Avrupa

Avrupa Komisyonu’ndan Hollanda Veri Koruma Otoritesi’ne Görüş Mektubu

Avrupa Komisyonu, Hollanda Veri Koruma Otoritesi’nin “salt ticari menfaatlerin meşru menfaat kapsamında değerlendirilmesinin mümkün olmadığı” yönündeki yorumuna ilişkin görüş ve önerilerini içeren bir mektup yayınladı. Aşağıda yer alan bu mektubun Türkçe tercümesi Emirhan KAYAN tarafından yapılmıştır.

***

Avrupa Komisyonu Adalet ve Tüketiciler Genel Müdürlüğü

Ref. Ares(2020)1417369 – 06/03/2020

Müdürlük: Temel Haklar ve Hukukun Üstünlüğü

Genel Müdür

Brüksel, 06.03.2020

JUST C3/

Sayın Aleid Wolfsen,

Autoriteit Persoonsgegevens

Postbus 93374

2509 AJ Den Haag/The Hague

The Netherlands

Sayın Wolfsen,

Komisyon, 2016/679 (AB) numaralı Genel Veri Koruma Tüzüğü’nün (GVKT) ilgili meselelerine ilişkin görüşlerin ve ulusal rehberlerin yayımlanması da dahil olmak üzere Ulusal Veri Koruma Otoriteleri tarafından yerine getirilen işleri büyük bir dikkatle takip ediyor.

Komisyon, özellikle küçük ve orta ölçekli işletmeler da dahil olmak üzere veri sorumluları ve veri işleyenlere yönelik uygulamada GVKT’nin uygulamasının anlaşılmasının geliştirilmesine katkı sunan ulusal rehberlerin yayımlanmasını destekliyor. Bununla birlikte ulusal rehberlerin Avrupa Birliği Adalet Divanı (ABAD)’nın yerleşik içtihatlarıyla ve Avrupa Veri Koruma Kurulu seviyesinde kabul edilen rehberlerle uyumlu olması büyük önem arz etmektedir.

Bu bağlamda, GVKT’nin 6. Maddesi 1. Fıkrası f bendince veri sorumlusunun meşru menfaatine dayalı olarak Hollanda Veri Koruma Kurumu tarafından yayınlanan standart açıklama notuna ilişkin sizinle iletişime geçiyoruz. Özellikle, GVKT’nin 6. Maddesi 1. Fıkrası f bendince[1] salt ticari menfaat gibi menfaatlerin meşru menfaat olarak değerlendirilemeyeceğine ilişkin açıklama notundaki katı yorum nedeniyle endişeliyiz.

Aşağıda belirtilen gerekçeler nedeniyle, bu tarz katı bir yorumun GVKT, Madde 29 Çalışma Grubu/Avrupa Veri Koruma Kurulu‘nun rehberleriyle ve Avrupa Birliği Adalet Divanı’nın yerleşik içtihatlarıyla uyumlu olmadığı görüşündeyiz.

a. Meşru Menfaatler Kavramı

Avrupa Birliği Adalet Divanı C-13/16, Rigas Satiksme[2], davasında , GVKT’nin 6. Maddesi 1. Fıkrası f bendinin kanunun önceli olan 95/46/EC (7.Madde/f) sayılı direktifteki üç bölümlü testi içeren karşılığını anımsattı; i) işlemenin arkasında meşru bir menfaatin varlığının tespiti, ii) söz konusu işlemenin gerekli olup olmadığının değerlendirilmesi, ve  iii) ilgili kişinin temel hak ve özgürlüklerinin veri sorumlusunun meşru menfaatine baskın gelip gelmediğini belirlemek amacıyla bir denge testi yapılması.

Bu bakımdan bu testin her bir bölümü diğer parçalardan farklılaşan bir değerlendirme içerdiğinden, üç bölümlü testin farklı bölümleri arasında bir ayrım yapılması gerekliliğini önemle belirtmek gerekir. Avrupa Birliği Adalet Divanı; mülklerine zarar veren kişiye karşı zarara[3] ilişkin dava açmak isteyen üçüncü tarafın, ilgili kişinin kişisel bilgilerini edinmesindeki meşru menfaatini kabul etti ve bu yaklaşımı mevzubahis Rigas Satiksme davasında teyit etti. Böylelikle Avrupa Birliği Adalet Divanı meşru menfaat amacına yönelik üçüncü tarafın ekonomik menfaatini meşru saymıştır.

Bunun yanında, Avrupa Veri Koruma Kurulu‘nun önceli Madde 29 Çalışma Grubu, 06/2014 nolu 95/46/EC direktifinin 7. Maddesinde veri sorumlusunun meşru menfaatleri mefhumuna ilişkin görüşünde meşru menfaatler kavramının geniş menfaatler yelpazesini içerdiğini açık şekilde belirtmiştir.

