İzmir avukat Kalemci Hukuk Bürosu Almanya İdare Mahkemesinin kararını yayımlıyor.
SCHWERİN (ALMANYA) İDARE MAHKEMESİ’NİN 1 A 1343/19 SN SAYILI KARARI
Schwerin İdare Mahkemesi, bir huzurevi inşaatı için komşu binada yapılan incelemeye istinaden, binanın mevcut yapı durumu hakkında, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün(GVKT) 4. Maddesi gereğince, düzenlenen özel bir bilirkişi raporunun kişisel veri olduğuna; bu raporun bir kopyasının, bunu talep eden komşu binanın malikine verilmesi gerektiğine karar verdi.
Somut olayda bir müteahhit, huzurevi inşa etmek istemektedir. Bu nedenle, komşu binada hasar olup olmadığının tespiti ve bunun analiz edilmesi amacıyla özel bir bilirkişi görevlendirmiştir. Bina, veri süjesi olan kişiye aittir. Veri süjesi, müteahhitten, bilirkişinin hazırladığı raporun, kendisinin ismini içermeyen ama adresinin bulunduğu bir suretini vermesini talep etmiş, bu talep müteahhit tarafından reddedilmiştir.
Bunun üzerine bina sahibi olan veri süjesi, Veri Koruma Otoritesi’ne (DPA) başvurmuş, DPA da GVTK’nin 13. Maddesine göre bilirkişi raporunun bir kopyasının veri süjesine verilmesi gerektiğine karar vermiştir. İncelenecek davada, DPA’nın bu kararı üzerine, müteahhit tarafından, veri süjesi ve DPA aleyhine açılan dava hakkındadır.
Davacı müteahhit, bilirkişi raporunun bir kopyasının veri süjesine verilmesine ilişkin verilen DPA kararının kaldırılmasını istemektedir.
Davacı, hazırlanan bilirkişi raporunda bir isim yer almadığından, sadece binanın durumuna ilişkin bilgi olduğundan ve söz konusu kişiden sadece mülk sahibi olarak bahsedildiğinden, raporda kişisel veri bulunmadığını iddia etmiştir. Davacı, ‘‘Davalı veri süjesi, açacağı tazminat davasında elini güçlendirmek için bu raporu talep etmektedir. Bu durum hakkın kötüye kullanılması anlamına gelmektedir. Böyle bir risk olduğunda GVKT’nin 15. Maddesinde yer alan suret alma hakkı kullanılamaz.‘’ şeklinde bir iddiada bulunmuştur. Bununla birlikte, veri süjesi yapılan inceleme sırasında hazır bulunduğu için, rapordaki bilgilere zaten haiz olduğunu vurgulamıştır. Bu nedenle GVKT’nin 62 numaralı gerekçesindeki bilgi verme yükümlülüğü uygulanamayacağını savunmuş ve DPA kararının iptal edilmesine karar verilmesini talep etmiştir.
Veri süjesi ise, rapordaki bilgilerin açıkça belirlenebilecek bir kişiyle eşleştirilecek bir binaya ilişkin bilgiler olduğundan nesneye ilişkin veri değil, kişisel veri niteliğinde olduğunui herhangi bir hakkın kötüye kullanılması durumunun olmadığını zira gizliliğinin korunması noktasında kendi menfaati olduğunu, raporun düzenlenmesine onay verdiğini gösterir delil sunulması gerektiğini ileri sürmüş, DPA’nın kararının doğru olduğundan bahisle, davanın reddedilmesine karar verilmesini istemiştir.
Mahkeme’ye göre bilirkişi raporu kişisel veridir. Kişisel veri ile olgusal veri arasında bir ayrım bulunmaktadır. Olgusal veri, verilerin münhasıran bir şeye ilişkin olduğu durumlarda söz konusudur. Kişisel veri ise belirli düzeyde kişilik unsurlarının, bunların farklı düzeyi veya söz konusu nesnenin belirsizliği nedeniyle bir şey hakkındaki bilgiler, gerçek kişiye atıfta bulunduğu durumda söz konusudur. Kişisel veri, GVKT m. 4/1’e göre ‘tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir’. Veri süjesi, GVKT m. 4/1 kapsamında kimliği belirli veya belirlenebilir bir gerçek kişidir. Veri süjesinin kim olduğu bilirkişi raporunda yer alan adres bilgilerinden tereddütsüz ve şüphesiz şekilde tespit edilmesi hem kendisi hem de üçüncü şahıslar açısından mümkündür. Bu nedenle bu bilirkişi raporu da kişisel veridir.
Bunun yanında davacının bilgi verme yükümlülüğü bulunsa da bu yükümlülük veri süjesi halihazırda o bilgiye sahipse uygulanmamaktadır. Veri süjesinin bahse konu binanın sahibi olarak binanın durumunu istediği zaman inceleyebilir. Ancak bu imkan incelenen konuyla ilgili değildir. Bilirkişi raporundaki fotoğrafların özetleri ve tasvirler, bağımsız bir veri işleme faaliyetidir. Veri süjesi bilirkişi görüşü olmaksızın bu somut bilgiye ulaşamayacaktır. Dolayısıyla veri süjesi incelenen mülkün sahibi olduğundan bilirkişi raporuna yansıyan durumu bizzat inceleyebilir.
GVKT’nin 15/4 hükmü uyarınca veri süjesinin kişisel verilerinden bir suret alması, diğerlerinin hak ve özgürlüklerini olumsuz şekilde etkilememelidir. Bu madde dikkate alındığında mahkeme bilirkişi telif hakkının GVKT md. 15/4 uyarınca erişim hakkının kullanılmasına engel teşkil etmeyeceğine ve bilirkişin telif hakkı ile çatışan bir durum olmadığına karar vermiştir. Bunun sebebi öncelikle bilirkişi görüşünün telif hakkı kapsamına girip girmediği konusundaki tereddüttür. Diğer bir sebebi de telif koruması kapsamında sayılsa bile taraflar arasında telif çatışması olmadığıdır.
Hakkın kötüye kullanılması durumunun incelenmesinde ise veri süjesi GVKT’den doğan haklarını kaybetmemiştir. Mahkeme bir taraftan hakkın kaybedilip kaybedilmeyeceği, diğer taraftan ise bir temel hakkın geç kullanılmasının bu haktan vazgeçildiği sonucunu doğurup doğurmayacağı ve bu durumun kötü niyet olarak nitelendirilip nitelendirilmeyeceği hususunda bir değerlendirme yapmıştır. Somut olayda, veri süjesinin mülkünün incelenmesine rıza göstermesi, GVKT’den doğan haklarından feragat ettiğini örtülü olarak beyan ettiği şeklinde yorumlanamaz.
Sonuç olarak veri süjesinin bilgi talebi sağlam bir temele dayalı olduğu, aşırıya kaçmadığı ve sadece bir kez yapıldığı, ayrıca bilirkişi raporunun her sayfası veri süjesinin kişisel verisini içerdiğinden, hak ihlali teşkil etmemektedir. Bu bağlamda, 25 Haziran 2019’da alınan karar, hukuka aykırı değildir.
