Avrupa

Avrupa Polis Ofisi (Europol) Tarafından İlgili Kişi Kategorisi Belirlenmemiş Veri Setlerinin Muhafaza Edilmesine İlişkin Avrupa Veri Koruma Denetçisi (EDPS) Kararının Özeti*

 

Giriş

  • Karar, Avrupa Polis Ofisi’nin, ilgili kişi kategorisi belirlenmemiş veri setlerinin muhafazası ve silinmesine ilişkin veri saklama politikasıyla ilgili olup Avrupa Veri Koruma Denetçisi’nin konu hakkında resen yürüttüğü soruşturma neticesinde verilmiştir.
  • Konu ile ilgili olarak 17.09.2020 tarihinde Avrupa Veri Koruma Denetçisi tarafından Avrupa Polis Ofisi’nin büyük veri işlemesine ilişkin bir uyarı da yapılmıştır.
  • Büyük veri setleri, içerdikleri verinin hacmi, yapısı veya formatı nedeniyle Avrupa Polis Ofisi Operasyonel Ağında işlenemeyen veri setleri olarak tanımlanmaktadır.
  • İlgili kişi veri kategorisi belirlenmemiş veri setlerinden kastedilen özellikleri ve boyutları nedeniyle Avrupa Polis Ofisi Tüzüğü’nde belirtilen veri sınıflandırma sürecinden geçemeyen veri setleridir.

Avrupa Veri Koruma Denetçisi Tarafından Avrupa Polis Ofisi Hakkında Yürütülen Soruşturma

  • 04.2019 tarihinde Avrupa Veri Koruma Denetçisi tarafından, Avrupa Polis Ofisi’nin stratejik ve operasyonel analiz amacıyla büyük veri işlemesiyle ilgili resen

soruşturma açılmasına karar verilmiştir.

  • Zira Avrupa Polis Ofisi’nin büyük veri analizine doğru evrilen kişisel veri işleme faaliyeti, amaç sınırlaması, veri minimizasyonu, veri doğruluğu, saklama süreleri ve veri güvenliği bakımından endişeler yaratmaya başlamıştır.
  • Soruşturma 17.09.2020 tarihinde sonuçlandırılmış ve Avrupa Polis Ofisi tarafından büyük veri setlerinin işlenmesi faaliyetinin Avrupa Polis Ofisi Tüzüğü’nün 18/3, 18/5 ve Ek II B hükümlerine ve ayrıca 28/1-c hükmünde düzenlenen veri minimizasyonu ilkesine uygun olmadığına karar verilmiş ve Avrupa Polis Ofisi’ne yönelik bir uyarı yayınlanmıştır.
  • Avrupa Veri Koruma Denetçisi, Avrupa Polis Ofisi’nin bir veri sorumlusu olarak operasyonel kabiliyetlerini yitirmeden ilgili kişiler için riskleri azaltabilecek önlemleri almakta daha iyi bir pozisyonda olduğunu belirtmiştir. Bu nedenle de Avrupa Veri Koruma Denetçisi, Avrupa Polis Ofisi Tüzüğü’nün 43(3)(e) ve (f) maddeleri uyarınca kişisel verilerin silinmesi veya yasaklanması yönünde bir karar vermenin bu aşamada gerekli olmadığına karar vermiştir.
  • Bununla birlikte, ilgili kişilerin temel hak ve özgürlükleri üzerindeki potansiyel risklerden ötürü Avrupa Veri Koruma Denetçisi, Avrupa Polis Ofisi’ni kişisel veri işleme faaliyetinin ilgili kişiler üzerindeki etkisinin azaltılması için gerekli tüm önlemleri almaya, raporun ardından 2 ay içerisinde bir eylem planı sunmaya ve 6 ay içinde de alınan önlemleri rapor etmeye davet etmiştir.