Bu bakımdan salt ticari menfaatlere yönelmek de dahil olmak üzere ticari iş yapmanın da Avrupa Birliği Temel Haklar Şartı’nın (AB Charter) 16’ncı maddesi ile güvence altına alınan bir insan hakkı olduğu akılda tutulmalıdır. GVKT’nin 4. gerekçesi, kişisel verilerin korunması hakkının mutlak bir hak olmadığını ve iş yapma özgürlüğü gibi diğer temel haklarla dengelenmesi gerektiğinin altını çiziyor.

Bir iş yapma özgürlüğünden kaynaklanan belirli menfaatlerin kategorik olarak yasal kabul edilmemesi nedeniyle Hollanda DPA’sının katı yorumu, söz konusu haklar arasında uygun bir dengenin kurulmasına izin vermez.

Ayrıca, GVKT’nin gerekçeleri, ‘meşru’ bir menfaat olarak kabul edilen veya kabul edilebilecek amaçlara örnekler de ortaya koymaktadır. Daha spesifik olarak, GVKT’nin 47. Maddesi, kişisel verilerin doğrudan pazarlama amaçları için işlenmesinin meşru bir amaç için yapılmış olarak kabul edilebileceğini ön görmektedir. AB yasal düzenlemelerinin gerekçeleri, yasal düzenlemenin ayrılmaz bir parçasını oluşturur ve bir kanunun yürürlüğe giren hükümlerinin (yani maddelerinin) içeriğinin nedenlerini ortaya koyar. Aynı zamanda AB yasa koyucularının niyetlerini de yansıtırlar. Bu nedenle, AB yasa koyucularının GVKT Madde 6(1)(f)’ye atfetmek istedikleri amaçlanan etki ile Hollanda DPA’sının neyin meşru bir çıkar oluşturabileceğine ilişkin katı yorumunu uzlaştırmak zordur. Ayrıca, salt ticari menfaatin “meşru” olduğu gerçeğinin, veri sorumlusunun GVKT Madde 6(1)(f)’ye hemen dayanabileceği anlamına gelmediği de unutulmamalıdır. Aslında bu durum, üç bölümlü testin ikinci ve üçüncü bölümünün sonucuna bağlı olacaktır.

b. Testin İkinci ve Üçüncü Bölümü: Google İspanya ve Fashion ID Vakaları

Testin ikinci ve üçüncü bölümüyle ilgili olarak, ABAD’ın içtihatlarına dikkat çekmek istiyoruz. ABAD, meşru menfaat zemininin, bir yanda veri sorumlusunun meşru menfaatleri ile diğer yanda ilgili kişinin temel hak ve özgürlüklerinin somut bir dengelenmesini öngördüğünü birçok kez belirtmiştir.[4] Hollanda DPA’sının genel ve kategorik olarak salt ticari menfaatlerin meşruiyetini hariç tutması, veri sorumluların uygulamada bu dengeleme testini gerçekleştirme olasılığından ve dolayısıyla işlemlerini GVKT Madde 6(1)(f)’ye dayandırmaktan mahrum kalmasına neden olur. Bu durum, ABAD’ın içtihat hukuku ile uyumlu değildir.[5] ABAD, 95/45/EC sayılı Direktifin 7(f) Maddesinin, kategorik ve genel olarak, belirli bir davada söz konusu karşıt hakların ve çıkarların birbiriyle dengelenmesine izin verme olasılığını dışlayan kuralları engellediğini tespit etmiştir.

Bu durum, C-131/12 Google İspanya ve C-40/17 Fashion ID davalarında teyit edilmiştir.

ABAD, Google İspanya davasında şunları belirlemiştir:

“Bu hüküm, veri sorumlusu veya verilerin açıklandığı üçüncü kişi veya taraflarca izlenen meşru menfaatlerin amaçları için gerekli olması halinde, direktifin 1 (1) Maddesi uyarınca korumayı gerektiren ilgili kişinin menfaatlerinin veya temel haklarının – özellikle ilgili kişinin kişisel verilerinin işlenmesiyle ilgili olarak mahremiyet hakkı – bu menfaatlerin önüne geçtiği durumlar hariç olmak üzere, kişisel verilerin işlenmesine izin vermektedir. Dolayısıyla Charter’ın 7. ve 8’inci maddelerinden doğan ilgili kişinin haklarının öneminin dikkate alındığı bağlamda madde 7(f)’nin uygulanması ilgili karşıt hak ve menfaatlerin dengelenmesini gerektirir. (bkz. ASNEF ve FECEMD, EU:C:2011:777, paragraf 38 ve 40)”, cf. Paragraf 74.