FRANSIZ VERİ KORUMA KURUMU’NUN SAN-2021-020 SAYILI 29.12.2021 TARİHLİ SLİMPAY KARARI
Slimpay, tüzel kişi müşterilerine hizmet veren abonelik hizmetlerinin ve sürekli ödemelerinin yönetilmesine ilişkin Avrupa Tek Ödeme Alanı’nda (SEPA) ödeme hizmetleri sunan yetkili bir ödeme kuruluşudur. Müşterilerine sunduğu hizmetler çerçevesinde, müşterilerinin borçlusu olan gerçek kişilere ilişkin kişisel verileri işlemektedir.
Slimpay, dolandırıcılıkla mücadele için 2015 yılında, yürüttüğü bir şirket içi araştırma projesi ile borçlulara ilişkin kişisel verileri test etmek amacıyla bir sunucuya aktarmış, bu veriler proje Temmuz 2016 yılında sona erdikten sonra da özel bir güvenlik prosedürüne tabi olmayan ve internette ücretsiz olarak kolayca erişilebilen bu sunucuda saklanmaya devam edilmiştir.
Durumu fark eden müşterilerden biri bunu şirkete 14 Şubat 2020’de bildirmiş ve ilgili sunucuya erişim kesilmiştir. İhlal, 17 Şubat 2020’de Slimpay tarafından Fransız veri koruma otoritesi CNIL’e bildirilmiştir.
İhlalden yaklaşık 12 milyon kişinin etkilendiği, ihlal konusu verilerin bu kişilere ait kimlik bilgilerini, iletişim bilgilerini ve banka bilgilerini içerdiği tespit edilmiştir.
Öncelikle Slimpay’ın hukuki statüsünün belirlenmesine ilişkin olarak Avrupa Genel Veri Koruma Tüzüğü’nün (GVKT) 28. Maddesi bağlamında CNIL Slimpay’in veri işleyen sıfatına sahip olduğunu belirtmiştir. Bununla birlikte, Slimpay’ın yürüttüğü proje kapsamında işlenen veriler bakımından, söz konusu işlemelerin amaç ve araçları Slimpay tarafından belirlendiği için bu faaliyetler yönünden Slimpay aynı zamanda veri sorumlusu sıfatına da haiz olduğu belirtilmiştir.
Slimpay, müşterilerine sunduğu hizmetler bakımından veri işleyen sıfatıyla hareket etse de bu yükümlülük GVKT 28 uyarınca, veri işleyenin veri sorumlusu adına gerçekleştirdiği işleme faaliyetlerinde, başka bir veri işleyene başvurduğu durumlarda da uygulanmaktadır. Bu kapsamda Slimpay’ın müşterileri adına yürüttüğü işleme faaliyetleri dolayısıyla hizmet aldığı veri işleyenler ile uygun idari ve teknik tedbirlerin uygulanması ve gerekli güvencelerin sağlanması amacıyla bağlayışı bir sözleşme veya hukuki tasarruf düzenlenmesi gerekmektedir. CNIL, bazı alt-veri işleyenler ile hiçbir sözleşme veya hukuki düzenleme yapılmadığını tespit etmiştir. Sözleşme veya düzenleme yapılan durumlarda ise 28. Maddede bulunan ve sözleşmede yer alması gereken zorunlu bilgilerden veri türü ile veri sorumlusunun hak ve yükümlülüklerine ilişkin bilgileri veya hiçbir bilgiyi içermemektedir. Bu kapsamda CNIL, GVKT’nin 28. Maddenin 3. ve 4. Fıkralarını ihlal edildiği sonucuna varmıştır.
Uygun güvenlik tedbirlerinin uygulanmasına ilişkin 32. Madde bakımından, CNIL, kişisel verilerin aktarıldığı sunucu için yeterli güvenlik tedbirlerinin alınmadığını ve sunucuya, port tarama programları kullanılarak tanımlanabilecek bir IP adresi vasıtasıyla kolayca erişilebildiğini tespit etmiştir.
Ayrıca CNIL, sunucuda gerçekleştirilen işlemlerin takibine ve güvenliğine ilişkin etkinliklerin izlenmesini sağlayacak herhangi bir log kaydı tutulmadığına ve verilerin kolaylıkla okunabildiği bir formatta saklandığına değinmiştir.
Slimpay’ın söz konusu ihlalin bir Slimpay çalışanının ihmali sebebiyle meydana geldiği ve şirketin herhangi bir sorumluluğu bulunmadığına yönelik iddialarına karşı ise CNIL, söz konusu güvenlik açığının esasen münferit bir insanın hatasından değil, şirketin gerekli güvenlik tedbirlerini almaktaki yetersizliğinden kaynaklandığını ve güvenlik açığı Slimpay çalışanının hatasından kaynaklansaydı dahi, çalışanın şirketin hesabına hareket ettiği ve talimatları ile bağlı olduğu göz önünde bulundurulduğunda Slimpay’in sorumluluğunu reddedemeyeceğini ifade etmiştir.
Bunun yanında Slimpay söz konusu kişisel verilerin muhtemelen kötüye kullanılmamış olduğunu ileri sürmüş ise de CNIL, bir güvenlik zafiyetinden söz edebilmek için veri süjeleri yönünden bir zarar ortaya çıkmasına gerek olmadığı için 32. Madde ihlal edilmiştir.
Veri süjelerinin ihlal hakkında bilgilendirilmesine ilişkin olarak, Slimpay, söz konusu kişisel verilerin müşterilere sunulan hizmetler kapsamında toplandığını, bu faaliyetler bakımından veri işleyen sıfatıyla hareket ettiğini ve bu sebeple söz konusu ihlalin veri süjelerine bildirilmesinden, veri sorumlusu sıfatıyla hareket eden Slimpay müşterilerinin sorumlu olduğunu iddia etmiştir. CNIL, Slimpay’ın bu argümanı kendi sorumluluğundan kaçmak için ileri sürdüğünü, Slimpay’ın yükümlülüklerine aykırı davrandığını ve 34. Madde kapsamında sorumlu olduğunu belirtmiştir.
Slimpay’ın veri süjelerinin tamamının bilgilendirilmesinin orantısız bir çaba gerektireceği yönündeki iddialarına karşı ise CNIL, ihlalden yaklaşık 12 milyon veri süjesinin etkilendiğini, bunların 6.250.310’unun e-posta adresi bilgisinin bulunduğunu, Slimpay’in bu kişileri orantısız bir çaba içerisine girmeksizin bilgilendirilebileceğini değerlendirmiştir.
Slimpay benzer şekilde, internet sitesinde yayımlayacağı bir kamuoyu bildiriminin, birçok veri süjesinin, Slimpay müşterilerinin Slimpay hizmetlerinden yararlanıp yararlanmadığını tespit etmesinin mümkün olmadığı gerekçesi ile işlevsel olmayacağını iddia etmiş, CNIL, Slimpay’ın internet sitesinde bazı müşterilerine ilişkin bilgilerin yer aldığını, müşterilerin borçlusu durumundaki veri süjelerinin, kişisel verilerinin Slimpay tarafından işlenmiş olması ihtimali hakkında bilgi sahibi olabileceğini ve bu itibarla verilerinin işlenip işlenmediğini öğrenmek üzere Slimpay’e başvuruda bulunabileceğini değerlendirmiştir.