Avrupa Polis Ofisi’nin Eylem Planı

  • Avrupa Polis Ofisi, 17.11.2020 tarihinde, Avrupa Veri Koruma Denetçisi kararında ortaya konulan riskleri ele almak için alınan önlemleri detaylandıran bir Eylem Planı sunmuştur.
  • Bu eylem planında ‘Yeni Adli Ortam’ olarak adlandırılan büyük veri setlerini işlemek için kullanılan ‘Adli Bilgisayar Ağı’ için birtakım yeni önlemler geliştirildiği duyurulmuştur:

(1) SIENA[1]’da İlgili Kişi Kategorisi olmayan veri setlerinin işaretlenmesi

(2) Çıkarma işlemine başlamadan önce bu veri setlerinin Avrupa Polis Ofisi ağında etiketlenmesi

(3) Çıkarma işlemi sürecinde bu veri setlerine olan erişimin katı erişim kurallarıyla sınırlandırılması

(4) Çıkarma sürecinden geçmemiş olan büyük veri setlerinin saklanması veya silinmesi gerekip gerekmediği hususunda üç ayda bir gözden geçirme işlemi uygulanması

(5) Veri işleme sürecinin yakından gözlenmesi için Veri Kalite Kontrol Koordinatörü atanması

  • 12.2020 tarihinde Avrupa Veri Koruma Denetçisi, Eylem Planı hakkında değerlendirme yapmış ve bazı hususlarla ilgili daha fazla açıklama talep etmiştir. Örneğin, büyük veri setlerinin gözden geçirme sürecinin etkinliğine, çıkarma işleminin tam içeriğine ve uygulanacak politikaya ve bu işlemin ne kadar zaman süreceğine ilişkin daha fazla bilgi istenmiştir.
  • 03.2021 tarihinde Avrupa Polis Ofisi bir İlerleme Raporu sunmuştur. Bu raporda Avrupa Veri Koruma Denetçisi’nin veri setleri için azami saklama süresi belirlenmesine ilişkin talebine, verilerin, “ilgili soruşturmayı desteklemek için gerekli ve orantılı olduğu sürece saklanacağı” şeklinde yanıt vermişlerdir.
  • 04.2021 tarihinde Avrupa Veri Koruma Denetçisi, Avrupa Polis Ofisi’nin ilerleme raporuna ilişkin değerlendirmeler içeren bir mektup göndermiştir. Bu mektupta veri minimizasyonu ve ilgili kişi kategorisi belirlenmemiş veri setlerinin saklanması ile ilgili ciddi endişeler iletilmiştir. Avrupa Veri Koruma Denetçisi, özellikle veri setlerinin çıkartılma ve azami saklama sürelerine ilişkin belirli bir süre verilmemiş olduğunu vurgulamıştır.
  • 06.2021 tarihinde Avrupa Polis Ofisi, Avrupa Veri Koruma Denetçisi’ne yanıt vermiştir. Bu cevapta da kesin bir tarih vermekten kaçınılmış ve üye devletlerden gelen talepler doğrultusunda devam eden soruşturmalarla ilgili veri saklama gerekliliği ve orantılılığını tespit etmek için arttırılmış incelemeler yapıldığı belirtilmiştir. Avrupa Polis Ofisi, varsayılan bir saklama süresi belirlemenin faaliyet alanları için uygun olmadığını ve derdest soruşturmaların sonucunu engelleyeceğini ifade etmiştir.
  • 07.2021 tarihinde Avrupa Veri Koruma Denetçisi tarafından yazılan mektupta, Avrupa Polis Ofisi’nin kesin bir saklama süresi vermekten kaçınmasından ötürü ilgili kişi kategorisi belirlenmemiş veri setleri için uygun bir saklama süresinin resen belirleneceği ve bu süre sonunda verilerin kalıcı olarak silinmesi emri verileceği bildirilmiştir. Saklama süresi 6 ay olarak belirlenmiştir. Bununla birlikte Avrupa Veri Koruma Denetçisi, yaptırım uygulamadan önce Avrupa Polis Ofisi’ni gözlemlerini ve varsa alternatiflerini sunmaya davet etmiştir.
  • 10.2021 tarihinde Avrupa Polis Ofisi eylem planı dahilinde ikinci ilerleme raporunu sunmuştur. Bu raporda 6 aylık bir saklama süresinin büyük ve karmaşık veri setlerinin analizi için yeterli olmayacağı belirtilmiştir.
  • Avrupa Polis Ofisi, ilgili kişi kategorisi belirlenmemiş olanlar haricindeki verilerin Avrupa Polis Ofisi Tüzüğü’nde belirtilen amaçlar ve görevler kapsamında işlendiğini ifade etmiştir.
  • İlerleme raporunda, tüzüğün 28 ve 31’nci maddelerinin ve gereklilik ve orantılılık ilkelerinin hem operasyonel kişisel verilerin işlenmesi için hem de saklama süresinin belirlenmesi için uygulanabileceği ifade edilmiştir. Ayrıca, bu konuda açık bir hüküm bulunmamasından ötürü gereklilik ve orantılılık ilkelerini daha iyi karşılayan bir çözüme ihtiyaç duyulduğu belirtilmiş ve Avrupa Polis Ofisi Tüzüğü’nü değiştirmek için devam eden yasama süreci de dikkate alınarak Avrupa Veri Koruma Denetçisi’nden şu hususlar talep edilmiştir:

