Kişisel Verilerin Aşırı Gereksiz ve Meşru Olmayan Amaçlar İçin Kullanılması Konusunda Avrupa İnsan Hakları Mahkemesi Yaklaşımı
Genel
Kişisel verilerin aşırı ve meşru olmayan amaçlar için kullanılması konusunu Avrupa İnsan Hakları Mahkemesi (AİHM) kararları dikkate alınarak değerlendirmekte fayda vardır. AİHM, Avrupa İnsan Hakları Sözleşmesinin 8. maddesi kapsamında kişisel verilerin korunmasına yönelik birkaç karakteristik detaylı yaklaşım sergilemiştir. AİHM veri korumasına ilişkin kararlarında özel hayatın korunması hakkı ve haberleşme özgürlüğünü yeni teknolojik gelişmeler ile birlikte dikkate alarak 8. maddeyi yorumlamıştır. Bu maddeyi yorumlarken haberleşmenin mi, yoksa özel hayatın mı temel hak olduğuna yönelik değerlendirmeden özellikle kaçınmıştır. Mahkemenin veri korumanın 8. madde içerisinde değerlendirileceğine yönelik birkaç tespiti olmuştur (lundvall v Sweden 100473/83, Amann v Switserland, Rotarou v Romania 28341/95 ). Mahkeme, kamu idaresince sistematik olarak kişisel verilerin depolanması durumunda 8. maddenin ihlali sonucu oluşabileceğine karar vermiştir. Mahkeme aynı zamanda kişisel verilerin kayıt altına alınması ve kullanılması üzerinde kişilerin kontrol hakkı olduğunu da kabul etmiştir. Mahkeme bireylerin kişisel verilerine erişme hakkı olduğunu (Gaskin v. the United Kingdom, Application No. 10454/83) (Antony and Margaret McMichael v. United Kingdom, Application No. 16424/90) (Guerra v Italy, McGinley & Egan v. United Kingdom, Applications nos. 21825/93 and 23414/94,), transeksuellerin kimliklerini düzeltme hakkı olduğunu (Leander v. Sweden, Application No. 9248/81) kararlarında vurgulamıştır. Dahası mahkeme, kişisel verilerin korunmasında hukukun üstünlüğünü sağlamak, yetkinin kötüye kullanılmasını önlemek için, özellikle bağımsız bir denetim ve gözetim otoritesine ihtiyaç olduğunu da vurgulamıştır. (Klass v. Germany, Leander v. Sweden, , Rotaru v. Romania,) Peck, Perry, PG VD Jh davalarında mahkeme, amaca yönelik veri işlenmesinin hedefinin öngörülemeyen kullanımların önlenmesi olduğunu ifade etmiştir. (Peck v. the United Kingdom, Perry v. the United Kingdom, )Amann ve Segerstedt Wiberg davalarında mahkeme devlet otoritelerinin sadece somut şüphe durumunda şüphelenilen durumla ilgili veri toplayabileceğine hükmetmiştir.[1]
İnsan Hakları mahkemesi ilk kararlarından itibaren bireyin özel yaşamıyla ilgili bilgi toplanılmasını ve gizli bilgi kütüğünde saklanmasını ve bu tür bilgilerin ilgililere verilmesini, Sözleşmenin 8. maddesi kapsamında değerlendirmiştir. (Leander, 48, Aman, Rotou 43,Sve Marper 67, Khelli 55) Mahkemeye göre güvenlik güçleri tarafından belirli kişiler hakkında sistematik olarak veri toplanması ve depolanması (Segerstedt- Wiber ve Diğerleri 72 Cemalettin Canlı 43), bu veriler açık alanda toplanmış olsa bile (Peck 59 PG ve J.H 57-59) veya bu veriler kişinin sadece mesleki veya kamusal faaliyetleriyle ilgili olsa bile (Rotaru 43-44) söz konusu verinin kişinin uzak geçmişiyle ilgili olması halinde de kişilerin özel yaşantılarına müdahale oluşturacağına hükmetmiştir.