CNIL, Slimpay tarafından sosyal medya, gazete, haber siteleri gibi farklı mecralarda yayınlanabilecek bildirimlerin de çok daha geniş bir kitleye ulaşılabileceğine kanaat getirmiştir. Bu açıklamalar ile, CNIL, Slimpay’ın 34. Maddeyi ihlal ettiğine kanaat getirmiştir.
Sonuç olarak bu değerlendirmeler çerçevesinde Slimpay’e 180.000 Euro idari para cezası verilmesine karar verilmiştir.
AVUSTURYA TEMYİZ MAHKEMESİ’NİN 6OB56/21K SAYILI, 23.06.2021 TARİHLİ SCHREMS/FACEBOOK KARARININ ÖZETİ
Davada davacı olarak Maximillian Schrems ve davalı olarak Facebook İrlanda şirketidir. Davacı Facebook ile ilgili mahkemeye 12 başvuruda bulunmuş ve bu başvurulardan 6 tanesi karara bağlanmıştır.
Davacının yaptığı 12 adet başvuru:
1. Davacı, Facebook’ta kendi profilindeki faaliyetleri bakımından veri sorumlusudur. Facebook bu faaliyetler kapsamında, veri işleyen olarak nitelendirilmelidir.
2. Davacı, aynı zamanda Facebook’taki sayfa faaliyetleri bakımından da veri sorumlusudur ve Facebook burada yine veri işleyen konumundadır.
3. Facebook, söz konusu verileri davacının talimatı olmadan veya bu talimatlara aykırı olarak işlemiştir.
4. Facebook’un davalının paylaştığı verilerle ilgili olarak davalıyla kendisinin veri sorumlusu olduğu yazılı bir sözleşme yapmaması hukuka aykırılık teşkil etmektedir.
5. Davalının veri sorumlusu olarak Facebook’un gizlilik politikalarına ve çerez kullanımına ilişkin olarak verdiği rıza, GVKT md. 6’ya uygun değildir.
6. Facebook’un, reklam amaçlı verilerin analizi için davacının kişisel verilerini işlemesi hukuka aykırıdır.
7. Facebook’un, davacıya ait olan ve üçüncü şahıslardan aldığı kişisel verilerinin, davalının kendi amaçları için işlenmesine davacının rızasının bulunmaması hukuka aykırıdır.
8. Facebook, gelecekte üçüncü şahıs sitelerinin ziyareti veya kullanımı ile ilgili olarak (özellikle “social plug-ins” ve benzeri yollarla) davacının verilerini kullanmaktan kaçınmakla yükümlü tutulmalıdır.
9. Davalı, davacının rızası olmadıkça, kendisinin üçüncü şahıslardan aldığı kişisel verileri kendi amaçları için gelecekte işlemekten menedilmelidir.
10. Facebook, davacının verilerini gelecekte ‘Grafik Arama’ uygulaması bağlamında ve benzer tekniklerle kullanmaktan, davacının rızası olmadıkça kaçınmalıdır.
11. Davalı, kendisi tarafından işlenen tüm kişisel verilerle ilgili olarak Facebook tarafından işlenen kişisel verilerinin ne olduğu ve bunların ne şekilde işlendiği ve kimlerle paylaşıldığı konusunda yeteri kadar bilgi sahibi olmadığını, bu nedenle 14 gün içinde yazılı ve ücretsiz olarak davacıya tam ve eksiksiz bilgi vermelidir.
12. Davalı, yukarıda sayılan sebeplerden ötürü tazminat olarak on dört gün içinde davacıya 500,00 Euro ödemelidir.
Şeklindedir.
Davacı Facebook’ta oluşturduğu profil bakımından hem veri sorumlusu hem de veri süjesi olduğunu Facebook ‘un ise sadece veri işleyen konumunda olduğunu ileri sürmektedir.
Davacı iddiasında veri işleyen konumunda olan Facebook’un veri sorumlusu olan profil sahibinin rızası ve talimatları dışında veri işlediğini iddia etmektedir. Ayrıca Facebook’taki verilerini silmesine rağmen halen bu platformun arama motoru üzerinden kendisine ait verilere ulaşabilmekte ve bu verilerin rızası dışında üçüncü şahıslara aktarılmakta olduğunu öne sürmektedir.
Facebook veri işlemenim Genel Veri Koruma Tüzüğü hükümlerine uygun biçimde gerçekleştirildiğini ve veri süjesinin açık rıza değil, sözleşmeden kaynaklı olarak kişisel verileri işlediğini belirtmiştir. Ayrıca davacının iddialarıyla ilgili olarak veri sorumlusu veri işleyen iddiasını kabul etmemiş olup GVKT ‘nin 2. Maddesi uyarınca “kişisel veya hane içi faaliyet esnasında bir gerçek kişi tarafından” gerçekleştirilen faaliyetler kapsamında olduğunu ve bu nedenle GVKT ‘nin kapsamının dışında kaldığını savunmaktadır.
Mahkeme davacının ilk dört talebini reddetmiş ve gerekçe olarak her Facebook kullanıcısının veri sorumlusu olmadığını, ancak üçüncü kişilere ait veriler bakımından sorumluluğunun söz konusu olabileceğini ve bu durumda ise ortak veri sorumlusu sıfatı olabileceğini belirtmiştir. Her iki durumda da Facebook veri sorumlusu ya da ortak veri sorumlusu olmaya devam edecektir. Mahkeme ayrıca, davalının bilgi verme yükümlülüğünü ihlal ettiğini ve bu ihlale bağlı olarak davacının manevi tazminat talebinin haklı olduğuna karar vermiştir. İstinaf mahkemesi ilk derece mahkemesinin kararını onamış olup davacı ve davalı ilk derece ve istinaf mahkemelerinin kararlarına karşı temyiz yoluna başvurmuştur.
Temyiz mahkemesi tarafından verilen kararda, Facebook’ un birçok işlevinin arkadaşlık ağı üzerinden sağlanmakta olduğunu ve kullanıcıların sosyal ortamları ve bu ağ içerisindeki iletişimleri kayıt altına alınmakta olduğunu belirtmiştir. Ayrıca Facebook aynı ağa kayıtlı birçok kullanıcının verilerini ilişkilendirerek verileri değerlendirmekte ve bunu “sosyal grafik” olarak adlandırmaktadır. Yani Facebook tarafından kullanıcıların profilleri ve tercihleri araştırılırken sadece kullanıcı tarafından sağlanan bilgiler ele alınmamaktadır. Kullanıcıların Facebook üzerinden paylaşmış olduğu verilerin yanında çerez ve eklentiler gibi teknolojiler aracılığıyla diğer platformlardaki veriler de analiz edilerek kullanılmaktadır.
Temyiz Mahkemesinin Kararı
Mahkeme, Facebook ‘un GVKT 2. Maddesi uyarınca davacının faaliyetlerinin hane içinde kaldığını belirtmiştir. Temyiz mahkemesi, bu noktada sosyal medya üzerinden yapılan paylaşımların yalnızca belli bir gruba hitap etmesi ve bu paylaşımların kamuya açık hale getirilemeyecek olması durumunda, GVKT’nin bu istisna kapsamında uygulanamayacağı görüşünü benimsemekte ve bu istisnayı dar yorumlamaktadır. Mahkemeye göre davacının Facebook profilinin gizli olduğunu ve platformda arkadaşı olan kişilere, kendisinin paylaştığı içerikleri paylaşma izni vermediği göz önüne alındığında dava konusu olayın istinaya ilişkin kriterleri karşılamış olması sebebi ile GVKT kapsamında değerlendirilmemiştir.