(1) 2016/79413 sayılı Avrupa Parlamentosu ve Avrupa Konseyi Tüzüğü yürürlüğe girene kadar silme emri çıkarılmasına ilişkin kararın ertelenmesi.

(2)Bu süre zarfında, mevcut yasama çalışmaları sırasında yasa koyucular tarafından ifade edilen ‘asgari ortak payda’ ile uyumlu bir saklama süresinin kabul edilmesi.

  • Avrupa Polis Ofisi tarafından yapılan öneri, ilgili kişi kategorisi belirlenmemiş büyük veri setlerinin 12 aylık süre boyunca saklanmasına, usulüne uygun gerekçelendirilmesi halinde ise 6 aylık bir süre için uzatılmasına imkân sağlayacaktır. Bu saklama süresi Avrupa Polis Ofisi tarafından spesifik olarak yürütülen soruşturmalar çerçevesinde işlenen kişisel verilere uygulanmayacaktır.

Bulgular

  • Eylem planı kapsamında SIENA ve NFE[2] (CFN[3] yerine geçen) uygulamalarına birtakım teknik kontroller uygulanmış ve yeni veri ortamına entegre edilmiştir.
  • Bu tedbirlerin içerisinde ilgili kişi kategorisi belirlenmemiş olan veri setlerinin farklı seviyelere göre işaretlenmesi, bu verilere sınırlı erişim sağlanması ve bu verilere erişimi olacak personele bu alana özel adli bilişim eğitimi verilmesi gibi hususlar vardır.
  • 09.2020 tarihli kararda belirtildiği üzere; Avrupa Polis Ofisi’nin büyük veri setlerini alırken bu veri setlerindeki tüm bilgilerin tüzük ile uyumlu olup olmadığını tespit etmesi mümkün değildir.
  • Çıkarma işlemi sırasında bir tür filtreleme (veri minimizasyonu) devreye girmektedir. İlgili kişi kategorisinin belirlenmediği veri setlerinde, çıkarma işlemi sırasında yetkilendirilmiş personel tarafından veri kategorisi belirlenmektedir. Çıkarılan veriler, veri miktarını azaltmak ve uyumluluğu sağlamak için uzmanlar tarafından bir kez daha gözden geçirilmektedir. Ardından veriler kullanılan analiz sistemleri aracılığıyla daha geniş bir kullanıcı grubu tarafından erişilebilir hale gelmektedir.
  • Avrupa Polis Ofisi tarafından çıkarma görevinin yerine getirilmesi için herhangi bir süre sınırlaması getirilmemiştir. Avrupa Polis Ofisi, çıkarma işlemi bitiminde ilgili kişi kategorisi tespit edilemeyen verilerin silindiğini belirtmektedir. Bununla birlikte bu görevin tamamlanması için son bir tarihin olmaması çıkarma sürecinin yıllarca sürebileceği anlamına da gelmektedir. Ceza soruşturmasında yeni bir gelişme olması halinde, çıkarmanın resmi olarak tamamlanmadığı veri setlerine analistler tarafından geri dönülebilmektedir.
  • Eylem planı kapsamında ilgili kişi kategorisi olmayan veri setlerinin saklanmasının gerekliliği ve orantılılığı üç ayda bir gözden geçirilmekte ve bu süreç Veri Kalite Kontrol Koordinatörü tarafından denetlenmektedir.
  • Verilere artık ihtiyaç duyulmadığında veriler, delil zincirini korumak için saklandıkları yerler dışında ve mahkemede kabul edilebilir olacak şekilde kalmak üzere silinmektedir. Delil zincirini korumak için tutulan veri setleri, ilgili kişi kategorisi olmayan veri setleri gibi güvenli konumda saklanacak ve benzer erişim kontrollerine tabi tutulacaktır.
  • Mevcut durumda Avrupa Polis Ofisi, ilgili kişi kategorisi olmayan büyük veri setlerini bağlantılı olduğu soruşturmaya destek için gerekli ve orantılı olduğu sürece saklamaktadır. Ancak, Avrupa Polis Ofisi gereklilik ve orantılılık değerlendirmesi için uyguladığı kriterlerin ne olduğunu açıklamamaktadır. Ancak mümkün olan en kısa sürede ve tüzükte tanımlanan veri saklama kurallarına uygunluğu sağlamak için gerekli tüm önlemleri aldığını belirtmektedir.
  • Avrupa Polis Ofisi, kendilerine önerilen 6 aylık sürenin, ilgili kişi kategorilerini belirlemek üzere büyük veri setlerini analiz edebilmeleri için yeterli olmayacağını belirtmektedir.

