AVRUPA BİRLİĞİ ADALET DİVANI’NIN 06.11.2003 Tarihli Karar – C-101-01 Sayılı BODIL LINDQVIST – İSVEÇ KARARI

                                                           06.11.2003 Tarihli Karar – C-101-01 Sayılı Dava

MAHKEME KARARI

(RESMİ OLMAYAN ÇEVİRİ)

                  6 Kasım 2003                      

C-101-01 sayılı davada,

Göta Temyiz Mahkemesi (İsveç) tarafından AT Madde 234 uyarınca,

Bodil Lindqvist

 

aleyhine yürütülen ceza yargılamasında ön karar verilmesi amacıyla diğerlerinin yanı sıra Avrupa Parlamentosu ve Avrupa Konseyi’nin 24 Ekim 1995 tarihli Kişisel Verilerin İşlenmesi ve Serbestçe Dolaşımına İlişkin 95/46/EC Sayılı Direktif ’in (Resmi Gazete 1995 L 281, s. 31) yorumuna dair BAŞVURU,

MAHKEME

Mahkeme şu kişilerden oluşmaktadır: Başkan olarak hareket eden Birinci Daire Başkanı P. Jann; C.W.A. Timmermans, C. Gulmann, J.N. Cunha Rodrigues ve A. Rosas (Daire Başkanları), D.A.O. Edward (Raportör); J.-P. Puissochet, F. Macken ve S. von Bahr, Hakimler,

Başsavcı: A. Tizzano,

Kâtip: H. von Holstein, Görevli Katip

aşağıdaki kişiler adına sunulan yazılı görüşler incelendikten sonra,

• Avukat S. Larsson tarafından Bayan Lindqvist adına,
• Temsilci olarak hareket eden A. Kruse tarafından İsveç Hükümeti adına
• Temsilci olarak hareket eden H.G. Sevenster tarafından Hollanda Hükümeti adına,
• Temsilci olarak hareket eden ve avukat J. Stafford tarafından asiste edilen G. Amodeo tarafından Birleşik Krallık Hükümleri adına,
• Temsilci olarak hareket eden L. Ström ve X. Lewis tarafından Avrupa Toplulukları adına,

duruşma raporları dikkate alınarak,

30 Nisan 2002 tarihli duruşmada, S. Larson tarafından temsil edilen Bayan Lindqvist, A. Kruse ve B. Hernqvist tarafından temsil edilen İsveç Hükümeti, J. Van Bakel tarafından temsil edilen Hollanda Hükümeti, J. Stanford tarafından temsil edilen Birleşik Krallık Hükümeti, L. Ström and C. Docksey tarafından temsil edilen Avrupa Komisyonu ve D. Sif Tynes tarafından temsil edilen EFTA Gözetim Otoritesi’nin görüşleri ve,

Başsavcının mütalaası dinlendikten sonra 19 Eylül 2002 tarihli oturumda,

aşağıdaki karar verilmiştir.

Karar

Göta Hovrätt (Göta Temyiz Mahkemesi) 1 Mart 2001 tarihinde Mahkeme’ye ulaşan 23 Şubat 2001 tarihli kararıyla, AT madde 234’e istinaden bir ön karar verilmesi amacıyla diğerlerinin yanı sıra 24 Ekim 1995 tarihli Avrupa Parlamentosu ve Avrupa Konseyi’nin 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbestçe Dolaşımına İlişkin Direktifin (Resmi Gazete 1995 L 281, s. 31) yorumunu ilgilendiren 7 soruyu Mahkeme’ye yöneltmiştir.

Bu sorular, Bayan Lindqvist’in İsveç Protestan Kilisesi cemaatinde kendisiyle birlikte gönüllü olarak çalışan birkaç kişinin verilerini, kendi internet sitesinde yayımlamasının İsveç’te geçerli olan kişisel verilerin korunması mevzuatını ihlal ettiği iddiasıyla Bayan Lindqvist aleyhine yürütülen ceza kovuşturmasında gündeme gelmiştir.

Hukuki Arka Plan

Topluluk Mevzuatı

95/46 sayılı Direktif’in 1. maddesine göre, Direktif kişisel verilerin işlenmesiyle ilgili olarak başta mahremiyet hakkı olmak üzere gerçek kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır.

95/46 sayılı Direktif’in 3. maddesine göre Direktif’in kapsamı:

1. Bu Direktif, kişisel verilerin tamamen ya da kısmen otomatik olan yollarla işlenmesi ile bir dosyalama sisteminin parçasını oluşturan yahut oluşturması amaçlanan kişisel verilerin otomatik olan yollar dışında başka bir şekilde işlenmesine uygulanır.
2. Bu Direktif aşağıdaki veri işleme faaliyetlerine uygulanmaz:

• Avrupa Birliği Anlaşması’nın V ve VI başlıklarının açıkladığı durumlar ve her halükârda kamu güvenliği, savunma, ülke güvenliği (işleme faaliyetleri, ülke güvenliği konuları ile ilgili olduğunda, ülkenin ekonomik refahı dahil) ve ceza hukuku alanlarında ülke faaliyetleri gibi Topluluk Hukuku kapsamı dışında kalan faaliyetlerde,
• Bir gerçek kişi tarafından, tamamen kişisel veya hane içi faaliyetler esnasında.

95/46 sayılı Direktif’in “Özel Nitelikli Verilerin İşlenmesi” başlıklı 8. maddesi aşağıdaki hükümleri içermektedir:

1. Üye Ülkeler, kişilerin ırk veya etnik köken, siyasi görüş, dini inanç veya felsefi inanç, sendika üyeliği bilgisini açığa çıkaran kişisel verilerin işlenmesini ve sağlık veya cinsel hayat ile ilgili kişisel verilerin işlenmesini yasaklayacaktır.
2. Birinci Paragraf aşağıdaki hallerde uygulanmayacaktır;

(a) Birinci paragrafta belirtilen yasağın, ilgili kişinin açık rızası ile kaldırılamayacağının Üye Ülke kanunlarında belirtilmesi haricinde, ilgili kişinin bu kişisel verilerin işlenmesine açık rıza vermesi,

(b) Veri işlemenin, yeterli güvenceleri sağlayan ulusal hukukun izin verdiği ölçüde veri sorumlusunun iş hukuku alanındaki yükümlülüklerini yerine getirmesi ve belli haklarını kullanması amacıyla gerekli olması, veya

(c) İlgili kişinin fiziken veya hukuken rızasını veremeyecek durumda olması halinde, ilgili kişinin veya başka bir kişinin hayati menfaatlerinin korunması için gerekli olması, veya

(d) Veri işlemenin, yalnızca ilgili kuruluşun üyeleri veya kuruluşla düzenli temasta bulunan kişilerle ilgili olması ve ilgili kişinin açık rızası olmadan verilerin üçüncü kişilere ifşa edilmemesi şartı ile, dernek, kuruluş veya diğer politik, felsefi, dini veya sendikal amaçları ile kâr amacı gütmeyen bir kuruluş tarafından sağlanan yeterli bir güvence ile meşru menfaat amacıyla gerçekleşmesi,

• Veri işlemenin, ilgili kişi tarafından açıkça aleni hale getirilen veri ile ilgili olması veya bir hakkın tesisi, kullanımı ve savunması için gerekli olması,

3. Birinci paragraf koruyucu hekimlik, tıbbı teşhis, bakım ya da tedavinin karşılanması veya sağlık hizmetinin yönetimi amaçları için veri işlemenin gerekli olması ve bu verilerin ulusal kanun ya da kurallara göre kurulmuş ulusal yetkili organlar tarafından yetkilendirilmiş, mesleki gizlilik yükümlülüğüne tabi bir sağlık çalışanı tarafından veya denk gizlilik yükümlülüğü altındaki başka bir kişi tarafından işlenmesi halinde uygulanmayacaktır.
4. Uygun tedbirlerin sağlanmasına bağlı olarak Üye Ülkeler, önemli kamu menfaati sebepleri ile ulusal kanun veya denetim otoritesi kararı ile 2. paragrafta düzenlenenlere ek muafiyet getirebilir.
5. Suçlar, ceza mahkumiyetleri veya güvenlik önlemlerine ilişkin veri işleme, veriler, yalnızca resmi makamların denetimi altında veya Üye Ülke tarafından uygun ve belirli güvenceler sağlayan ulusal hükümler kapsamındaki istisnalara tabi olarak, ulusal hukuk altında uygun güvenlik tedbirleri sağlandığı takdirde işlenebilir. Ancak, adli sicil kayıtları yalnızca resmi makamın denetimi tutulabilir.