Kararda, veri sorumlusu ve veri işleyen ayrımı bakımından Avrupa Birliği Adalet Divanı (“ABAD”) içtihatlarına da yer verilmiştir. ABAD içtihatlarına göre, bir kişinin yalnızca herhangi bir sosyal medya platformunu kullanması onu veri işleme konusunda doğrudan veri sorumlusu yapmaz. Ancak, bir hayran sayfası yöneticisi ele alındığında, bu yönetici sayfaya ilişkin verilerin nasıl ve ne amaçla kullanılacağı konusunda görece söz sahibi olduğu için bu kişinin ortak veri sorumlusu olması gündeme gelebilir şeklinde belirtmiştir. Temyiz mahkemesi bu doğrultuda, ilk derece mahkemelerinin vermiş olduğu kararları onamış ve Facebook platformunda sadece kullanıcı olan davacının veri sorumlusu olmadığına hükmetmiştir.
Erişim sağlama yükümlülüğüne ilişkin başvuruyla ilgili olarak ise mahkeme davacının verilerinin hangi alıcılarla ya da alıcı gruplarıyla paylaşıldığı hakkında davacıya bilgi verilmemesini GVKT md. 15 ihlali olarak değerlendirmiştir.
Davacı, 2011, 2012, 2013, 2015 ve 2019 yıllarında Facebook’tan bilgi edinme talebinde bulunmuştur. Yazışmaların ardından 18 sayfalık bir PDF dosyası ve 1222 sayfalık bir PDF içeren bir CD davacıya verilmiştir. Sonraki taleplerde ise, bilgilendirme amacıyla oluşturulmuş araçlara yönlendirmeler yapılmıştır. Facebook başlangıçta yaptığı bilgilendirmeleri başvuru yapan veri süjelerini ilgilendirdiğini düşündüğü kişisel verilerle sınırlı tutmuştur. Ancak mahkeme bilgi verme yükümlülüğünün, Facebook’un değerlendirmesine bağlı olamayacağını ve ilgili kişinin işlenen tüm kişisel verileriyle ilgili bilgilendirme yapılması gerektiğini belirtmiştir.
Facebook tarafından kullanıcılara tüm işleme amaçlarının açıklanmaması, mahkeme tarafından bir başka ihlal olarak görülmüştür. Facebook üçüncü kişilerin haklarını ihlal edebileceği gerekçesiyle tüm kişisel veri işleme amaçlarını açıklamadığını ileri sürse de mahkeme bu savunmayı geçerli görmemiştir.
Facebook’un itiraz ettiği hususlardan birisi ise, talep edilen bilgilerin kapsamının çok geniş olmasıdır. Ancak somut olayda mahkeme bu durumu mevcut verilerle ilgili kabul etmemiş ve davacı tarafından 9 yıl içinde 5 kez bilgi talebinde bulunulmasının aşırı olarak değerlendirilemeyeceğini belirtmiştir.
Mahkeme kişinin psikolojisi bozulmasa da “büyük ölçüde rahatsız” olmasının manevi zarar doğduğu varsayımı için yeterli olduğunu belirtmiştir ve davacının psikolojik olarak zarar görmemiş olsa da büyük ölçüde rahatsızlık duyduğunu tespit eden ilk derece mahkemesi kararına atıfta bulunarak yaşanan ihlalden kaynaklanan duygusal bozulmaların da tazminat talebine yol açabileceğini belirtmiştir.
Nihai olarak Mahkeme, davacının 11 ve 12 nolu başvurularını kabul etmiş, diğer başvurularını ise reddetmiştir. Mahkeme erişim hakkının ihlali nedeniyle GVKT 82 (1) uyarınca davalı tarafından 500 Euro tutarında manevi tazminat ödenmesi kararını onamıştır.
Kişisel Verileri Koruma Kurulunun 23/12/2021 Tarihli ve 2021/1304 Sayılı Kararı
Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında kanunun 15. Maddesi çerçevesinde Kişisel Verileri Koruma Kurulu tarafından yürütülen incelemeler sonucunda araç kiralama sektöründe ‘’ kara liste’’ yazılımlarına başvurulduğu anlaşılmıştır.
Kara liste uygulaması ile, araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına ‘’ kara liste’’ özelliği de içeren araç kiralama yazılımları sundukları ve araç kiralama firmaları tarafından bu yazımlar ile kendi müşterisi olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; bu verilerde araçlarda meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını içeren ‘’ kara liste’’ bilgileri yer almaktadır.
Bu bilgiler araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği ve bahse konu yazılımın diğer araç kiralama firmalarında da açılmasına olanak veren sistem olarak tasarlanmıştır.
Bu süreçte araç kiralama firmalarından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç firmalarına kara listeye ilişkin veri akışı sağlayan bir sistem oluşturulmuş ve araç kiralayan kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılması sağlanmıştır.
Araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı tutulmuş olup yazılım şirketleri tarafından araç kiralama firmalarında ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için admin yetkisine sahip kullanıcılar atamıştır.
Araç kiralayan ve araç kiralama firması arasındaki sözleşme incelendiğinde, kiralama sürecinde firmaya sağlanan verilerin firma ile yaşadığı olumlu/olumsuz ilişkinin. Araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.
Kanunun 5. Maddesinin 2. Fıkrasında ‘’ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’’ düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun menfaat dengesinin ölçütü değerlendirilmelidir. Somut olayda verilerin işletme faaliyetleri ile sınırlı olmak kaydıyla kara liste yapılmasının ayrıca değerlendirilmek koşulu ile uygulanabilir olabileceği; ancak işlene kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanmayacağı değerlendirilmektedir.
Araç kiralama firmasının işlediği kişisel verileri yazılım aracılığı ile bilinmeyen sayıda araç kiralama firması ile paylaşması ‘’ hukuka ve dürüstlük kuralına uygun olma’’ ‘’ amaçla bağlantılı sınırlı ve ölçülü olma’’ ilkelerine aykırılık teşkil etmektedir.
İhbara konu olan kara liste uygulamalarında araç kiralama firmaları müşterilerinden verileri ilk elden toplayan veri sorumlularıdır. Ancak yazılıma aktarılan verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabilmesi ve veri üzerinde hakimiyetleri olduğu dikkate alındığında kara liste kaydını kendi menfaatleri doğrultusunda kullanılan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir.
Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarının belirlenmesinde veri işleme süreçlerinin incelenmesi, kusurun ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekecektir. Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı, hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilmelidir.
Kara liste uygulamasının doğası gereği, kişi hakkında bu olumsuz sonuca ulaşılmasını bu olumsuz sonucun kara listeye işlenmesini ve kişi hakkında bu olumsuz sonuca göre karar verilmesini içereceği için olumsuz bir sonuç ortaya çıkacaktır. Ancak araç kiralayan ilgili kişinin kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğu bilebilecek durumda olmaması nedeniyle Kanunun 11. Maddesinden kaynaklanan haklarını bu veri sorumluları nezdinde ileri sürülmesi güçleşecektir.