Hukuki Değerlendirme

  • Stratejik ve operasyonel analiz amacıyla Avrupa Polis Ofisi ile paylaşılan veri setlerinin tüzüğün 18(2) (b)(c); 18(3), 18(5) ve Ek II B hükümlerine göre işlenmesi gerekmektedir.
  • Avrupa Polis Ofisi Tüzüğü 18(3) hükmü, kişisel verilerin operasyonel analiz amacıyla işlenmesinin belirli güvencelere uygun olarak gerçekleştirilmesi gerektiğini belirtir. Bu doğrultuda kişisel veri kategorileri ve ilgili kişi kategorileri tanımlanmalıdır.
  • Avrupa Polis Ofisi Tüzüğü 18(5) hükmü, Ek II B’de listelendiği üzere, Avrupa Polis Ofisi tarafından stratejik ve operasyonel analiz amaçlarıyla toplanabilecek ve işlenebilecek veri kategorilerini sınırlandırmaktadır.
  • Ek II B, Avrupa Polis Ofisi’nin, verilerini işleyebileceği ilgili kişi kategorilerini “şüpheliler”, “gelecekteki potansiyel suçlular”, “irtibatlı kişiler ve iştirakçiler”, “mağdurlar”, “tanıklar” ve “muhbirler” olarak sınırlandırmaktadır.
  • Ek II B, belirtilen bu ilgili kişi gruplarının hangi kategorilerdeki kişisel verilerinin işlenebileceğini de belirtmektedir. Avrupa Polis Ofisi tarafından bu ilgili kişi grupları ve veri kategorilerinin ötesinde bir kişisel veri işleme faaliyeti gerçekleştirilmemelidir.
  • Tüm bu hükümler, tüzüğün 28(1) (c) hükmünde belirtilen operasyonel analiz amacıyla kişisel verilerin işlenmesi için veri minimizasyonu ilkesine etki etmektedir.
  • Yukarıda belirtilen hükümler ile veriler filtrelendikten sonra Avrupa Polis Ofisi Tüzüğü Madde 31 uyarınca saklama süreleri devreye girmektedir.
  • Soruşturma, bu operasyonel ihtiyacın, son yıllarda üye devletlerin Avrupa Polis Ofisi’ne giderek daha fazla veri göndermesinden kaynaklı olarak yeni doğduğunu ortaya koymaktadır.
  • Suç soruşturmaları ve cezai istihbarat operasyonları bağlamında ulusal düzeyde toplanan verilerin niteliği artık hedeflenen verilerle sınırlı olmayıp aynı zamanda büyük veri setlerinin toplanmasını da içermektedir.
  • 09.2020 tarihli Avrupa Veri Koruma Denetçisi kararında da belirtildiği üzere; ilgili kişi kategorisi belli olmayan veri setlerinin belirsiz bir süre boyunca ve potansiyel olarak 10 yıl sürebilen bir ceza soruşturması süresince saklanması Madde 18(5)’i ve EK II B’yi ihlal etmektedir.
  • Zira bu uygulama ile Avrupa Polis Ofisi, devam eden cezai soruşturma gerekçesiyle Ek II B’de listelenen ilgili kişi kategorilerinden herhangi birine girmeyen kişilerin verilerini uzun süreler boyunca saklayabilir ve gerekli gördüğü takdirlerde yenileyebilir.