Üye Ülkeler, idari yaptırımlar veya hukuk davalarında verilen kararlar ile ilgili verilerin de resmi makamların denetimi altında işlenmesini şart koşabilirler.

6. Dördüncü ve beşinci paragrafta belirtilen ve birinci paragraf yönünden getirilen istisnalar Komisyon’a bildirilecektir.
7. Ulusal kimlik numarasının veya genel anlamda herhangi bir kimlik belirleyicisinin işlenmesine ilişkin koşullar Üye Ülkeler tarafından belirlenecektir.

95/46 sayılı Direktif’in “Kişisel Verilerin İşlenmesi ve İfade Özgürlüğü” başlıklı 9. maddesi aşağıdaki hükmü içermektedir:

Üye Ülkeler, ifade özgürlüğünü düzenleyen kurallarla mahremiyet hakkı arasında denge sağlamak amacıyla, salt gazetecilik ya da sanatsal veya edebi açıklama amaçları kapsamında gerçekleştirilecek kişisel veri işleme faaliyetleri yönünden bu Bölüm, Bölüm IV ve Bölüm VI’nın hükümlerinden muafiyet veya istisnalar sağlayacaktır.

95/46 sayılı Direktif’in “Muafiyetler ve Kısıtlamalar” başlıklı 13. maddesinde, Üye Ülkelerin, örneğin ulusal güvenlik, savunma, kamu güvenliği, Üye Ülkenin veya Avrupa Birliği’nin önemli bir ekonomik veya mali menfaati veya bir suçun veya meslekler için düzenlenmiş etik kuralların ihlalinin soruşturulması ve kovuşturulması için gerekli olması halinde ilgili kişilere sağlanan bilgilerin yanı sıra Direktif‘in veri sorumlusuna yüklediği bazı yükümlülüklerin kapsamını sınırlamak için önlemler alabileceği belirtilmektedir.

95/46 sayılı Direktifin IV. bölümünde belirtilen “Kişisel Verilerin Üçüncü Ülkelere Aktarılması” başlıklı 25. maddesi aşağıdaki hükümleri içermektedir:

1. Üye Ülkeler, bu Direktif’in diğer hükümleri uyarınca benimsenmiş ulusal hükümlere uyumluluğa halel getirmeksizin, aktarıldıktan sonra işlenecek olan ya da işlenmesi amaçlanan kişisel verilerin üçüncü ülkelere aktarımının, yalnızca söz konusu üçüncü ülkenin yeterli düzeyde koruma temin etmesi durumunda gerçekleşebilmesini sağlayacaktır.
2. Üçüncü bir ülke tarafından sağlanan koruma düzeyinin yeterliliği, bir veya bir dizi veri aktarım faaliyetini çevreleyen tüm koşullar ışığında değerlendirilecek; Özellikle verinin niteliği, önerilen veri işleme faaliyetinin veya faaliyetlerinin amacı ve süresi, verinin menşe ve nihai varış ülkesi, söz konusu üçüncü ülkede yürürlükte olan genel ve sektörel hukuk kuralları ve bu ülkede uygulanması gereken mesleki kurallar ile güvenlik önlemleri dikkate alınacaktır.
3. Üye Ülkeler ve Komisyon, 2. paragrafta belirtilen şekilde yeterli koruma seviyesini sağlamadığını düşündüğü durumlarda birbirlerini bilgilendireceklerdir.
4. Komisyonun, Direktif’in 31(2) maddesinde öngörülen usul uyarınca üçüncü bir ülkenin bu maddenin 2. paragrafında bahsedilen yeterli koruma seviyesini sağlamadığını belirlemesi halinde, Üye ülkeler, aynı tipte verilerin söz konusu üçüncü ülkeye her türlü aktarımı önlemek için gerekli önlemleri alacaklardır.
5. Komisyon uygun bir zamanda, dördüncü paragraf uyarınca yapılan tespit sonucu ortaya çıkan durumun düzeltilmesi amacı ile müzakerelere başlayacaktır.
6. Komisyon, özellikle 5. paragrafta belirtilen müzakerelerin sonuçları doğrultusunda, üçüncü ülkenin kendi iç hukuku veya yükümlendiği uluslararası taahhütlerine dayanarak, bireylerin özel hayatları ile temel hak ve özgürlüklerinin korunması için bu maddenin 2. paragrafına uygun şekilde yeterli koruma seviyesini sağladığına karar verebilir.

Üye Ülkeler, Komisyon’un kararına uymak için gerekli önlemleri alacaktır.

95/46 sayılı Direktif’e uyum sürecinde İsveç Krallığı, Konsey’de kabul edilen 9. madde konusunda aşağıdaki açıklamayı yapmıştır: (Konsey’in 2 Şubat 1995 tarihli, 4649/95 numaralı evrakı):

İsveç Krallığı’na göre sanatsal ve edebi açıklama, mesajın içeriği veya kalitesinden ziyade açıklamayı gerçekleştirmek için kullanılan yöntemler demektir.

4 Kasım 1950’de Roma’da imzalanan Avrupa İnsan Hakları Sözleşmesi (‘AİHS’)’nin, 8. maddesi özel hayata ve aile hayatına saygı hakkı hakkını sağlamakta ve 10. maddesi ifade özgürlüğüne ilişkin hükümler içermektedir.

Ulusal Mevzuat

95/46 sayılı Direktif, Personuppgiftslag (SFS 1998:204) (İsveç Veri Koruma Kanunu, “PUL”) aracılığıyla İsveç mevzuatına dahil olmuştur.

Asıl Dava ve Yöneltilen Sorular

Bayan Lindqvist Alseda (İsveç) Kilisesi’ndeki bakım işçiliği görevine ek olarak burada “dini okutman” olarak da çalışmıştır. Bu süreçte (kursta öğretilen) diğer şeylerle birlikte bir internet sayfası oluşturmayı öğrenmek için veri işleme kursuna katılmıştır. 1998 yılının sonunda Bayan Lindqvist kilise cemaatine kabul törenine hazırlanan üyelerin ihtiyaç duyabilecekleri bilgilere ulaşmalarına olanak sağlamak amacı ile evdeki kişisel bilgisayarında internet sayfaları oluşturmuştur. Bayan Lindqvist‘in talebi üzerine İsveç Kilisesi’nin internet sitesi yöneticisi, bu sayfalar ile Kilise’nin internet sitesi arasında bağlantı kurmuştur.

Söz konusu sayfalarda, bazılarında kişilerin tam adları ve bazılarında ise sadece ilk adları olmak üzere Bayan Lindqvist ve Kilisedeki 18 iş arkadaşı hakkında bilgiler yer almıştır. Bayan Lindqvist ayrıca kibar ve mizahi bir dille iş arkadaşları tarafından yapılan işleri ve onların hobilerini içeren yazıları da internet sayfalarında yayımlamıştır. Bu bilgiler kişilerin ailevi durumlarına ilişkin konular ile telefon numaraları ve diğer konuları içermiştir. Öyle ki, bir iş arkadaşının ayağını incittiğini ve [bu nedenle] sağlık sorunu sebebiyle yarı zamanlı izinde olduğu bilgisini dahi paylaşmıştır.

Bayan Lindqvist, iş arkadaşlarını bu sayfaların varlığıyla ilgili bilgilendirmemiş, onlardan herhangi bir onay almamıştır. İsveç Veri Koruma Kurumu’nu da (elektronik olarak iletilen verilerin korunması denetim kurumu) gerçekleştirdiği faaliyetler hakkında herhangi bir şekilde bilgilendirmemiştir. Bazı iş arkadaşlarının bu durumdan memnun olmadığının farkında varır varmaz ise bu internet sayfalarını silmiştir.

Savcı, aşağıdaki hususlar temelinde PUL’u ihlal ettiği suçlamasıyla Bayan Lindsqvits aleyhinde bir kovuşturma başlatmıştır:

• İsveç Veri Koruma Kurumu’na yazılı bilgi vermeden otomatik bir araç ile kişisel verileri işlediği (PUL madde 36 )
• Yetkisi olmaksızın hassas veri (ayak incinmesi ve sağlık sorunu sebebiyle yarı zamanlı izinde olma) işlediği (PUL madde 13),
• Yetkisi olmaksızın kişisel verileri izinsiz üçüncü ülkelere aktardığı (PUL madde 33),

Bayan Lindqvist maddi vakaları kabul etmekle birlikte suçlu olduğunu kabul etmemiştir. Bayan Lindqvist, Eksjö Tingsratt (yerel mahkeme) tarafından aleyhinde karar verilmesini takiben söz konusu karara karşı temyiz yoluna başvurmuştur.