Bu değerlendirmeler sonucunda;
- Kanundaki 4. Madde gereğince düzenlenen genel ilkelere, kanunun 5. Maddesinde düzenlenen işleme şartlarına ve Kanun’un 8. Maddesine düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirilecektir.
- Araç kiralama sektöründe kişisel veri işleme süreçlerinin Kanuna uygun olmasını teminen Kanun2un 12. Maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine karar verilmiştir.
FRANSIZ VERİ KORUMA KURUMU’NUN SAN-2021-023 SAYILI 31.12.2021 TARİHLİ GOOGLE LLC VE GOOGLE İRLANDA KARARI
Google LLC, Google arama motoru, Gmail e-posta hizmetleri, Google haritalar hizmetleri ve YouTube video platformu gibi birçok Google hizmeti geliştiricisi, ABD merkezli bir limited şirkettir.
Google Ireland Limited Dublin merkezli Google’ın vrupa ekonomik alanı ile İsviçre’deki faaliyetleri ile ilgili olarak Google grubunun genel merkezi niteliğindedir.
Paris merkezli Google France Sarl, Google grubunun Fransız kuruluşudur ve hisselerinin tamamı Google LLC’ye aittir.
16 Mart 2020’de Fransız Veri Koruma Otoritesi (CNIL), Google LLC ve Google İrlanda şirketlerinin 78-17 sayılı ve 6 Ocak 1978 tarihli Bilişim ve Özgürlükler Kanunu’na uygunluğunu incelemek üzere, ‘’google.fr’’ internet sitesi üzerinde çevrimiçi bir inceleme gerçekleştirdi.
İlk inceleme sonucunda, Alt komisyonun verdiği karar uyarınca, Fransız Veri Koruma Kanunu’nun 82. Maddesine aykırılık gerekçesiyle Google LLC hakkında 60 milyon Euro ve Google İrlanda hakkında 40 milyon Euro tutarında idari para cezası ve yine aynı kanunun 82. Maddesinde düzenlenen yükümlülüklere uyumluluğu temin etmek amacıyla iki şirkete de düzeltici tedbirler uygulanmasına karar verildi.
Google LLC ve Google İrlanda karara karşı kanun yollarına başvurarak kararı temyiz etti. İlgili dava, Fransız Danıştay’ında derdest durumdadır.
CNIL, Mart ve Nisan 2021 aylarında, Fransa’daki kullanıcıların kullanımına sunulan ‘’google.fr’’ ve ‘’youtube.com’’ sitelerindeki çerezlerin reddedilme şartları ile ilgili pek çok şikayet alması üzerine, 1 Haziran 2021 itibariyle ‘’google.fr’’ ve ‘’youtube.com’’ siteleri üzerinde çevrimiçi bir inceleme başlattı.
3 Haziran 2021’de hazırlanan rapor, şirketlere bildirilerek, bu şirketlerden toplanan çerezlerin her birinin amaçlarını belirtmeleri ve son on iki aylık dönem içerisinde ‘’google.fr’’ ve ‘’youtube.com’’ sitelerini ziyaret eden günlük kullanıcı sayısının hacmi konusunda bilgi vermeleri talep edildi.
Şirketler 27 Eylül 2021 tarihli cevap yazıları ile SAN-2020-012 sayılı ve 7 Aralık 2020 tarihli karara karşı ileri sürdükleri itirazlar Danıştay’da karara bağlanana kadar, alt komisyon tarafından yürütülen incelemenin askıya alınmasını talep etti.
Kararın Değerlendirilmesi:
Şirketler öncelikle alt komisyon tarafından yürütülmekte olan inceleme ile alt komisyonun 7 Aralık 2020 tarihli ve SAN-2020-012 sayılı kararının aynı olaylara ilişkin olduğunu, 7 Aralık 2020 tarihli kararla ilgili olarak 30 Nisan 2021 tarihinde SAN-2021-004 sayılı nihai karar verildiğini, bu sebeple alt komisyonun mevcut inceleme çerçevesinde herhangi bir karar vermesinin non bis in idem ilkesine aykırı olduğunu savunmuştur.
Alt komisyon ise 7 Aralık 2020 tarihli karar kapsamında yürütülen incelemenin, kullanıcıların rızaya bağlı çerezlerin amaçları ile bu çerezleri reddetme yöntemleri hakkında bilgilendirilmeleriyle ilgili düzeltici tedbirlere ilişkin olduğunu, bununla birlikte mevcut incelemenin doğrudan, çerezleri reddetme şartlarına odaklandığını ifade etmektedir. Alt komisyona göre eldeki incelemenin esas konusunu oluşturan, kullanıcı terminalindeki okuma ve yazma faaliyetlerinin reddedilmesine ilişkin yöntemler, ilk incelemenin kapsamında yer almadığından non bis in idem ilkesinin ihlali söz konusu değildir.
Veri Sorumlusunun Belirlenmesi:
Alt komisyon, Direktif’in 2. Maddesi doğrultusunda düzenlenen Fransiz Veri Koruma Kanunu’nun 82. Maddesi uyarınca, veri sorumlusu kavramının değerlendirilmesinde GVKT hükümlerinin uygulanacağını, bu sebeple veri sorumlusunun tespitinde GVKT hükümlerinin esas alınacağını belirtmektedir.
Şirketler, Avrupa Ekonomik Alanı’nda ve İsviçre’de bulunan kullanıcıların kişisel verilerinin işlenmesiyle ilgili olarak sadece Google İrlanda şirketinin sorumlu olduğunu iddia etse de alt komisyon, Google İrlanda ile. Google LLC’nin ortak veri sorumlusu sıfatıyla hareket ettiklerini değerlendirmektedir. ABAD’ın Yehova Şahitleri Kararını hatırlatarak, farklı aktörlerin aynı veri işleme faaliyetiyle ilgili olarak ortak veri sorumlusu olarak nitelendirilmesinin, bu aktörlerin mutlaka eşit ölçüde sorumlu bulundukları anlamına gelmeyeceğini, aktörlerin işleme faaliyetinin farklı aşama ve derecelerinde yer alabileceğini ve sorumluluk düzeyinin somut vakıanın koşulları dikkate alınarak değerlendirilmesi gerektiğinin altını çizmiştir.
Şirketler ve alt komisyon, Google İrlanda’nın veri sorumlusu olduğu görüşünde hemfikirdir. Google LLC ile ilgili olarak ise alt komisyon, Google İrlanda ve Google LLC’nin ortak veri sorumlusu sıfatıyla hareket ettiği görüşündedir.
Çerezlere İlişkin Yükümlülüklerin İhlali:
Alt komisyon, Direktif’in 2. Maddesinin f fıkrasında bir kullanıcı veya abonenin rızasının alınmasının 95/46/EC sayılı Diraktif’teki rıza kavramına uygun olarak yorumlanması gerektiğini düzenlediğinden, ilgili kişinin rızasının değerlendirilmesinde GVKT hükümlerini esas almıştır.