 Bu nedenle, ABAD, Madde 7(f)’deki (şimdi GVKT Madde 6(1)(f)) meşru menfaat zemini bakımından her zaman karşıt hakların somut bir şekilde dengelenmesinin gerekli olduğunu açıkça belirtmiştir. Böylece, dengeleme testi yapılmadan meşru menfaat zeminine dayanma imkânına ilişkin herhangi bir açıklama yapılamaz.

ABAD ayrıca, dengelemenin sonucunun, söz konusu bilgilerin niteliği ve ilgili kişinin özel hayatına olan duyarlılığı gibi faktörlere bağlı olacağını da açıkladı (bkz. paragraf 81). Bu nedenle, somut bir dengeleme testi temelinde değerlendirilmesi gerektiğinden, salt ticari menfaatin ilgili kişinin temel hak ve özgürlüklerini geçersiz kılamayacağı sonucuna genel olarak varmak mümkün değildir.

Bu durum ayrıca Fashion ID davasında da teyit edilmiştir. Bu davada gündeme getirilen sorulardan biri, 95/46 sayılı Direktifin 7(f) Maddesi kapsamındaki meşru menfaatin yorumlanmasıyla ilgiliydi. Davanın 80. paragrafında, ABAD, her iki veri sorumlusunun işleme faaliyetlerinin ekonomik çıkarlar için gerçekleştirildiğini belirtir. Mahkeme, 95/46 sayılı Direktifin 7(f) Maddesinin uygulanmasına ilişkin aşağıdaki soruyu, söz konusu menfaatin ekonomik doğası nedeniyle tartışılabilir olmadığı gerekçesiyle reddetmemiş, ancak meşru menfaat zemininin diğer koşullarını incelemeye devam etmiştir. Başka bir deyişle, davadaki ekonomik çıkarlar yasal olmasaydı, bu davada olduğu gibi 95/46 sayılı direktifin Madde7(f)’nin uygulanmasına ilişkin şartlar hiçbir zaman karşılanamayacağından ABAD meşru menfaat gerekçesini hiç dikkate almazdı. ABAD’ın bu davada izlediği yaklaşım, her bir davada bireysel koşulları dikkate alarak yapılması gereken dengeleme testine (yani testin ikinci ve üçüncü bölümüne) verdiği önemi ve değeri bir kez daha vurgulamaktadır. ABAD içtihatlarında, ABAD’ın GVKT Madde 6(1)(f) uyarınca ekonomik çıkarların meşru kabul edilemeyeceği kanaatinde olduğu sonucuna varılmasına imkân tanıyan hiçbir şey yoktur.

Son Açıklamalar

Yukarıda özetlenen açıklamalara ek olarak, GVKT’nin amacının ticari faaliyetleri engellemek değil, yüksek düzeyde veri koruması sağlarken aynı zamanda işlerin yürütülmesine izin vermek olduğunu hatırlatırız. Hollanda DPA’sı tarafından ortaya konan katı yorum, ticari çıkarlar için kişisel verileri işleme olanaklarını ciddi şekilde sınırlandırmaktadır çünkü ekonomik çıkarın gözetildiği her durumda ilgili kişiden rıza almak gerekecektir. Böylelikle Madde 6(1) GVKT’de bulunan diğer ilgili kanuni sebepler fiilen uygulanamaz hale getirilmiştir.

Bize göre bu durumun bir yanda veri koruma hakkı ile diğer yanda iş yapma özgürlüğü arasında uygun bir dengeyi yansıttığı söylenemez.

Bu arka plana karşı, Hollanda DPA’sını, ilgili kişinin temel hak ve özgürlükleri tarafından geçersiz kılınmadıklarında (somut bir dengelemeye tabi olarak) ticari çıkarların ‘meşru’ çıkarlar olarak kabul edilebileceğini açıkça belirtmek için standart açıklama notunun dilini yeniden düzenlemeye davet ediyoruz.

Yukarıda özetlenen açıklamalarla ilgili olarak gerekli olabilecek her türlü soru veya açıklama için hizmetinizdeyiz.

Saygılarımla,

Emmanuel Crabit

[1] Standart açıklama notunun 3.sayfası : ‘’ Meşru menfaat olarak kabul edilmeyen örnekler şunlar olabilir : Kişisel verilerin tamamen ticari menfaatler için işlenmesi, kâr maksimizasyonu, meşru menfaat olmaksızın çalışan davranışlarının izlenmesi veya (potansiyel) müşterilerin (satın alma) davranışlarının izlenmesi) vb.”

[2] Dava C-13/16, Rigas satiksme, paragraf 28, ayrıca bkz. Case C-40/17 Fashion ID, paragraf 95.

[3] Dava C-275/06 Promusicae, paragraf 53.

[4] Birleştirilmiş davalar C-468/10 ve C-469/10, ASNEF; C-13/16, Rigas satiksme.

[5] Birleştirilmiş davalar C-468/10 ve C-469/10, ASNEF ve dava C-582/14, Breyer.

Leave a Reply

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!