Yerel mahkeme tarafından verilen kararda, Bayan Lindqvist’in ekonomik durumu ve işlemiş olduğu suçun ciddiyeti göz önünde bulundurularak, 100 SEK’in 40 katına tekabül eden 4000 SEK para cezası verilmiştir. Bayan Lindqvist’in ayrıca, İsveçli mahkumları destekleme amacıyla oluşturulmuş bir yardım fonuna 300 SEK ödemesine karar verilmiştir.

Göta Hovrätt (temyiz mahkemesi) ise bu konuyla ilgili Topluluk Mevzuatının, yani 95/46 sayılı Direktif’in yorumlanması konusunda belirsizlikler olduğu gerekçesiyle, yargılamayı durdurmaya ve bir ön karar verilmesi için aşağıdaki soruları Mahkeme’ye sormaya karar vermiştir.

(1) Bir kişiden -ismi ile veya isim ve telefon numarasıyla- bir internet sitesinde söz etmek, 95/46 sayılı Direktif kapsamına giren bir eylem midir? Kendi kaynakları ile oluşturulmuş bir internet sitesinin ana sayfasında birkaç kişiyi hobileri, işleri vs. hakkındaki ifadeler ve yorumlarla birlikte listelemek, “tamamen veya kısmen otomatik yollarla kişisel veri işleme” teşkil etmekte midir?

(2) İlk sorunun cevabı hayır ise, bir internet sayfasında, sayfalar arasında ilk isimle arama yapmayı mümkün kılan bağlantıların da bulunduğu yaklaşık 15 kişilik ayrı sayfalar oluşturulması işlemi, madde 3(1) kapsamında “dosyalama sisteminin bir parçası olan veya dosyalama sisteminin bir parçası olması amaçlanan kişisel verilerin otomatik araçlar dışında başka bir şekilde işlenmesi” olarak değerlendirilebilir mi?

İki sorudan herhangi birinin cevabı evet ise, Temyiz Mahkemesi aşağıdaki soruları da sormaktadır:

(3) İş arkadaşları hakkında açıklanan türdeki bilgilerin, adresi bilen herkes erişebilecek olsa da kişisel bir internet sayfasına konulması eylemi, madde 3(2)’te yer alan istisnalardan birine girdiği gerekçesiyle 95/46 sayılı Direktif’in kapsamının dışında kabul edilebilir mi?

(4) Adı geçen iş arkadaşının ayağını incittiğine ve sağlık sorunu sebebiyle yarı zamanlı izinde olduğuna ilişkin internet sitesi ana sayfasında yer verilen bilgiler, madde 8(1)’e göre sağlığa ilişkin işlenemeyecek kişisel verilerden midir?

(5) 95/46 sayılı Direktif, bazı durumlarda kişisel verinin üçüncü ülkelere aktarımını yasaklamaktadır. Eğer bir kişi, sunucusu İsveç’te olan bir internet sitesine kişisel veri yüklemek için yerel bir bilgisayar kullanırsa –sonuç olarak kişisel veri üçüncü ülkedeki insanlar için erişilebilir olur-bu durum Direktif kapsamında kişisel verinin üçüncü ülkeye aktarımı olarak değerlendirilebilir mi? Üçüncü ülkeden hiç kimse verilere erişmeseydi -ki bilindiği kadarıyla erişmedi- veya söz konusu sunucu fiziksel olarak üçüncü bir ülkede olsaydı cevap aynı olur muydu?

(6) Yukarıdaki gibi bir durumda 95/46 sayılı Direktif hükümlerinin, Avrupa İnsan Hakları Sözleşmesi’nin 10. maddesinin yanı sıra Anayasa ile güvence altına alınmış ve Avrupa Birliği içinde uygulanabilir olan ifade özgürlüğü veya diğer hak ve özgürlüklere ilişkin genel ilkelerle çelişen bir kısıtlama getirdiği kabul edilebilir mi?

Son olarak temyiz mahkemesi aşağıdaki soruyu sormaktadır:

(7) Yukarıda ifade edilen sorularla ilgili olarak bir Üye Ülke, 13. maddede açıklanan koşullardan hiçbiri mevcut olmasa dahi, kişisel verilerle ilgili olarak daha geniş kapsamlı koruma hükümleri getirebilir mi veya Direktif’te belirtilenden daha geniş bir kapsam belirleyebilir mi?

Birinci Soru

Davayı sevk eden mahkemenin ilk sorusu, bir internet sayfasında çeşitli kişilere atıfta bulunulması ve bu kişilerin isimlerinin veya telefon numarası ya da çalışma koşulları ve hobileri hakkındaki bilgilerin paylaşılması gibi diğer yollarla kimliklerinin tespit edilmesi, 95/46 sayılı Direktif 3. madde kapsamında “kişisel verilerin tamamen veya kısmen işlenmesi” olup olmadığıdır.

Mahkeme’ye sunulan görüşler

Bayan Lindqvist, internet sayfasındaki bir belgede yalnızca bir kişinin adının veya kişisel verilerinin geçmesinin otomatik veri işleme oluşturduğu görüşünün dayanaksız olduğunu ileri sürmektedir.

İsveç Hükümeti, 95/46 sayılı Direktif’in 3/1. maddesindeki “kişisel verinin tamamen otomatik veya kısmen otomatik yollarla işlenmesi” teriminin, bilgisayar formatındaki tüm işlemeleri, bir diğer deyişle ikili kod formatındaki herhangi bir işlemeyi kapsadığını ileri sürmektedir. Sonuç olarak İsveç Hükümeti, kişisel verilerin, ister bir kelime işlemcisi uygulaması kullanılarak, isterse de bir internet sayfasında yayımlanmak üzere bilgisayar tarafından işlendiği anda 95/46 sayılı Direktif kapsamına girdiğini ileri sürmektedir.

Hollanda Hükümeti, kişisel verilerin internet sayfasına, otomasyonun ana unsurları olan bir bilgisayar ve sunucu kullanılarak yüklendiğini, böylece bu verilerin otomatik işlemeye konu edilmiş olduğunun kabul edilmesi gerektiğini ileri sürmektedir.

Komisyon 95/46 sayılı Direktif’in, teknik araç kullanılıp kullanılmadığına bakılmaksızın, 3. maddesinde atıfta bulunulan tüm kişisel veri işleme faaliyetlerini kapsadığını belirtmektedir. Buna göre, kişisel verilerin internet ortamında kullanıma sunulması, işlenmesini tamamen manuel bir işlemle kısıtlayan herhangi bir teknik sınırlama olmaması kaydıyla, tamamen veya kısmen otomatik yollarla işlemeyi teşkil eder. Bu nedenle, niteliği gereği bir internet sayfası 95/46 sayılı Direktif kapsamına girer.

Mahkemenin Yanıtı

95/46 sayılı Direktif’in 3(1) maddesinde kullanılan “kişisel veri” terimi, madde 2(a)’da yer alan tanıma göre, kimliği belirli veya belirlenebilir gerçek bir kişiye ait her türlü bilgiyi kapsamaktadır. Bu terim şüphesiz olarak hobileri veya çalışma koşullarını veya telefon numaraları ile birlikte bir kişinin adını da kapsamaktadır.

95/46 sayılı Direktif’in 2(b) maddesindeki tanıma göre, madde 3(1)’de tanımlanmış olan kişisel verileri “işleme” terimi, otomatik yollarla olsun veya olmasın, kişisel veriler üzerinde gerçekleştirilen her türlü işlem veya işlem dizisini kapsamaktadır. Maddede bu tür işlemler bakımından bazı örneklere yer verilmektedir ki bunlar arasında verilerin aktarılması, yayılması veya başka türlü erişilebilir kılınması yoluyla ifşa edilmesi de vardır. Bir internet sayfasına kişisel verilerin yüklenmesi işlemi de bu tür bir işlem olarak kabul edilmelidir.

Bu işlemin “tamamen veya kısmen otomatik yollarla” yapılıp yapılmadığı ise halen belirsizdir. Bu bağlamda, bir internet sayfasına bilgi yüklemek, güncel teknik ve bilgisayar prosedürlerine göre, o sayfanın bir sunucuya yüklenmesini ve internete bağlı kişilerin o sayfaya erişebilmesi için yapılması gereken işlemleri ifade etmektedir. Bu prosedürler, en azından kısmen, otomatik olarak gerçekleştirilir.