Alt komisyon, öncelikle Fransız Veri Koruma Kanunu’nun 8. Maddesi uyarınca CNIL’in kişisel verilerin korunması mevzuatına uyumun sağlanmasına yönelik rehberler, tavsiyeler ve kıstaslar yayınlayabileceğinin hatırlatmaktadır. CNIL, çerezlere rıza göstermeyi, reddetme mekanizmasının rıza beyan etme mekanizmasıyla aynı ekrandan ve aynı kolaylıkla erişilebilir olması gerektiğini belirtmektedir.
Mevcut vakıada alt komisyon, ‘’google.fr’’ ve ‘’youtube.com’’ adreslerini ziyaret eden Fransa’daki kullanıcıların, çerezleri kabul etmek için tek bir işlem gerçekleştirmeleri, çerezleri reddetmek için ise beş işlem gerçekleştirmek zorunda kaldıklarını tespit etmiştir. Mevcut mekanizmada çerezleri reddetmenin, onları kabul etmek kadar kolay olmadığı anlaşılmaktadır.
Alt komisyonun değerlendirmelerine göre, internet kullanıcılarının birçoğu aynı anda pek çok siteye tıklamayı tercih etmektedir ve internetin hızı ile akıcılığı, kullanıcı seçimlerini önemli ölçüde etkilemektedir. Çerezleri reddetmek için ‘’özelleştirme’’ seçeneğine tıkladıktan sonra, çerezlerin nasıl reddedileceğini açıklayan sayfayı incelemek ve anlamak zorunda kalmak, aslında çerezleri reddetmek isteyen kullanıcıların motivasyonunu düşürebilecektir. Her ne kadar kullanıcıya çerezlerin kabul edilmesi veya reddedilmesi seçenekleri sunulsa da, çerezleri reddetmenin kabul etmekten daha meşakkatli bir süreç gerektirmesi, kullanıcının seçim özgürlüğünü zedeleyecek şekilde kullanıcının istemese de çerezleri kabul etmeye yönlenmesine sebebiyet verebilecektir. Oysa ki, GVKT’nin 4. Maddesi uyarınca ilgili kişi tarafından verilecek rıza, özgür irade ile verilecek bir seçim özgürlüğünden kaynaklanmalı ve ilgili kişinin rıza vermesi veya rıza vermeyi reddetmesi için kendisine sunulan seçenekler, kullanıcıyı rıza vermeye teşvik edecek nitelikte olmamalıdır.
Bu değerlendirmeler çerçevesinde alt komisyon, GVKT ışığında yorumlanın Fransız Veri koruma Kanunu’nun 82. Maddesinin, şirketler tarafından ihlal edildiğini değerlendirmektedir.
Karar:
Tüm bu değerlendirmeler ışığında alt komisyon;
Fransız Veri Koruma Kanunu’nun 82. Maddesinin ihlali nedeniyle Google LLC hakkında 90 milyon Euro idari para cezasına,
Fransız Veri Koruma Kanunu’nun 82. Maddesinin ihlali nedeniyle Google İrlanda hakkında 60 milyon Euro idari para cezasına,
Şirketler hakkında, Fransa’da ikamet eden kullanıcıların ‘’google.fr’’ ve ‘’youtube.com’’ siteleri aracılığıyla, kullanıcıların seçim özgürlüğünü garanti altına almak amacıyla bu faaliyetleri kabul etmek için sağlanan mekanizma ile eşdeğer basitlikte bir mekanizma ile reddetme olanağı sunulacak şekilde değiştirilmesine yönelik düzeltici tedbirler alınmasına,
Bu kararın tebliğinden itibaren üç aylık bir sürenin sonunda gecikilen gün başına 100 bin Euro tutarında bir ceza ödenmesine ilişkin ihtiyadi tedbir kararına,
Bu kararın uygulanması için Google France şirketine gönderilmesine ve kararın yayımlanmasını takip eden iki yıllık bir sürenin sonunda şirketlerin isimlerini içermeyecek şekilde, kararın CNIL ve Legifrance internet sitelerinde kamuya açık olarak yayınlanmasına karar vermiştir.
MADDE 29 VERİ KORUMA ÇALIŞMA GRUBU’NUN 2016/679 SAYILI TÜZÜK UYARINCA KİŞİSEL VERİ GÜVENLİĞİ İHLALİ BİLDİRİMİNE İLİŞKİN REHBERİ
Genel Veri Koruma Tüzüğü, bir kişisel veri ihlalinin yetkili denetleyici makama bildirilmesi ve belirli bazı durumlarda ihlalin, bu ihlalden etkilenen kişilere haber verilmesini gerektirmektedir. Kamuya açık elektronik iletişim hizmet sağlayıcıları gibi bazı kuruluşlar için ihlal durumunda bildirim yükümlülüğü halihazırda mevcuttur. Aynı zamanda kendi ulusal ihlal bildirimi yükümlülüğüne sahip bazı AB üye devletleri de bulunmaktadır. GVKT’ne göre de veri işleyenler önemli bir rol oynamaktadır ve herhangi bir ihlali veri sorumlularına bildirmek zorundadırlar.
Veri sorumluları ve veri işleyenler ihlali saptamak ve derhal kontrol altına almak, bireylere yönelik riski değerlendirmek, ihlalin ardından yetkili makamı bilgilendirmenin gerekip gerekmediğini belirlemek ve gerektiğinde ilgili kişilere durumu bildirmek için süreçleri önceden planlamaya ve uygulamaya teşvik edilirler. Yetkili makama yapılan bildirim, olay müdahale planının bir bölümünü de oluşturmalıdır.
GVKT ihlalin ne zaman ve kime bildirileceği ve hangi bilginin bildirimin bir parçası olması gerektiğine dair hükümler içermektedir. Bilgiler aşamalı olarak sağlanabilir ancak veri sorumluları ihlal durumunda zamanında harekete geçmelidir.
GVKT’ye göre Kişisel Veri Güvenliği İhlali:
Temel güvenlik hususları konusunda GVKT’nin gerekliliklerinden biri uygun teknik ve idari önlemleri alarak, yetkisiz veya yasadışı veri işlenmesi ve kazara kayıp, imha veya hasara karşı korunma durumları dahil, kişisel verilerin uygun seviyede güvenliğini sağlayacak şekilde işleme tabi tutulmasıdır.
Kişisel veri güvenliği ihlali ise aktarılan, saklanan veya başka şekilde işlenen kişisel verinin, kazara veya yasaya aykırı şekilde imhasına, kaybına, değiştirilmesine, yetkisiz şekilde açığa çıkarılmasına ya da erişilmesine yol açan bir güvenlik ihlali olarak tanımlanmaktadır.
Örnek vermek gerekirse, veri sorumlusunun müşteri veri tabanının bir kopyasını içeren cihazların çalınması veya kaybolması bu kapsamdadır.
Kişisel veri ihlallerinin çeşitleri ise üç bilgi güvenliği ilkesine dayanılarak sınıflandırılabilir.
Bunlar;
‘’Gizlilik ihlali’’: Kişisel verilerin yetkisiz şekilde veya kazara ifşa edilmesi veya kişisel veriye yetkisiz erişilmesi durumunda mevcuttur.
‘’Bütünlük ihlali’’ : Kişisel verilerin yetkisiz şekilde veya kazara değiştirilmesi durumunda mevcuttur.