  • Böyle bir riskin önlenmesi için Tüzükte bu hususla ilgili katı güvenceler getirilmiştir. Yani yasa koyucu Ek II B’yi dahil ederek Avrupa Polis Ofisi ile paylaşılan verilerin yalnızca suça konu eylem ile arasında açıkça bağlantı kurulmuş kişiler ile sınırlı olması gerektiğini belirlemiştir.
  • Çünkü bu veriler ulusal polis düzeyinden Avrupa Polis Ofisi’ne aktarıldığında birey için ulusal düzeyde mevcut olan potansiyel etki ve riskler üye ülkelerdeki tüm kolluk kuvvetleriyle veri paylaşılacağı için büyüyecektir.
  • Avrupa Veri Koruma Denetçisi, ele geçirilen dijital materyalin hacminin büyüklüğü nedeniyle ilgili kişi kategorisi ataması yapılmadan veri setlerinin ayrıntılı olarak analiz edilmesi ihtiyacını kabul etmektedir. Yani Avrupa Polis Ofisi’nin bu konudaki zaman ihtiyacı kabul edilmektedir. Ancak, Avrupa Veri Koruma Denetçisi bu sürenin sınırlandırılması gerektiğini vurgulamaktadır.
  • Tüzüğün 28(1)(e) maddesi kişisel verilerin işlenme amaçlarından daha uzun süre saklanamayacağını düzenlemektedir. Azami veri saklama süresi, verilerin ilgili oldukları cezai soruşturmanın süresiyle ilişkilendirilemez.
  • Avrupa Veri Koruma Denetçisi ilgili veri setlerinin görevleri ile ilgili olup olmadığını belirlemek amacıyla verileri geçici olarak işlemesi için en fazla 6 aylık bir süre saklanabileceğini belirlemiştir.
  • Aslında Avrupa Polis Ofisi Tüzüğü, toplanan kişisel verilerin Ek II B’de öngörülen ilgili kişi kategorilerine girip girmediğini tespit etmek için geçici olarak kişisel verilerin işlenebileceği konusunda Avrupa Polis Ofisi’ne bir yetki düzenlemektedir.
  • Bu amaçla işlenen kişisel verilerin saklanma süresini belirleyen açık bir hükmün bulunmaması halinde, Avrupa Veri Koruma Denetçisi, tüzüğün 18(6) hükmünü kıyasen yorumlama yoluna gidecek olup Avrupa Polis Ofisi’ne, verileri ön analiz aşamasında işlemesine izin vermektedir. Bu çerçevede de Avrupa Veri Koruma Denetçisi, İlgili kişi kategorisi olmaksızın işlenen tüm veri kümeleri için toplama gerekçesine bakılmaksızın 6 aylık bir saklama süresinin geçerli olması gerektiğini değerlendirmektedir.
  • Tüm bu hususlar ışığında Avrupa Veri Koruma Denetçisi şu kanaatlere varmıştır:
    • Avrupa Polis Ofisi tarafından hazırlanan Eylem Planında, 17.09.2020 tarihli kararda belirtilen ‘İlgili Kişi Kategorisi Olmayan’ veri setlerinin sürekli olarak saklanmasına değinilmemektedir. Her ne kadar eylem planı ile daha gelişmiş bir inceleme süreci getirilmiş ise de bu, belirli bir son tarih olmaksızın verilerin uzun süre boyunca saklanmasını engellemez.
    • Avrupa Polis Ofisi Tüzüğü 18(3), 18(5), Ek II B ve 28(1)(c), (e) hükümleri göz önüne alındığında ‘İlgili Kişi Kategorisi Olmayan’ veri setlerinin geçici olarak işlenmesi için gereken süre 6 ayı aşamaz.