Tüm bu değerlendirmeler göz önünde bulundurulduğunda, ilk sorunun cevabı şu şekilde olmalıdır: Bir internet sayfasında çeşitli kişilere atıfta bulunulması ve bu kişilerin adlarının veya telefon numaralarının belirtilmesi yada çalışma koşulları ve hobileri hakkında bilgi verilmesi gibi diğer yollarla kimliklerinin tespit edilmesi, 95/46 sayılı Direktifin 3(1). maddesi bağlamında “kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesini” teşkil etmektedir.

İkinci soru

Birinci soruya olumlu cevap verilmiş olduğundan, birinci sorunun olumsuz cevaplanmasına bağlı olarak yöneltilen ikinci soruyu cevaplandırmaya gerek yoktur.

Üçüncü soru

Üçüncü soru ile ilgili olarak mahkeme öncelikle, 95/46 sayılı Direktif’in 3(2) maddesindeki istisnalardan birinin, birinci soruda belirtilen kişisel verilerin işlenmesini kapsayıp kapsamadığını öğrenmek istemektedir.

Mahkemeye sunulan görüşler

Bayan Lindqvist, kâr amacı gütmeyen veya eğlence amaçlı bir internet sayfası oluşturmak suretiyle ifade özgürlüğünden yararlanan özel kişilerin, ekonomik bir kazanç sağlamadığını ve bu nedenle Topluluk Hukukuna tabi olmadığını ileri sürmektedir. Eğer mahkeme aksi yönde karar verecek ise, 95/46 sayılı Direktif’in geçerliliğine ilişkin bir soru ortaya çıkacaktır, çünkü böyle bir durumda Topluluk yasama organı Avrupa Birliği Anlaşmasının 100a maddesi (değişiklikten sonra madde 95 EC) uyarınca kendisine tanınan yetki sınırını aşmış olacaktır. Ortak pazarın kurulmasını ve işleyişini düzenleyen mevzuatın uyumlaştırılması, gerçek kişilerin internetteki ifade özgürlüğü haklarını düzenleyen Topluluk düzenlemeleri için hukuki bir temel oluşturamaz.

İsveç Hükümeti, İsveç kanun koyucusunun 95/46 sayılı Direktif’i İsveç mevzuatına dahil ederken, gerçek bir kişi tarafından gerçekleştirilen kişisel verilerin sınırsız sayıda kişiye örneğin internet üzerinden yayımlanması şeklindeki işlenme faaliyetinin, 95/46 sayılı Direktifin 3(2) maddesinde düzenlenen “tamamen kişisel veya hane içi faaliyetler” kapsamında değerlendirilmemesine karar verdiğini ifade etmektedir. Ancak Hükümet, bu fıkranın birinci bendindeki istisnanın, bir gerçek kişinin kişisel verilerini yalnızca ifade özgürlüğünü kullanmak amacıyla ve mesleki veya ticari bir faaliyetle bağlantılı olmaksızın bir internet sayfasında yayımladığı durumlarda uygulanabilmesi ihtimalini reddetmemektedir.

Hollanda Hükümeti’ne göre, davada söz konusu olan gibi bir otomatik veri işleme faaliyeti 95/46 sayılı Direktif’in 3(2) maddesindeki istisnaların hiçbirine girmemektedir. Özellikle, belirtilen paragrafın ikinci bendindeki istisna ile ilgili olarak, bir internet sayfasını oluşturan kişinin, sayfada yayımlanan verileri belirsiz sayıda kişinin bilgisine sunduğuna işaret etmektedir.

Komisyona göre, esas davada söz konusu olana benzer bir internet sayfası, bu Direktif’in 3(2) maddesi uyarınca, 95/46 sayılı Direktif’in kapsamı dışında kalmamakta, söz konusu internet sayfasının amacı göz önüne alındığında, bu Direktif‘in 9. maddesi kapsamında sanatsal ve edebi bir yaratım olarak değerlendirilmektedir.

95/46 sayılı Direktif’in 3(2) maddesinin birinci fıkrasının iki farklı şekilde yorumlanabileceği düşünülmektedir. Birincisi, bu hükmün kapsamının, örnek olarak belirtilen alanlarla yani genel olarak ikinci ve üçüncü sütun[1] kapsamına giren faaliyetlerle sınırlanması gerektiğidir. Diğer yorum ise, Topluluk Hukuku kapsamına girmeyen herhangi bir faaliyetin 95/46 sayılı Direktif kapsamı dışında tutulmasından ibarettir.

Komisyon, dört temel özgürlükle bağlantılı olarak Topluluk Hukukunun ekonomik faaliyetlerle sınırlı olmadığını ileri sürmektedir. Komisyon, 95/46 sayılı Direktif’in yasal dayanağına, amacına, AB’nin 6. maddesine, 18 Aralık 2000’de Nice’te ilan edilen Avrupa Birliği Temel Haklar Bildirgesi’ne (OJ 2000 C 364, s. 1) ve Kişisel Verilerin Otomatik Olarak İşlenmesine İlişkin Olarak Bireylerin Korunmasına Dair 28 Ocak 1981 tarihli Avrupa Konseyi Sözleşmesi’ne atıfta bulunarak bu Direktif’in, yalnızca ekonomik bir faaliyetin değil, aynı zamanda ortak pazarın entegrasyonu ve işleyişi boyunca sosyal faaliyetin icrasında da kişisel verilerin serbest dolaşımını düzenlemeyi amaçladığı sonucuna varmaktadır.

Komisyon, ticari unsurlar veya hizmet koşulları unsurları içermeyen internet sayfalarının, 95/46 sayılı Direktif kapsamından çıkartılmasının genel olarak ciddi sınırlama sorunlarına yol açabileceğini eklemektedir. Bu durumda belirli bir amaca yönelik olarak belirli kişileri kötülemeyi amaçlayan ve kişisel verileri içeren çok sayıda internet sayfası, bu Direktif‘in kapsamı dışında tutulabilecektir.

Mahkemenin Yanıtı

Bu kapsam dahilinde 95/46 sayılı Direktif’in 3(2) maddesi, iki istisna getirmektedir.

İlk istisna, Avrupa Birliği Antlaşması’nın V. ve VI. başlıklarında öngörüldüğü gibi Topluluk Hukukunun kapsamı dışında kalan bir faaliyet sırasında kişisel verilerin işlenmesi ve her hâlükârda kamu güvenliği, savunma, ülke güvenliği (ülkenin ekonomik refahı dahil işleme faaliyetinin ülke güvenliği ilgili olduğu konularda) ve ceza hukuku alanındaki ülke faaliyetlerine dair işleme faaliyetleri ile ilgilidir.

Bayan Lindqvist’in asıl davada söz konusu olan faaliyetleri esasen ekonomik değil, hayırseverlik ve din ile ilgili olduğundan, 95/46 sayılı Direktif’in 3(2) maddesinin birinci bendi anlamında ‘Topluluk Hukukunun kapsamı dışında kalan bir faaliyet sırasında kişisel verilerin işlenmesi’ oluşturup oluşturmadığının değerlendirilmesi gerekir.

Mahkeme Antlaşmanın 100a maddesine dayanan 95/46 sayılı Direktif konusunda, söz konusu hukuki temele başvurmanın, bu hukuki temele atıfta bulunulan her durumda Üye Ülkeler arasında serbest dolaşım ile fiili bir bağlantının bulunduğunu varsaymadığına karar vermiştir (Bkz. Birleşik davalar C-465/00, C-138/01 ve C-139/01 Österreichischer Rundfunk ve Diğerleri [2003] ECR I-4989, paragraf 41 ve burada atıfta bulunulan içtihat).

Aksi bir yorum, Direktif’in uygulama alanının sınırlarını bilhassa belirsiz ve değişken hale getirebilir, bu da iç pazar işleyişinin önündeki ulusal mevzuatlar arasındaki farklılıklardan kaynaklanan engelleri ortadan kaldırmak için Üye Ülkelerin yasalarını, yönetmeliklerini ve idari hükümlerini birbirine yaklaştırma amacına aykırı olacaktır. (Yukarıda anılan Österreichischer Kundfunk ve diğerleri, paragraf 42).

Bu arka plana mukabil, ‘Topluluk Hukukunun kapsamı dışında kalan faaliyet’ ifadesinin, söz konusu faaliyetin “Üye Ülkeler arasındaki hareket özgürlüğünü doğrudan etkileyip etkilemediğinin her bir münferit olayda belirlenmesini gerektiren bir kapsama sahip olduğu” şeklinde yorumlanması uygun olmayacaktır.