‘’Kullanılabilirlik ihlali’’ : Kişisel verilere erişimin kazara veya yetkisiz şekilde kaybı veya verinin yok edilmesi durumlarında söz konusudur.
İhlaller aynı anda kişisel verinin gizliliğiyle, bütünlüğüyle ve kullanılabilirliğiyle ilgili olabileceği gibi, bu üç durumun çeşitli kombinasyonları şeklinde de olabilir.
Kişisel veri ihlalinin olası sonuçları konusunda ise bir ihlal, potansiyel olarak bireyler üzerinde fiziksel, maddi veya manevi zararla sonuçlanabilecek bir dizi çeşitli önemli olumsuz etkiye yol açabilir. GVKT, bu durumun, kişisel veriler üzerinde kontrol kaybını, hakların kısıtlanmasını, ayrımcılığı, kimlik hırsızlığını veya dolandırıcılığı, mali kaybı, takma ad kullanımının yetkisiz şekilde tersine çevrilmesini, itibarın zarar görmesini ve meslek sırrı olarak kornan kişisel verilerin gizliliğinin kaybını da kapsayabileceğini ifade etmektedir. Ayrıca, bu bireyler için önemli ekonomik veya sosyal dezavantajların meydana gelmesi de bu etkilere dahil edilebilir. Veri sorumlusu, ihlalden etkilenen kişilere makul sürede haber vermekle yükümlüdür.
Aynı anda bilgi sağlamanın mümkün olmadığı durumlarda ve sağlanamadığı sürece, daha fazla gecikme olmaksızın aşamalı olarak bilgi sağlanabilir. Örneğin veri sorumlusu, yetkili makama bazı müşterilerinin kişisel verilerinin bir kopyasını içeren bir USB anahtarının kaybolduğunu 72 saat içinde bildirir. Daha sonra USB veri sorumlusunun mülkiyetinde yanlış dosyalanmış halde bulunur ve kurtarılır. Veri sorumlusu, yetkili makamı yeniden bilgilendirir ve yapılan bildirimde değişiklik talep eder.
Geciken bildirimler hususunda madde 33, yetkili makama bildirimin 72 saat içinde yapılmaması durumunda, gecikme nedenlerinin belirtilmesi gerektiğini açıkça ifade etmiştir. Buna göre aşamalı bildirim kavramıyla birlikte veri sorumlusunun o zaman zarfında bir ihlali her zaman bildiremeyeceği ve gecikmeli bir bildirime izin verilebileceği kabul edilir. GVKT gecikmiş bildirime bir dereceye kadar izin verirken, bu durumun düzenli olarak gerçekleştiği varsayılmamalıdır. 72 saat içinde rapor edilen birden fazla benzer ihlal için de torba bildirip yapılabileceği belirtilmelidir.
Sınır ötesi ihlaller ve AB dışındaki ihlallerden bahsedecek olursak GVKT’de ‘’Her yetkili mkam bu Tüzük uyarınca kendsine verilen görevlerin yerine getirilmesi ve yetkilerin kullanılması bakımından kendi üye devletinin topraklarında yetkilidir.’’ maddesi yer almaktadır.
Bildirimin gerekli olmadığı bazı durumlar mevcuttur. Madde 33 ‘’gerçek kişilerin hak ve özgürlüklerini tehlikeye sokacak şekilde sonuçlanma ihtimali olmayan’’ ihlallerin yetkili makamına bildiriminin gerekli olmadığını açıkça belirtir. Örneğin, kişisel verinin zaten kamuya açık olduğu ve böyle bir verinin açığa çıkarılmasının kişi için bir tehlike teşkil etmemesi durumu bu kapsamdadır. Sonuç olarak, kişisel veriler yetkisiz şahıslara karşı esasen anlaşılmaz hale getirildiği veya verilerin bir kopya veya yedek olarak bulundurulduğu durumlarda, düzgün şekilde şifrelenmiş kişisel veriyi içeren ihlalin denetim makamına bildirim gerekli olmayabilir. Bunun nedeni, böyle bir ihlalin kişilerin hak ve özgürlükleri için bir risk oluşturmasının pek olası olmamasıdır. Ancak bireylerin hak ve özgürlüklerinin tehlike altına girme riski bulunmaması halinde başlangıçta bildirim gerekmeyebilirken bu durum zamanla değişebilir ve riskin yeniden değerlendirilmesi gerekebilir.
Bazı durumlarda yetkili makama yapılan bildirim yanında ihlalden etkilenen kişilerin de bilgilendirilmesi gerekmektedir.
GVKT madde 34. ‘’kişisel veri güvenliği ihlalinin, gerçek kişilerin hak ve özgürlükleri bakımından yüksek bir tehlikeye girmesiyle sonuçlanma ihtimali varsa, veri sorumlusu ihlalden etkilenen kişileri gecikmeksizin ihlalden haberdar etmelidir.’’ şeklinde bu hususa değinmiştir.
Belirtildiği gibi bildirim gecikmeksizin yapılmalıdır. Bunun hedefi kendilerini korumak için atmaları gereken adımlar hakkında onlara ayrıntılı bilgi sağlamaktır.
AB GENEL VERİ KORUMA TÜZÜĞÜ’NÜN 3. MADDESİNİN UYGULANMASI VE V. BÖLÜMDE DÜZENLENEN ULUSLARARASI AKTARIMLARIN İLİŞKİSİ HAKKINDA 05/2021 SAYILI REHBER
GVKT’nin 5. Bölümünde getirilen düzenlemeler kişisel verilerin üçüncü ülkelerle veya uluslararası kuruluşlarla aktarılmasından sonra da yeterli korumanın sağlanmasını amaçlamaktadır. Üçüncü ülke hükümetinin, kişisel verilere demokratik toplumlarda uygun olmayan, gereksiz ölçüde ve orantısız erişim sağlanmasına serbestiyet tanıyan iç hukukunun mevcut olduğu bir senaryo bu denetimin uygulanmasının gerekeceği bir örnek sayılabilir. 5. Bölüm ile getirilen düzenlemeler hem bu tehlikeye karşı teminat hem de Tüzüğün 3. Maddesi ile kapsamı belirlenen Birlik dışına veri aktarımlarında bölgesel kapsamın uygulanmasına uyarlık oluşturmaktadır.
Bu rehberin takip eden bölümlerinde, veri sorumları ve veri işleyenlere, veri işlemenin üçüncü ülkeye veya uluslararası kuruluşa aktarım teşkil edip etmediğinin tespit edilmesi ve böylelikle Tüzüğün 5. Bölümünde yer alan düzenlemelere uyum sağlanmasının gerekip gerekmeyeceğinin belirlenebilmesinde yol göstermesi amacıyla Tüzüğün 3. Maddesi ile 5. Bölümü arasındaki ilişkinin açıklanması hedeflenmektedir.