(Cemalettin Canlı 43) Kişinin özel aracına yerleştirilecek cihaz vasıtasıyla GPS sistemi aracılığı ile kişinin ne zaman nerede olduğunun tespiti (Uzun-Almanya 51-53) kişinin özel yaşamına saygı hakkının ihlalini oluşturur. Kişinin kendi geçmişiyle ilgili bilgiye erişimi özel yaşamının bir parçasıdır (Odievr- Fransa). Mahkeme karalarında özel yaşama ilişkin kişisel verilerin korunması konusuyla ilgili örnekler aşağıdadır. Kişinin taşıdığı ad ve kimliğinin tespiti kişinin özel ve aile yaşamını ilgilendirir (Burghartz 24). Soybağıyla ilgili sorunlar, kişinin kimliği ile ilgili olduğundan özel yaşamını ilgilendirir ( Rasmmussen 33, Kruskoviç 20). Cinsiyet değişikliklerine ilişkin hususlar özel yaşamı ilgilendirir. (Rees 42, Cossey 38-39), Etnik kimlik bireyin özel yaşamını ilgilendirir. (Se Marper 66). Cinsel ilişki ve cinsel yönelim, bireyin özel yaşantısının en mahrem yönünü oluşturur (Laskey, Jeggard ve Brown 36). Kişinin kendi kökeni hakkında bilgi talep etmesi ve kamu makamlarının elindeki bilgiye ulaşması özel yaşama saygı hakkının bir parçasıdır (Odievre- Fransa). Suçun işlenmesiyle ilgili olarak bilgi edinilmesi maksadıyla kamu makamları tarafından bireye ve faaliyetlerine ilişkin, ses yazı ve görüntülerin tespit edilmesi özel yaşama saygı hakkına müdahale oluşturmaktadır (Klass ve Diğerleri – Almanya 48,49 ).[2]
Kişisel Verilerin Aşırı Gereksiz ve Meşru Olmayan Amaçlar İçin Kullanılması
AİHM’sinin aşırı, gereksiz ve meşru olmayan amaçlar için veri kullanımını hak ihlali olarak gören yaklaşımı Avrupa Birliği Veri Koruma Direktifi 1995/46/EC, 6/1/c ve 7/c fıkralarındaki mevcut düzenlemelerle uyumludur. Mahkeme hak ihlaline yönelik iddialara ilişkin olarak mahkemece yapılan denetimlerde öncelikle özel hayata bir müdahalenin mevcut olup olmadığı incelenmekte, müdahale olduğu tespit edildiğinde, bu müdahalenin haklı olup olmadığına bakılmaktadır. Haklı olup olmadığı yönündeki incelemenin ilk basamağı, müdahalenin hukuka uygun yapılıp yapılmadığıdır. Hukuka uygun ise sonraki aşamada müdahalenin demokratik toplumda gerekli olup olmadığı incelenmektedir. Bu basamakta müdahalenin sosyal ihtiyaçları karşılama ve meşru amaçları gerçekleştirecek orantıda olup olmadığı da denetlenmektedir. Bu şartların tamamına uygun bir müdahale durumunda hak ihlali oluşmamaktadır. Mahkemece hak ihlaline yönelik iddialara ilişkin olarak yapılan denetimlerde konuya ilişkin kararlarda, ne zaman veri korumasına ilişkin tedbirlerin demokratik toplumda gerekli olduğuna yönelik tespitler çok nadirdir. Mahkeme daha çok ihlal edici eylem için yasal bir zemin olup olmadığına bakmıştır. Bahse konu yasal gerekliliğin ihlal edildiği