95/46 sayılı Direktif‘in 3(2) maddesinin birinci bendinde örnek olarak belirtilen faaliyetler, (başka bir deyişle, Avrupa Birliği Antlaşması’nın V. ve VI. başlıklarında öngörülen faaliyetler ve kamu güvenliği, savunma, ülke güvenliği ile ilgili işleme faaliyetleri ve ceza hukuku alanındaki faaliyetler) her halükarda ülkenin veya ülke makamlarının faaliyetleridir ve bireylerin faaliyet alanlarıyla ilgisi yoktur.

Bu nedenle, 95/46 sayılı Direktif‘in 3(2) maddesinin ilk bendinde örnek olarak belirtilen faaliyetlerin, sağlanan istisnanın kapsamını tanımlamayı amaçladığı, netice itibariyle bu istisnanın yalnızca orada açıkça listelenen veya aynı kategoride (ejusdem generis) sınıflandırılabilen faaliyetler için geçerli olduğu dikkate alınmalıdır.

Bayan Lindqvist’in yaptığı şekilde gerçekleştirilen hayırseverlik veya din ile ilgili faaliyetler, 95/46 sayılı Direktifin 3(2) maddesinin birinci bendinde listelenen faaliyetlere eşdeğer kabul edilemez ve bu nedenle de istisna kapsamında değildir.

95/46 sayılı Direktif’in 3(2) maddesinin ikinci bendinde öngörülen istisna ile ilgili olarak, Direktif‘in önsözünde yer alan ilgili istisnaya ilişkin 12 no’lu resitalde, gerçek bir kişi tarafından münhasıran kişisel veya hane içi faaliyetlerde gerçekleştirilen veri işlemeye, yazışmalar ve adres kayıtlarının tutulması örnek gösterilmiştir.

Bu istisna, bireylerin özel ve aile yaşamlarını ilgilendiren faaliyetleri ile ilgili olacak şekilde yorumlanmalıdır, buna karşılık internette yayımlanan ve [bu nedenle] sınırsız sayıda insan tarafından erişilmesi mümkün hale gelen kişisel verilerin işlenmesinde ise bu istisnanın uygulanması mümkün değildir.

Üçüncü sorunun yanıtı, birinci soruya verilen yanıtta açıklandığı üzere kişisel veri işlenme faaliyeti olarak tanımlanan bu faaliyetin 95/46 sayılı Direktif’in 3(2). maddesinde yer alan istisnaların hiçbirinin kapsamında olmadığı şeklinde olmalıdır.

Dördüncü Soru

Dördüncü soru ile Mahkeme bir bireyin ayağını incittiği ve sağlık sorunu sebebiyle yarı zamanlı izinde olduğundan bahsedilmesinin 95/46 sayılı Direktif’in 8(1). maddesi bağlamında sağlıkla ilgili kişisel veri içerip içermediğini bilmek istemektedir.

Direktif’in amacı göz önünde tutulduğunda, 8(1). maddede kullanılan ‘sağlıkla ilgili veriler’ ifadesi, bir kişinin fiziksel ve zihinsel sağlığı dahil sağlığı ile ilgili tüm yönlerini kapsayacak şekilde geniş bir yoruma tabi tutulmalıdır.

Bu nedenle dördüncü sorunun cevabı, bir bireyin ayağını incittiği ve sağlık sorunu sebebiyle yarı zamanlı izinde olduğundan bahsedilmesinin 95/46 sayılı Direktif‘in 8(1). maddesi bağlamında sağlıkla ilgili kişisel veri oluşturacağı şeklinde olmalıdır.

Beşinci Soru

Beşinci soru ile Mahkeme, bir Üye Ülkede yerleşik bir kişinin, ilgili Ülkede veya başka bir Üye Ülkede yerleşik bir gerçek veya tüzel kişi (“yer sağlayıcı”) tarafından erişilebilen ve barındırılan bir internet sitesinde yer alan internet sayfasına kişisel verileri yüklemesinin ve böylelikle bu verileri üçüncü bir ülkedeki insanlar da dahil olmak üzere internete bağlanan herkes için erişilebilir hale getirmesinin, 95/46 sayılı Direktif’in 25. maddesi uyarınca herhangi bir verinin üçüncü bir ülkeye aktarımı olarak değerlendirilip değerlendirilmeyeceğini bilmek istemektedir. Mahkeme ayrıca, üçüncü bir ülkeden hiç kimse bu verilere gerçekten erişmemiş olsaydı veya internet sayfasının depolandığı sunucu fiziksel olarak üçüncü bir ülkede olsaydı da bu soruya verilecek cevabın aynı olup olmadığını da sormaktadır.

Mahkemeye sunulan görüşler

Komisyon ve İsveç Hükümeti, kişisel verilerin bilgisayar vasıtasıyla bir internet sayfasına yüklenmesinin, dolayısıyla bu verilere üçüncü ülkelerin vatandaşlarının erişebilmesinin 95/46 sayılı Direktif bağlamında üçüncü bir ülkeye veri aktarımı oluşturduğu görüşündedir. Üçüncü ülkeden hiç kimse gerçekten verilere erişmemiş olsaydı veya verilerin depolandığı sunucu fiziksel olarak üçüncü bir ülkede olsaydı dahi cevabın aynı olacağı görüşündedir.

Hollanda Hükümeti, ‘aktarım’ kavramının 95/46 sayılı Direktif tarafından tanımlanmadığına işaret etmektedir. Hollanda Hükümeti, ilk olarak bu kavramın; kişisel verilerin bir Üye Ülkenin yetki alanından üçüncü bir ülkeye kasıtlı olarak aktarılması eylemine atıfta bulunduğunu ve ikinci olarak; verilerin üçüncü taraflarca erişilebilir kılınmasının farklı yolları arasında hiçbir ayrım yapılamayacağı görüşündedir. Hollanda Hükümeti, kişisel verilerin bilgisayar vasıtasıyla bir internet sayfasına yüklenmesinin 95/46 sayılı Direktif’in 25. maddesi bağlamında üçüncü bir ülkeye kişisel veri aktarımı olarak değerlendirilemeyeceği görüşündedir.

Birleşik Krallık Hükümeti göre, 95/46 sayılı Direktif’in 25. maddesi, verilerin üçüncü ülkelerden erişilebilirliği ile ilgili değil, üçüncü ülkelere aktarımına ilişkindir; ‘Aktarım’ kavramı, kişisel verilerin bir yerden ve kişiden bir başka yere ve kişiye iletilmesini ifade eder. 95/46 sayılı Direktif’in 25. maddesi gereğince yalnızca böyle bir aktarım söz konusu ise Üye Ülkeler, üçüncü bir ülkede kişisel verilerin yeterli düzeyde korunmasını sağlamalıdır.

Mahkemenin Yanıtı

95/46 sayılı Direktif, 25. maddede veya 2. madde dahil olmak üzere diğer hiçbir hükümde ‘üçüncü bir ülkeye aktarım’ ifadesini tanımlamaz.

Kişisel verilerin bir internet sayfasına yüklenmesinin, 95/46 sayılı Direktif’in 25. maddesi bağlamında üçüncü bir ülkeye ‘aktarım’ teşkil edip etmediğini ve yalnızca üçüncü bir ülkedeki kişilerin erişimine açık hale getirilip getirilmediğini tespit etmek amacıyla, hem bu şekilde yürütülen faaliyetlerin teknik niteliğini hem de Direktif’in IV. bölümünün amacını ve şeklini dikkate almak gereklidir.

İnternet ortamındaki bilgilere birçok yerde yaşayan sınırsız sayıda insan tarafından hemen her zaman erişilebilmektedir. Bu bilgilerin her yerde mevcut olması, teknik olarak internete bağlanmanın nispeten kolay olmasının ve giderek daha ucuz hale gelmesinin bir sonucudur.

1990’lı yıllarda Bayan Lindqvist gibi kişilere sunulan internet kullanım prosedürlerine göre, internette yayımlanmak üzere tasarlanmış bir sayfanın yazarı, o sayfayı oluşturan verileri -söz konusu verileri depolamak ve siteyi barındıran sunucuyu internete bağlamak için gereken bilgisayar altyapısını yöneten- yer sağlayıcısına iletir. Bu altyapı sistemi, internete bağlanan ve bu verilere erişmek isteyen herkese verilerin iletilmesini sağlar. Kullanıcılar farkında ya da farkına varacak durumda olmasalar dahi, bu altyapıyı oluşturan bilgisayarların yer sağlayıcının kurulu olduğu ülke dışında bir veya birden fazla ülkede bulunması mümkündür ve aslında çoğu zaman da öyle olur.