Düzeltici Önlemler

  • Avrupa Veri Koruma Denetçisi 17.09.2020 tarihli kararında, bahse konu kişisel veri işleme faaliyetinin ilgili kişilerin temel hak ve özgürlükleri üzerindeki ciddi etkisine rağmen, tüzüğün 43(3)(e) hükmü uyarınca, kişisel verilerin silinmesine ilişkin bir emrin uygulanmasının uygun olmayacağını değerlendirmiş ve bunun yerine Avrupa Polis Ofisi’ni bu riskleri azaltmak için gerekli ve uygun önlemleri almaya davet etmiştir.
  • Avrupa Veri Koruma Denetçisi’nin bu taleplerine rağmen Avrupa Polis Ofisi, ilgili kişi kategorisi belirlenmeyen veri setlerinin işlenmesine ilişkin veri saklama süresi tanımlamaktan kaçınmaya devam etmiştir.
  • Sonuç olarak da EK II B kapsamında ceza soruşturması ile açıkça bağlantısı kurulmayan kişilerin verileri Avrupa Polis Ofisi tarafından işlenmeye devam etmektedir.
  • Bu nedenle tüzüğün 43(3) hükmü uyarınca bu ihlali gidermek ve ilgili kişi kategorisi belirlenmemiş veri setleri için azami saklama sürelerinin belirlenmesi gerekmektedir.
  • Avrupa Veri Koruma Denetçisi, ilgili kişi kategorisi belirlenmemiş veri setlerinin çıkarma süresinden geçmediğini ve bu nedenle de üçüncü taraflarla paylaşılmadığını kabul etmektedir. Ama yine de ilgili kişi kategorisi belirlenmeden çıkarma işlemi yapılması ve üçüncü taraflarla paylaşılması ihtimalini de dikkate almaktadır.
  • Avrupa Veri Koruma Denetçisi, bu işlemin teknik olarak zaman alabileceğini kabul ettiği için ilgili veri setlerinin silinmesi için zaman tanımıştır.
  • Kararın uygulanmasını sağlanmak için Avrupa Polis Ofisi tarafından Avrupa Veri Koruma Denetçisi’ne düzenli aralıklarla rapor verilmelidir.

Avrupa Veri Koruma Denetçisi Aşağıda Belirtilen Hususlarla İlgili Avrupa Polis Ofisini Talimatlandırmaktadır:

  • Kararın tebliğinden itibaren 6 ay içerisinde, Avrupa Polis Ofisi kendisine sunulan her bir veri seti için ilgili kişi kategorilerini belirleyecektir. 6 aylık sürenin sonunda ilgili kişi kategorileri belirlenemeyen veri setleri silinecektir.
  • Kararın tebliğinden itibaren 12 ay içerisinde, kararın bildirildiği tarihte mevcut olan tüm veri setleri için ilgili kişi kategorileri belirlenecektir. 12 aylık sürenin sonunda ilgili kişi kategorileri olmayan veri setleri silinecektir.
  • Avrupa Polis Ofisi, ilgili kişi kategorisinden yoksun veri setlerinin ifşa edildiği üçüncü taraflara veri kümelerinin silinmesi gerektiğini bildirecektir.
  • İlgili kişi kategorisi belirlenmeden önce, kategori belirlenmesine devam etmek için gerekli olanlar dışında hiçbir kişisel veri Avrupa Polis Ofisi tarafından herhangi bir işleme tabi tutulmayacaktır.
  • Kararın tebliğinden itibaren, Avrupa Polis Ofisi tarafından kararın uygulanmasına ilişkin her üç ayda bir rapor sunulacaktır. Bu raporlamada ilgili kişi kategorisi belirlenen ya da belirlenemeyip silinen kişisel verilere ilişkin nicel göstergelere de yer verilecektir.

Yargı Yolları

  • Avrupa Polis Ofisi Tüzüğü’nün 48. Maddesi uyarınca Avrupa Veri Koruma Denetçisi’nin kararına karşı 2 ay içerisinde Avrupa Birliği Adalet Divanı nezdinde yargı yolu açıktır.

*İlgili metne aşağıdan ulaşabilirsiniz:
https://edps.europa.eu/system/files/2022-01/22-01-10-edps-decision-europol_en.pdf

[1] SIENA: Secure Information Exchange Network Application (Güvenli Bilgi Değişim Ağı Uygulaması)

[2] NFE: New Forensic Environment (Yeni Adli Ortam)

[3] CFN: Computer Forensic Network (Adli Bilişim Ağı)

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!