tarafından kamu yararı için yürütülen işlemeler için öncü denetleyici kuruluş ve tek durak mekanizması kuralları uygulanmaz[8].
  • İdari Para Cezası ve Kanun Yolları. GVKT m. 83 veri sorumluları ve veri işleyenlere azami miktarı 20 milyon Euro ile tüzel kişiler için önceki mali yılın yıllık dünya cirosunun %4’ü arasında miktar olarak daha yüksek olanı şeklinde belirlenen idari para cezalarını düzenler. Ayrıca, GVKT m. 82 maddi veya manevi zarara uğrayan herkese tazminat talep etme hakkı tanır.

GVKT’nın Yer Bakımından Uygulanması

GVKT ile gelen en büyük ve en önemli değişiklik aşağıdaki GVKT m. 3 altında düzenlenen uygulama alanıdır, maddeye göre:

  1. Bu Tüzük, veri işleme Birlik içerisinde yapılsın ya da yapılmasın, Birlik içerisinde yerleşik veri sorumlusu veya veri işleyenin işletmesinin faaliyetleri kapsamında işlenen kişisel veriler için uygulanır.
  2. Bu Tüzük Birlik içerisinde yer alan veri sahiplerinin kişisel verilerinin Birlik içerisinde yerleşik olmayan veri sorumlusu veya veri işleyenler tarafından işlenmesinde, işleme faaliyetinin:
    1. veri sahibinin ödeme yapmasının gerekli olup olmadığına bakılmaksızın, Birlik içerisindeki veri sahiplerine mal veya hizmet sunulmasıyla; veya
    2. Davranışların Birlik içerisinde gerçekleştiği ölçüde, veri sahiplerinin davranışlarının gözetlenmesiyle,

ilgili olduğu durumlarda uygulanır.

  1. Bu Tüzük Birlik içerisinde yerleşik olmayan bir veri sorumlusu tarafından gerçekleştirilen veri işlemelerde, uluslararası kamu hukuku gereğince Üye Devlet hukukunun uygulandığı hallerde uygulanır.

Özetle, GVKT (i) işlemenin AB içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, veri sorumlusu ve işleyenlerin AB’de yerleşik olduğu durumda; (ii) veri sorumluları veya işleyenlerin dünyanın herhangi bir yerinde yer aldıkları, ancak mal veya hizmet sunumu faaliyetleri için veya AB içerisindeki davranışların gözetlenmesi amacıyla AB’deki veri sahiplerinin kişisel verilerinin işlenmesinde; (iii) Üye Ülkenin milli hukukunun somut olaya uygulanabildiği durumlarda uygulanır. Sonuç olarak, AB içerisinde müşteri tabanı bulunan tüm mal ve hizmet sağlayıcıları veya çevrimiçi davranışsal reklamcılık (online behavioral advertising) mekanizmasından yararlanan internet siteleri veya mobil uygulamalar GVKT’ye tabidir.

Sonuç

GVKT, AB içerisindeki veri sahiplerine kişisel verileri üzerinde daha fazla kontrol tanıyarak kişisel hak ve özgürlüklerini garanti altına alan birçok düzenleme getirir. GVKT’nin yer bakımından uygulanmasına ilişkin esaslar düşünüldüğünde, dünya çapında GVKT’ye tabi olan birçok şirketin uygulamalarının bu detaylı düzenlemelere uyumlu hale gelmesi bir zorunluluktur.

[1] Tam metin için lütfen bakınız:<http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC >

[2] Tam metin için, lütfen bakınız: < http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0089.01.ENG&toc=OJ:L:2016:119:TOC>

[3] Uludere, Eda. Türkiye ve Avrupa’da Kişisel Verilerin Korunması, Erdem&Erdem Hukuk Postası, Aralık 2015.

[4] Lütfen bakınız, GVKT Gerekçesi, § 32.

[5] C‑131/12 sayılı Dava, Google v. İspanya, Genel Kurul Kararı, § 93-94.

[6] Díaz Díaz, Efrén. The new European Union General Regulation on Data Protection and the Legal Consequences for Institutions, Church, Communication and Culture, 2016 1:1, s. 224.

[7] Gilbert, Francoise. EU General Data Protection Regulation: What Impact on Businesses Established Outside the European Union, Journal of Internet Law, Mayıs 2016, s. 5.

[8] Lütfen bakınız, GVKT Gerekçesi, § 128.