Dava dosyasından anlaşıldığı üzere, bir internet kullanıcısı, Bayan Lindqvist’in iş arkadaşları hakkındaki bilgileri kapsayan internet sayfasındaki bilgilere erişmek için sadece internete bağlanmakla kalmamalı aynı zamanda bu sayfaya erişmek için gerekli işlemleri bizzat yapmalıdır. Başka bir deyişle, Bayan Lindqvist’in internet sayfası, bu bilgilere kasıtlı olarak erişme amacında olmayan kişilere bu bilgileri otomatik olarak gönderecek teknik araçları içermemektedir.

Asıl davada olduğu gibi durumlarda, üçüncü ülkedeki bir kişinin bilgisayarında görünen ve bunları bir internet sitesine yükleyen bir kişiden gelen kişisel verilerin, bu iki kişi arasında doğrudan aktarılmadığı fakat sayfanın barındırıldığı [hosting] yer sağlayıcısının bilgisayar altyapısı aracılığıyla aktarıldığı anlaşılmaktadır.

Bu bağlamda, Topluluk yasama organının, 95/46 sayılı Direktif’in IV. bölümünün uygulanması amacıyla, Bayan Lindqvist tarafından gerçekleştirilen faaliyetler ve benzerlerini; bu Direktif‘in 25. maddesi bağlamında ‘üçüncü bir ülkeye veri aktarımı’ ifadesine dahil etmeyi amaçlayıp amaçlamadığı incelenmelidir. Sevk eden Mahkeme tarafından sorulan beşinci sorunun, yer sağlayıcıları tarafından gerçekleştirilen faaliyetlerle değil, yalnızca söz konusu faaliyetlerle ilgili olduğu vurgulanmalıdır.

25. maddenin yer aldığı 95/46 sayılı Direktif’in IV. bölümü, Üye Ülkelerin üçüncü ülkelere kişisel veri aktarımlarını izlemesine izin vermeyi amaçlayan özel kurallar aracılığıyla özel bir rejim oluşturur. Bu Bölüm, kişisel verilerin işlenmesinin hukuka uygunluğuna ilişkin Direktif‘in II. Bölümü tarafından oluşturulan genel rejimi tamamlayıcı bir rejim oluşturmaktadır.

Bölüm IV’ün amacı, 95/46 sayılı Direktif’in önsözünde yer alan 56. ile 60 no’lu resitallerle tanımlanmıştır ki bu da diğer hususların yanı sıra, Direktif tarafından güvence altına alınan Topluluk içerisindeki bireylere sağlanan korumanın, yeterli düzeyde koruma sağlayan üçüncü ülkelere kişisel verilerin aktarılmasına engel olmamasına rağmen, bu tür bir korumanın yeterliliğinin, bir veya bir dizi transfer işlemini çevreleyen tüm koşullar ışığında değerlendirilmesi gerektiğini ifade eder. Üçüncü bir ülkenin yeterli seviyede koruma sağlamadığı durumlarda, kişisel verilerin o ülkeye aktarılması yasaklanmalıdır.

95/46 sayılı Direktif’in 25. maddesi, ülkelerin her birinde bu tür verilere sağlanan koruma seviyeyi ışığında kişisel verilerin üçüncü ülkelere aktarımını izlemek amacıyla Üye Ülkelere ve Komisyon’a bir dizi yükümlülük getirmektedir.

Özellikle 95/46 sayılı Direktif’in 25(4) maddesi, Komisyon’un üçüncü bir ülkenin yeterli seviyede koruma sağlamadığını tespit etmesi durumunda, Üye Ülkelerin, kişisel verilerin söz konusu üçüncü ülkeye aktarılmasını önlemek için gerekli önlemleri almalarını sağlamaktadır.

95/46 sayılı Direktif’in IV. Bölümü internet kullanımına ilişkin herhangi bir hüküm içermemektedir. Bu hüküm; özellikle yer sağlayıcılar tarafından gerçekleştirilen işlemlerin, hizmetin kurulduğu yerde mi, iş adresinde mi yoksa hizmetin altyapısını oluşturan bilgisayar veya bilgisayarların bulunduğu yerde mi gerçekleştiğinin kararlaştırılmasında kriterler belirlememektedir.

İlk olarak, 95/46 sayılı Direktif’in hazırlandığı sırada internetin gelişim durumu ve ikinci olarak, bölüm IV’te internet kullanımı için geçerli kriterlerin olmaması göz önüne alındığında, Topluluk yasama organının, Bayan Lindqvist’in pozisyonundaki bir kişi tarafından bir internet sayfasına veri yüklenmesini kapsayacak şekilde, bu veriler teknik araçlarla üçüncü ülkelerdeki kişiler tarafından erişilebilir kılınmış olsa bile, ‘verilerin üçüncü bir ülkeye aktarılması’ ifadesini kast ettiği varsayılamaz.

95/46 sayılı Direktif’in 25. maddesi, kişisel verilerin bir internet sayfasına her yüklendiğinde ‘[verilerin] üçüncü bir ülkeye aktarım’ olduğu şeklinde yorumlansaydı, bu aktarım zorunlu olarak, internete erişmek için gereken teknik araçların olduğu tüm üçüncü ülkelere bir aktarım olurdu. Direktif’in IV. Bölümünde öngörülen özel rejim, bu nedenle, internet üzerindeki işlemlerle ilgili olarak zorunlu olarak genel bir uygulama rejimi haline gelecektir. Dolayısıyla, Komisyon, 95/46 sayılı Direktif’in 25(4) maddesi uyarınca, sadece bir üçüncü ülkenin bile yeterli koruma sağlamadığını tespit etse, Üye Ülkeler herhangi bir kişisel verinin internete konulmasını engellemekle yükümlü olurdu.

Buna göre, 95/46 sayılı Direktif’in 25. maddesinin, Bayan Lindqvist tarafından gerçekleştirilen işlemler gibi işlemlerin, bu şekilde bir ‘verilerin üçüncü bir ülkeye aktarılması’ anlamına gelmediği şeklinde yorumlanması gerektiği sonucuna varılmalıdır. Bu nedenle, üçüncü bir ülkeden bir kişinin ilgili internet sayfasına erişip erişmediğini veya o barındırma hizmetinin sunucusunun fiziksel olarak üçüncü bir ülkede olup olmadığını araştırmak gereksizdir.

Bu nedenle beşinci soruya verilecek yanıt; Bir Üye Ülkedeki bireyin, o Ülkede veya başka bir Üye Ülkede yerleşik olan bir yer sağlayıcısı tarafından barındırılan bir internet sayfasına kişisel verileri yüklediği ve böylece bu verilere bir başka Üye Ülkedeki kişiler de dahil olmak üzere internete bağlanan herkes tarafından erişilebilir hale getirildiği durumlarda, 95/46 sayılı Direktif’in 25. maddesi anlamında ‘üçüncü bir ülkeye veri aktarımı’ olmadığı şeklinde olmalıdır.

Altıncı Soru

Mahkeme yönelttiği altıncı soru ile, 95/46 sayılı Direktif hükümlerinin asıl davadaki işleme faaliyetindeki gibi bir durumda Avrupa Birliği‘nde uygulanabilir olan ve AİHS’in diğer maddelerinin yanı sıra 10’uncu maddesinde yer alan ifade özgürlüğü ya da diğer hak ve özgürlüklere bir kısıtlama getirip getirmediğini bilmek istemektedir.

Mahkemeye sunulan görüşler

Diğerlerinin yanı sıra, Bayan Lindqvist, C-274/99 P Connolly / Komisyon [2001] ECR I-1611’e atıfta bulunarak, 95/46 sayılı Direktif’in ve PUL’un, bir denetim otoritesinin ön onayı ve ön bildirimi ile ilgili gereklilikleri ve hassas kişisel verilerin işlenmesini yasaklama ilkesini ortaya koydukları ölçüde Topluluk Hukukunda güvence altına alınan ifade özgürlüğü genel ilkesine aykırı olduğunu ileri sürmektedir. Daha özel olarak, Bayan Lindqvist, “kişisel verinin tamamen ya da kısmen elektronik araçlarla işlenmesi” tanımının öngörülebilirlik ve tutarlılık kriterlerini karşılamadığını ileri sürmektedir.

Ayrıca Bayan Lindqvist, gerçek bir kişiden yalnızca ismen bahsedilmesinin, telefon bilgilerinin ya da çalışma koşullarının açıklanmasının, sağlık durumu ve hobileri bilgi verilmesinin, kamuya açık, herkesçe bilinen veya önemsiz olan bilgilerin paylaşılmasının özel hayata saygı hakkı yönünden önemli bir ihlal teşkil etmediğini ileri sürmektedir. Bayan Lindqvist her hâlükârda 95/46 sayılı Direktif’in dayattığı kısıtlamaların başkalarının itibarını ve özel hayatını koruma hedefiyle orantısız olduğunu düşünmektedir.