Avrupa Veri Koruma Kurulu üç kriterin bir arada bulunması halinde veri işlemede aktarım var olacağını tespit etmektedir. Bu kriterler;
1- Veri sorumlusu veya veri işleyenin, söz konusu veri işleme faaliyeti için Tüzüğe tabi olmalıdır,
2- Bu veri sorumlusu veya işleyenin kişisel veriyi aktararak veya başka bir suretle başka bir veri sorumlusuna, müşterek veri sorumlusuna veya veri işleyene erişilebilir hale getirmelidir,
Örnek 1 : Üçüncü bir ülkede bulunan veri sorumlusunun doğrudan AB’ye bulunan ilgili kişinin verisini işlemesi
İtalya’da yaşayan Maria, çevrimiçi bir alışveriş sitesinden sipariş verebilmek ve Roma’da bulunan evinde siparişini teslim alabilmek için online bir formu kişisel verileri ile doldurmuştur. Alışveriş sitesi, Singapur’da yerleşik olup AB içerisinde bulunmayan bir şirket tarafından işletilmektedir. Bu olayda, Maria kişisel verisini Singapur’da bulunan şirkete aktarmaktadır, fakat veri herhangi bir aktarıcı tarafından aktarılmadığı, kişinin doğrudan kendi hareketi ve inisiyatifi ile aktarıldığı için bu durum kişisel verinin aktarılması halini oluşturmamaktadır. Bu sebeple 5. Bölüm hükümleri bu olaya uygulanmaz. Yine de Singapur’da bulunan Şirket, veri işleme operasyonlarının Tüzüğün
3/2. Fıkrasına tabii olup olmadığını kontrol etmelidir.
Örnek 2 : AB’de bulunan veri işleyenin, üçüncü ülkede bulunan alt veri işleyene veri aktarması
Almanya’ da yerleşik veri sorumlusu A şirketi, veri işleyeni olarak Fransa’ da yerleşik B şirketi ile ilişki kurar. B, A adına veri işleyen olarak yürüttüğü veri işleme faaliyetlerini alt veri işleyen olarak Hindistan’ da yerleşik C şirketine devretmek ve bu amaçla C’ ye veri aktarmak niyetindedir. Bu olayda A ve B tarafından gerçekleştirilen veri işleme faaliyetleri, şirketlerin AB’ de bulunmasından dolayı Tüzüğün 3/1. Fıkrası uyarınca Tüzüğe tabidir. C ise üçüncü bir ülkede veri işleme faaliyeti göstermektedir. Bu nedenle, veri işleyen B’ den alt veri işleyen C’ ye yapılan aktarım üçüncü ülkeye veri aktarımı olarak değerlendirilecek ve Tüzüğün 5. Böülümü uygulama alanı bulacaktır.
Örnek 3 : AB’ de bulunan veri sorumlusunun çalışanının üçüncü ülkeye iş seyahati gerçekleştirmesi
Polonya’da yerleşik A şirketinin çalışanı George, bir toplantı için Hindistan’a gider. Hindistan ziyareti sırasında, George, bilgisayarını açarak şirketinin veri tabanına kayıtlı kişisel verilere uzaktan erişim sağlar. Üçüncü ülkeden bu şekilde uzaktan kişisel verilere erişim gerçekleştirilmesi kişisel veri aktarımı olarak kabul edilmeyecektir, zira George, başka bir veri sorumlusu değil, veri sorumlusu olan A Şirketinin parçası sayılacak bir çalışandır. Dolayısıyla verinin ifası aynı veri sorumlusu bünyesinde gerçekleştirilmiştir. George’ un verilere uzaktan erişimi ve erişimi sonrasında gerçekleştirdiği veri işleme faaliyetleri dahil olmak üzere olaydaki veri işleme faaliyetleri, Polonyalı şirket yani Birlik içerisinde kurulu Tüzüğün 3/1 maddesine tabi bir veri sorumlusu tarafından gerçekleştirilmiştir.
Örnek 4 : Veri işleyen durumundaki bağlı şirketin, üçüncü ülkede bulunan veri sorumlusu durumundaki hâkim şirkete veri aktarımı
ABD’li ana şirket B’nin bağlı şirketi olan İrlanda şirketi A, çalışanlarının kişisel verilerini, ABD’de bulunan merkezleştirilmiş insan kaynakları veri tabanında tutulması için B şirketine aktarmaktadır. Bu olayda, İrlandalı A şirketi veri aktarım ve veri işleme faaliyetlerini işveren sıfatıyla gerçekleştirdiğinden veri sorumlusu sıfatını haiz olacaktır, ana şirket ise veri işleyen olacaktır. A şirketi, 3/1. Fıkrası kapsamında Tüzüğe tabi olacakken, B şirketi üçüncü ülkede bulunmakta olduğundan, söz konusu veri aktarımı Tüzüğün 5. Bölümü kapsamında üçüncü ülkeye veri aktarımı teşkil edecektir.
3- 3. Madde uyarınca ve söz konusu veri işleme faaliyeti için, Tüzük kapsamında hukuken sorumlu olup olmadığına bakılmaksızın, Alıcı üçüncü ülkede bulunmalı veya uluslararası bir kuruluş olmalıdır.
Örnek 5 : AB’ de bulunan veri işleyenin, üçüncü ülkede bulunan veri sorumlusuna kişisel veriyi geri göndermesi
A şirketi AB dışında bulunan bir veri sorumlusudur ve AB pazarına hizmet ve mal satmaktadır. Fransız şirketi B, A adına kişisel veri işlemektedir. B, verileri A’ya geri göndermektedir. B AB’ de yerleşik olduğundan B tarafından gerçekleştirilen veri işleme faaliyetleri, Tüzüğün 3/1. Fıkrası uyarınca Tüzüğe tabidir. A ise, Tüzüğün 3/2. Fıkrası uyarınca Tüzüğe tabidir. Ancak A, üçüncü ülkede bulunduğundan B tarafından A’ya gerçekleştirilen veri aktarımlarında Tüzüğün 5. Bölümü uygulanır.
Sonuç:
EDPB tarafından belirlenen tüm kriterler sağlanmaktaysa, ‘’üçüncü ülkeye veya uluslararası kuruluşa’’ aktarımdan söz edilecektir. Bu sebeple, veri sorumlusu veya veri işleyen tarafından söz konusu veri işleme faaliyeti kapsamında, verinin üçüncü bir ülkede bulunan veri sorumlusu veya veri işleyene aktarılması veya üçüncü kişiye erişilebilir hale getirilmesi, alıcının ilgili veri işleme faaliyeti kapsamında Tüzüğe tabi olup olmadığına bakılmaksızın Tüzüğün 3. Maddesi uyarınca tüzüğe tabiidir.
Bunun sonucu olarak, veri sorumlusu veya veri işleyen veri aktarımı durumunda bölüm 5’in gerekliliklerini yerine getirmek ve üçüncü ülkeye veya uluslararası organizasyona veri aktarımından sonra da kişisel verilerin korunmasını amaçlayan vasıtaları kullanarak verinin aktarılmasını sağlamak zorundadır.
Özetlemek gerekirse, EDPB tarafından belirlenmiş kriterler karşılanmamışsa, ‘’ veri aktarımı’’ yoktur ve tüzüğün 5. Bölümü uygulanmaz. Veri sorumlusu kontrolü altında gerçekleşen bütün veri işleme süreçlerinden, veri işlemenin nerede gerçekleştiğine bakılmaksızın sorumludur ve üçüncü ülkelerde gerçekleştirilen veri işleme faaliyetlerinin içerdiği riskler, Tüzüğe ve hukuka uygunluğunun sağlanması için, teşhis edilerek yönetilmelidir.