Mahkemeler veri minimizasyonu ilkesine uymak zorunda mı?

İsveç’te bir mahkeme davanın tarafı olmayan bir şirkete, bir personelin puantaj kayıtlarını mahkemeye sunması için müzekkere göndermiştir. Söz konusu kayıtlar, mahkemenin incelediği olayda ileri sürülen sözleşmeci şirketin çalışma saatlerini olduğundan daha fazla gösterdiğine dair iddiaların doğrulanmasını sağlayacaktır.

Mahkemenin talepte bulunduğu şirket, kişisel verilerin korunması temelinde bu kayıtları sunmayı reddettiğinde, söz konusu kayıtlarda bilgileri bulunan üçüncü kişilerin menfaatlerinin mahkeme tarafından dikkate alınmasına gerek olup olmadığı hususunda bir tartışma ortaya çıkmıştır.

Kısaca mahkemeler veri minimizasyonu ilkesine uymakla yükümlü müdürler?

Bu konu daha önce KVK Kurulu’nun da gündemine gelmiş, somut olayda mahkeme, davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istemiştir. Her ne kadar şikayet mahkeme aleyhinde değil de dava ile ilgisi bulunmadığı ifade edilen sağlık raporunu da içerecek şekilde müzekkereye cevap veren veri sorumlusu aleyhinde yapılmış ise de Kurul bu kararında, veri sorumlusu aleyhindeki iddianın, KVKK md. 28/1-d  (Karşılaştırma için bkz. GDPR md. 23/1-f) kapsamında kaldığından bahisle işlem tesisine gerek olmadığına karar vermiştir.

Öte yandan Kurul daha eski tarihli bir kararında, Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının veri sorumlusu yönünden hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği ve veri minimizasyonu ilkesine uygun hareket edilmesi gerektiğinden bahisle verileri sunan veri sorumlusu aleyhinde idari yaptırım kararı vermiştir.

Alttaki bölüm ilgili mahkeme tarafından ABAD’a yöneltilen soruları içermektedir:

***

Högsta domstolen’dan (İsveç) 23 Nisan 2021 tarihli ön karar talebi 

Norra Stockholm Bygg AB / Per Nycander AB

(Dosya No C-268/21)

Yönelten mahkeme

Högsta domstolen

Esas yargılamanın tarafları

Başvurucu: Norra Stockholm Bygg AB

Davalı: Per Nycander AB

Yargılamanın diğer tarafı: Entral AB

Yöneltilen sorular

1. Genel Veri Koruma Tüzüğü’nün 6(3) ve (4) maddeleri¹ , [mahkeme tarafından talep edilen bilgiyi] sunma yükümlülüklerine dair ulusal usul mevzuatına da bir yükümlülük getiriyor mu?
2. Birinci soru olumlu yanıtlanırsa, Genel Veri Koruma Tüzüğü kapsamında, kişisel verileri içeren bir belgenin sunulmasına karar verilirken veri süjelerinin menfaatlerinin de dikkate alınması gerekiyor mu? Bu gibi durumlarda AB hukuku, bu kararın ayrıntılı olarak nasıl alınması gerektiğine dair herhangi bir hüküm içeriyor mu?

____________

¹ Avrupa Parlamentosu ve Konseyi’nin kişisel verilerin işlenmesi ile ilgili gerçek kişilerin korunmasına ve bu tür verilerin serbest dolaşımına dair  ve 95/46/EC sayılı Direktif’i yürürlükten kaldıran 27 Nisan 2016 tarih, 2016/579 sayılı (AB) Tüzüğü (Genel Veri Koruma Yüzüğü) (RG 2016 L 119, p. 1).

***

Kaynak için bkz.