İsveç Hükümet’ine göre 95/46 sayılı Direktif, risk altında olan menfaatlerin birbirlerine karşı ağırlığının tartılmasına izin vermektedir, bu yolla da ifade özgürlüğünün ve özel hayatın korunmasını güvence altına almaktadır. Hükümet, her bir münferit davanın olguları ışığında yalnızca ulusal mahkemelerin diğerlerinin haklarının korunmasına dair kuralların uygulanmasının gerektirdiği ifade özgürlüğü hakkının kullanılmasına getirilen kısıtlamanın orantılı olup olmadığını belirleyebileceğini de eklemektedir.

Hollanda Hükümeti hem ifade özgürlüğünün hem de özel yaşama saygı hakkının, Mahkeme’nin saygı gösterdiği hukukun genel ilkeleri arasında olduğuna ve AİHS’in çeşitli temel haklar arasında bir hiyerarşi kurmadığına dikkat çekmektedir. Bu nedenle Hükümet, her bir münferit davanın koşullarını hesaba katarak yerel mahkemenin çeşitli temel haklar arasında bir denge kurmaya çalışması gerektiğini düşünmektedir.

Birleşik Krallık Hükümeti, bu kararın 55 no’lu paragrafında yer alan beşinci soruya önerilen cevabın, temel haklara tamamen uygun olduğunu ve ifade özgürlüğü üzerindeki orantısız kısıtlamalardan kaçındığını belirtmektedir. Kişisel verilerin belirli bir biçimde, yani bir internet sayfasında yayımlanmasının, kağıt gibi diğer formlarda yayımlanmak için geçerli olan kısıtlamalardan çok daha büyük kısıtlamalara tabi olduğu anlamına gelen bir yorumu meşru göstermenin de zor olduğunu da eklemektedir.

Komisyon ayrıca 95/46 Sayılı Direktif’in, diğerlerinin yanı sıra AİHS 10. maddede belirtilen haklara karşılık gelen, genel ifade özgürlüğü ilkesi ve Avrupa Birliği’nde uygulanabilir diğer hak ve özgürlüklere aykırı herhangi bir kısıtlama getirmediğini de belirtmektedir.

Mahkemenin Yanıtı

95/46 sayılı Direktif’in önsözünde yer alan 7 no’lu resitale göre, ortak pazarın kurulması ve işletilmesi, kişisel verilerin işlenmesine uygulanan ulusal kurallardaki farklılıklardan ciddi şekilde etkilenebilir. Direktif’in 3 no’lu resitaline göre, bu ulusal kuralların uyumlaştırılması yalnızca verinin Üye Ülkeler arasında serbest akışını değil, aynı zamanda bireylerin temel haklarının korunmasını da sağlamayı amaçlamalıdır. Bu hedefler elbette ki birbiriyle uyumsuz olabilir.

İç pazarın kurulması ve işleyişinden kaynaklanan ekonomik ve sosyal bütünleşme, Üye Ülkelerin ister işletmesi ister kamu otoritesi olsun, Üye Ülkelerdeki ekonomik ve sosyal faaliyetlerde özel ve kamusal sıfatla yer alan herkes arasındaki sınır ötesi kişisel veri akışlarında mutlaka önemli bir artışa yol açacaktır. Bu şekilde dahil olanlar, iç pazarın oluşturduğu dahili sınırlar olmaksızın işlemlerini gerçekleştirmek ya da bölgede görevlerini yerine getirmek için, bir dereceye kadar, kişisel verilere erişmeye ihtiyaç duyacaktır.

Diğer yandan kişisel verilerin işlenmesinden etkilenenler, doğal olarak, bu verilerin etkili şekilde korunmuş olmasına ihtiyaç duyacaktır.

Direktif’te farklı hak ve menfaatlerin dengede olmasına izin veren mekanizmalar bulunmaktadır. Öyle ki 95/46 sayılı Direktif, kişisel verilerin işlenmesinin hangi durumlarda ve ne ölçüde hukuka uygun olduğunu ve bununla birlikte hangi güvencelerin sağlanması gerektiğini belirleyen kurallar öngörmektedir. Üye Ülkelerin bu Direktif’i uygulayan ulusal hükümleri kabul etmesi ve ulusal otoritelerin de [bu hükümleri] uygulaması gerekmektedir.

95/46 Sayılı Direktif’in hükümleri, çok sayıda farklı duruma uygulanması gerektiğinden, zorunlu olarak görece geneldir. Bayan Lindqvist’in iddialarının aksine Direktif, bir dereceye kadar esnekliği olan kuralları oldukça uygun bir şekilde içerir ve birçok durumda ayrıntılara karar verme ya da seçenekler arasında tercih yapma görevini Üye Ülkelere bırakır.

Pek çok açıdan Üye Ülkelerin, 95/46 Sayılı Direktif’i uygularken bir manevra alanları olduğu doğrudur. Bununla birlikte, (Direktif’in) sağladığı rejimin öngörülebilirlikten yoksun olduğunu veya hükümlerinin Topluluk Hukukunun genel ilkelerine ve özellikle de Topluluk Hukuku tarafından korunan temel haklara aykırı olduğunu gösteren hiçbir şey yoktur.

Bu nedenle, daha ziyade münferit durumlarda 95/46 sayılı Direktif’i benimseyen mevzuatın ulusal düzeyde uygulanması aşamasında, ilgili hak ve menfaatler arasında bir denge kurulması gerekir.

Bu kapsamda esas yargılamadaki davada gösterildiği gibi özü itibariyle, Bayan Lindqvits’in internet sitesine koyduğu verilerin ilişkili olduğu bireylerin özel hayatının korunması karşısında ağırlığı ölçülmesi gereken temel haklar, Bayan Lindqvits’in insanları cemaate hazırlama işindeki ifade özgürlüğü ve dini yaşama katkıda bulunan faaliyetleri gerçekleştirme özgürlüğü gibi temel haklarıdır.

Sonuç olarak, Üye Ülkelerin Otoriteleri ve Mahkemeleri, yalnızca kendi ulusal hukuklarını 95/46 Sayılı Direktif’le tutarlı bir şekilde yorumlamakla kalmayıp, aynı zamanda Direktif’in bu yorumunun Topluluk Hukuku tarafından korunan temel hakların ve örneğin, orantılılık ilkesi gibi Topluluk Hukukunun diğer genel ilkeleri ile çelişmediğinden de emin olmalıdırlar.

Özel hayatın korunmasının, kişisel verileri 95/46 sayılı Direktif’e aykırı şekillerde işleyen kişilere karşı etkili yaptırımların uygulanmasını gerektirdiği doğru olsa da, bu tür yaptırımlar her zaman orantılılık ilkesini dikkate almalıdır. 95/46 sayılı Direktif’in kapsamı çok geniş olduğundan ve kişisel verileri işleyenlerin yükümlülükleri çok ve önemli olduğundan bu daha önemlidir.

Dosyayı sevk eden Mahkeme, orantılılık ilkesi uyarınca özellikle 95/46 sayılı Direktif’î uygulayan kuralların ihlal süresi ve açıklanan verinin korunmasının ilgili kişiler için önemini de göz önünde bulundurmak üzere bakmakta olduğu davaların tüm koşullarını hesaba katmalıdır.

Bu nedenle, altıncı sorunun cevabı, 95/46 sayılı Direktif hükümlerinin, Avrupa Birliği içinde geçerli olan ve diğerlerinin yanı sıra AİHS’nin 10.maddesinde yer alan genel ifade özgürlüğü ilkeleri veya diğer hak ve özgürlüklerle çelişen bir kısıtlama getirmediği olmalıdır. 95/46 sayılı Direktif’i yürürlüğe koyan ulusal mevzuatın uygulanmasından sorumlu ulusal otoriteler ve mahkemeler, Topluluk Hukuku tarafından korunan temel haklar da dahil olmak üzere, söz konusu haklar ve menfaatler arasında adil bir denge sağlamalıdır.

Yedinci soru

Yedinci soruya göre, sevk eden mahkeme esasında, kişisel verilerin, Üye Ülkeler tarafından 95/46 sayılı Direktif kapsamında belirtilen koruma koşullarında veya daha iyi koruma koşullarında korunup korunamayacağını tespit etmeyi amaçlamaktadır.