durumlarda, diğer gereklilikleri incelememiştir ( P.G. and J.H.,). Hukuka uygunluk denetimi ile demokratik toplumda gereklilik denetimi birbirinden farklıdır. Eğer mahremiyetin korunmasına ilişkin bir sınırlama kanunda mevcut ise de, yasal bir temeli var ise de, bu sınırlamanın demokratik toplumda gerekli de olması beklenmektedir. Demokratik toplumda gereklilik denetimi politik bir denetimdir. Bu denetim değerler ve menfaatler arasındaki dengeyi sağlamaktadır. Bu denetimde , veri korumada getirilen sınırlama veya ihlal meşru bir gereklilik için mi yapılmıştır? sorusuna cevap aranmaktadır. Demokratik toplumda gereklilik denetiminin karşılanmış olması da veri korumaya getirilen sınırlamada yeterli değildir. Zira AİHS 8.9.10.11. maddelerinde yapılan denetimde iki kriter daha vardır. Bunlar sosyal ihtiyaçları karşılama ve meşru amaçları gerçekleştirecek orantıda olması kriterleridir. Fakat bu kriterlerde sosyal ihtiyaçları karşılama kriteri daha çok 10 . maddede düzenlenen hak için uygulanmaktadır, 8. madde için özel hayatın korunması için uygulama alanı dardır. Mahkeme orantılılık denetiminde kişisel verilere yapılan müdahalenin ağırlığını dikkate almaktadır. Orantılılık ilkesinin uygulamasında sınırlamanın orantılı olup olmadığı belirlenirken durumun özelliğine bakılmaktadır. Mahkeme orantılılığı değerlendirirken alınan tedbirin doğasına (kötü kullanıma olanak sağlayıp sağlamayacağı, olumsuz sonuçları vb) bakmaktadır. Başka tedbirlerle aynı sonuca ulaşılıp ulaşılamayacağı ve bu kadar sert tedbir almaya gerek olup olmadığına bakılmaktadır. Denetim bütün bu sayılan kriterleri geçerse hak ihlaline karar verilmeyecektir. Orantılılık denetimine ilişkin katı bir uygulama 10. madde ihlaline yönelik ( Campbell v. United Kingdom, Application No. 13590/88, ) davasında, avukata yazılan mektuplara el konulması ve telefon kayıtlarının tutulmasında gündeme gelmiştir. Gerçekte AİHM kararlarında kişisel verilerin işlenmesi konusunda aşırılık, gereklilik ve meşruluk denetimlerine ilişkin az sayıda karar vardır. Bunun en önemli sebebi hukuka uygunluk denetimine mahkemenin ağırlık vermesidir.
Klass, Leander, Amann, P.G. and J.H. and Perry davalarında mahkeme, kişisel verilere ilişkin alanı kısıtlı bir mahremiyet alanı olarak görmüştür. Kişisel verilerin korunmasına ilişkin güncel yaklaşımlar mahkemenin koruma alanının içine alınmamıştır. Leander Davasında, ilgili kişinin kişinin kişisel verilerine ulaşma hakkına getirilen sınırlamayı ihlal olarak görmemiştir. Antony and Margaret Mc.Michael v. United Kingdom davasında da benzer bir durum oluşmuştur. Mahkeme kararında açıkça 8. maddenin kişisel verilere ulaşmak için bir hak vermediği anlamına gelmeyeceğini de kararında belirtmiştir. Mahkemece kolluk ve güvenlik kuvvetleri tarafından kişisel verilere girilebileceğine ilişkin düzenlemeler hak ihlali olarak kabul edilmemektedir.