Mahkemeye sunulan görüşler

İsveç Hükümeti, 95/46 sayılı Direktif’in kişisel verilerin korunması açısından minimum koşullarla sınırlı olmadığını belirtmektedir. Üye Ülkeler, bu Direktif’in uygulanabilmesi için belirtilen koruma seviyesinden daha fazla veya daha az koruma sağlamak için yetkili değildirler. Bununla birlikte, kişisel veri işlemenin hukuka uygunluğu bakımından Direktif’i uygulayacak olan ülkenin iç hukukundaki genel kurallara göre ve ülkenin takdirine bağlı olarak değerlendirme yapılmalıdır.

Hollanda Hükümeti, Direktif’in Üye Ülkelerin belirli alanlarda Direktif’te belirtilen seviyeden daha yüksek bir güvenlik seviyesinin sağlanmasını istemesine engel olmadığını belirtmektedir. Açıkça görülüyor ki, Üye Ülkelerin Direktif’te belirlenen standartlardan daha geniş koruma şartlarını içeren düzenlemeler getirebilme imkanları da vardır. Bu sonuca örneğin Direktif’in 10, 11(1) ve 14’üncü maddenin ilk paragrafının alt paragrafı, 17(3), 18(5) ve 19(1)’uncu maddelerinden ulaşılmaktadır. Üstelik Üye Ülkeler 95/46 sayılı Direktif’in ilkelerini, Direktif kapsamında olmayan eylemler için uygulayıp uygulamamakta özgürdürler.

Komisyon, 95/46 sayılı Direktif’in, Antlaşma’nın 100a maddesine dayandığını ileri sürmekte ve bu da; Üye Ülkelerin bu yasayı yürürlüğe koymak ve tanımak isterlerse bu tür uyum yasalarını ihlal eden yasaları AB madde 95/4 ve 95/5’e göre Komisyon’a bildirmek zorunda oldukları anlamına gelmektedir. Bundan dolayı Komisyon, Üye Ülkelerin kişisel veri korunması açısından daha kapsamlı bir hüküm veremeyeceğini ya da bu Direktif kapsamında daha kapsamlı zorunluluklar getiremeyeceğini belirtmektedir.

Mahkemenin Yanıtı

95/46 sayılı Direktif, önsözün 8 no’lu resitalinde bölümünde görüldüğü gibi, kişisel verilerin işlenmesi konusunda bireysel hak ve özgürlüklerin Üye Ülkeler arasında aynı seviyede korunduğundan emin olmayı amaçlamaktadır. 10 no’lu resital, ülkenin yürürlükte olan hukukundaki yaklaşımının ülkenin veri koruma konusundaki çabasında bir azalmaya neden olmamasını, bununla birlikte ülkede toplum için yüksek bir koruma seviyesinin amaçlandığından emin olunması gerektiğini eklemektedir.

Sonuç olarak, bu ulusal yasaların uyumlaştırılması, temel uyumlaştırma ile sınırlı olmayıp, genel olarak kapsamlı bir uyumlaştırmadır. 95/46 sayılı Direktif bu inanca dayanmaktadır ve kişisel verilerin serbest dolaşımını sağlamayı ve aynı zamanda bu verilerin ilgili olduğu kişilerin hak ve menfaatleri için yüksek düzeyde koruma sağlamayı amaçlamaktadır.

95/46 sayılı Direktif, Üye Ülkelere belli alanlarda manevra alanı tanımakta ve çok sayıda hükmünün kanıtladığı gibi, onlara belirli durumlar için özel kanunları tutma veya oluşturma yetkisi vermektedir. Ancak, bu tür seçenekler 95/46 sayılı Direktif doğrultusunda ve kişisel verilerin serbest dolaşımı ile özel hayatın korunması arasındaki dengeyi koruma hedefine ulaşmak için kullanılmalıdır.

Diğer yandan, 95/46 sayılı Direktif’in hiçbir hükmü ulusal hukukun alanına girerek, Üye Ülkelerin kendi iç hukukunu uygulamasını engelleyemez, yeter ki bunu daha önceden engelleyen bir Topluluk Hukuku kuralı olmasın.

Bu hususlar göz önünde bulundurulduğunda, yedinci sorunun cevabı şöyle olmalıdır: Üye Ülkelerin kişisel verilerin korunması için aldığı önlemlerin, 95/46 sayılı Direktif’in korumak istediği amaçlardan ikisi -kişisel verilerin serbestçe dolaşımı ile özel hayatın gizliliği- arasında denge sağladığından emin olunmalıdır. Ancak, Direktif’in hiçbir hükmü, daha önceden bunu engelleyecek bir Topluluk Hukuku kuralı olmadıkça, ulusal hukukun alanına girerek Üye Ülkelerin kendi iç hukukunu uygulamasını engelleyemez.

Yargılama Masrafları

Mahkemeye görüşlerini sunan İsveç, Hollanda ve Birleşik Krallık Hükümetleri ile Komisyon ve EFTA Gözetim Otoritesi tarafından yapılan masraflar geri alınamamaktadır. Asıl davanın tarafları bakımından bu işlemler ulusal mahkemede devam eden yargılamanın bir aşaması olduğundan, masraflara ilişkin karar, işbu mahkemenin meselesidir.

Bu temellere dayanarak,

MAHKEME

23 Şubat 2001 tarihli talimatla Göta Hovrätt tarafından kendisine sunulan sorulara cevaben aşağıdaki gibi hüküm kurmuştur:

1. Yasaya atıfta bulunarak, bir internet sayfasındaki çeşitli kişilere ve onları tanımlayan isim ya da diğer bir şekliyle, örneğin telefon numaralarını, çalışma koşullarını, hobilerini vermesi Avrupa Konseyi ve Avrupa Parlementosu’nun 24 Ekim 1995 Tarih, 96/46/AB sayılı Kişisel Verilerin İşlenmesine İlişkin Olarak Bireylerin Korunması ve Verilerin Serbest Dolaşımına İlişkin Direktif’in 3(1) maddesi uyarınca kişisel verilerin tamamen veya kısmen otomatik olarak işlenmesidir.
2. Kişisel verilerin bahse konu şekilde işlenmesi, 95/46 Sayılı Direktif’in madde 3(2) hükmü kapsamında istisna teşkil etmez.
3. Bir bireyin ayağını incitmesi ve sağlık sorunu sebebiyle yarı zamanlı izinde olmasına atıf yapılması, 95/46 sayılı Direktif’in madde 8(1) hükmüne göre sağlık verilerinin işlenmesidir.
4. Üye Ülkedeki bir kişinin, kişisel verileri, o Ülkede veya başka bir Üye Ülkede yerleşik bir gerçek veya tüzel kişi tarafından barındırılan ve erişilebilen bir internet sayfasına yüklemesi ve böylece bu verilerin üçüncü ülkedeki insanlar da dahil olmak üzere, herkes tarafından erişilebilir hale getirilmesi, 95/45 sayılı Direktif’in 25 maddesi kapsamında “üçüncü bir ülkeye veri aktarımı” teşkil etmez.
5. 95/46 sayılı Direktif hükümleri, kendi başlarına, Avrupa Birliği içinde geçerli olan ve diğerlerinin yanı sıra 4 Kasım 1950’de Roma’da imzalanan Avrupa İnsan Hakları Sözleşmesi’nin 10. maddesinde yer alan ifade özgürlüğünün genel ilkeleri veya diğer özgürlükler ve haklar ile çelişen bir kısıtlama getirmemektedir. Topluluk Hukuku tarafından güvence altına alınan temel haklar da dahil olmak üzere, söz konusu haklar ve menfaatler arasında adil bir denge kurmak, 95/46 sayılı Direktif’in uygulanmasından sorumlu ulusal makamlara ve mahkemelere bağlıdır.
6. Üye Ülkeler tarafından kişisel verilerin korunmasını sağlamak için alınan önlemler, hem 95/46 sayılı Direktif’in hükümleriyle hem de kişisel verilerin serbest dolaşımı ile özel hayatın korunması arasındaki dengeyi koruma amacı ile tutarlı olmalıdır. Bununla birlikte hiçbir durum, bir Üye Ülkenin 95/46 sayılı Direktif’in hükümlerini uygulayan ulusal mevzuatının kapsamını, Topluluk Hukukunun başka hiçbir hükmünün bunu engellememesi koşuluyla, kapsamına dâhil olmayan alanlara genişletmesini engelleyemez.

Jann Gulmann Cunha Rodrigues Puissochet

Timmermans Rosas  Macken

Guldman Edward von Bahr

6 Kasım 2003’te Lüksemburg’taki açık mahkemede karar verilmiştir.

 Katip     R. Grass

 Başkan  V. Skouris

[1]Çevirmen Notu: Konu hakkında bkz. http://european-convention.europa.eu/EN/glossessent/glossessent2352.html?lang=EN (Erişim Tarihi: 23.10.2021)