Mahkeme 8. madde kapsamında olabilecek kişisel veriler ile bu madde kapsamında olmayan kişisel veriler arasında bir ayrım yapmıştır. Özel hayatı etkileyen kişisel veriler olduğu gibi, özel hayatı etkilemeyen kişisel veriler de vardır. (Pierre Herbecq and the Association Ligue des droits de’homme v Belgium., Pierre Herbecq and the Association Ligue des droits de l ’homme v Belgium, Applications No. 32200/96 and 32201/96 ) Örnek kararda, başvurucu film endüstrisinde denetim amaçlarıyla kişisel verilerin işleneceğine ilişkin bir düzenleme olmadığını ileri sürerek özel hayatın ihlal edildiğini iddia ederek başvuruda bulunmuştur. Mahkeme talebi kabul edilmez bulmuştur. Gerekçesi ise çekimlerdeki görüntülerin özel hayata ilişkin olmayıp, kamuya açık alanlarda olması gösterilmiştir. Veri Koruma fikrinin merkezinde taşıyıcısı belirli veya belirlenebilir olan kişisel veriler vardır. Veri Korumasına ilişkin düzenlemeler, verileri, mahremiyetle ilgili olanlar ve olmayanlar şeklinde ayırmamaktadır. Veri koruma sistemi özel nitelikte hassas verilerin olduğunu da kabul etmektedir. Veri koruma düzenlemeleri bütün kişisel verilerin isim adres vb. olanlar da dahil kötüye kullanılabileceğini, veri koruma sisteminin amacının tüm verilerin korunması olduğunu düzenlemiştir. Bu düzenlemeler şüphesiz ortak aklın ürünüdür. Bu durumda özel nitelikli olmayan verilerin hangi sınırda korunacağı tartışılabilir, fakat bu verilerinde korunacağı hususunda mutabakat vardır. Özel nitelikli verilerin işlenmesinin yasaklanması, bu kapsamda örneğin yahudi kişilerle ilgili verilerin işlenmesinin yasaklanması pozitif bir düzenlemedir. Bu gruba ait basit bir isim listesini kendilerini hedef seçenlere karşı korunmaları gerektiğine ilişkin hiç bir şüphe yoktur. Özellikle teknik personel internette veri korumaya ilişkin düzenlemeleri dikkate almaksızın veya fazla bürokratik bularak rahatlıkla verileri işleyebilmektedirler.
Mahkeme Amann, Rotaru and P.G. and J.H.,davalarında AİHM 8. madde anlamında mahremiyetin geniş bir tanımını Leander davasına da atıf yaparak veri koruma prensipleri ile mahkeme kararları arasındaki farkları ortaya koymuştur. Amann davasında kişisel verilerin depolanmasının 8. madde ile ilgili olduğunu, özel hayatı sınırlayıcı şekilde tanımlanmaması gerektiğini, özel hayatın kişilerin diğer insanlarla ilişki kurma ve geliştirmesini de içerdiğini, iş hayatının doğasına ilişkin ve profesyonel aktiviteler için işlenen verilerin özel hayatın dışında tutulacağına ilişkin hiçbir sebep olmadığını, açıkça belirtmiştir. Fakat bu davalara ilişkin kararlara ihtiyatlı yaklaşılmalıdır. Verilerin nereye kadar korunacağı ve nerden sonra korunmayacağı konusu üzerinde hala çalışılmaktadır. Veriler özel alanla ilgili olmadıklarında, sistematik olarak resim ve ses olarak kaydedilmediklerinde veya belirli bir veri taşıyıcısı hedef seçilerek kaydedilmediklerinde, veri taşıyıcısının makul sebeplerle verinin işleneceğini bildiğinde mahremiyet korumasından çıkarılabilmektedir. Bu kapsamda sokaklardaki kameralar, telefon şirketinin telefon görüşmelerine ilişkin ücretlendirme ve istatistik anlamındaki veri depolaması (P.G. and J.H. v. the United Kingdom) 8. madde anlamında ihlal olarak gözükmemektedir. Özetle mahkemece bütün verilerin korunmadığı görülmektedir.
[1] P. De Hert and S. Gutwirth, Data Protection in the Case Law of Strasbourg and Luxemburg: Constitutiona-lisation in Action
[2] DOĞRU ve NALBANT, s .25-53
Av.Yalçın TORUN
UYARI
Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur.