NORVEÇ VERİ KORUMA KURULU’NUN WEB SİTESİNDE KİŞİSEL VERİLERİN İŞLENMESİNE YÖNELİK MEŞRU MENFAATLER BELİRTİLMEDİĞİ GEREKÇESİYLE GDPR MADDE 13’ÜN İHLAL EDİLDİĞİNE KARAR VERİLDİ

Hazırlayan: Belma Karakaya

DAVANIN TARAFLARI

Norveç Veri Koruma Kurulu (“Norveç VKK” ya da “Kurul”), 1980 yılında kurulan, Norveç’te Genel Veri Koruma Tüzüğü’nün (“GVKT”) uygulanmasından sorumlu, yetkililerin, şirketlerin, kuruluşların ve bireylerin veri koruma mevzuatına uyumunu denetleyen bağımsız bir kuruluştur[1].

Miloš Novovic (“ilgili kişi”) tarafından, veri müfettişliğinin kişisel verileri https://www.datatilsynet.no web sitesi ile bağlantılı olarak işlediği veri işleme faaliyetinde GVKT’nin 5[2], 6[3], 13[4], 32[5] ve 57[6]. maddelerinin yanı sıra Elektronik Haberleşme Kanunu §2-7b’yi ihlâl ettiğine[7] ilişkin Norveç VKK’ye şikâyette bulunulmuştur.

Norveç VKK, kendilerine yöneltilen şikâyetlere bakmada yetkisiz kılındığından, Yerel Yönetim ve Bölgesel Kalkınma Bakanlığı (“Bakanlık”), şikâyeti değerlendirmek üzere ve davada doğrudan karar verme yetkisiyle, harici bir taraf olarak Oslo Üniversitesi’nden Profesör Dr. Juris Dag Wiese Schartum’u (“Schartum”) Adli Bilişim Merkezi’ne atamıştır.

Norveç VKK’nin iki çalışanı tarafından desteklenen Schartum, Norveç VKK’nin web sitesinde kişisel verilerin işlenmesine ilişkin meşru menfaatlerin belirtilmediği gerekçesiyle GVKT’nin “Veri Sahibinden Kişisel Verilerin Toplandığı Hallerde Sağlanacak Bilgiler” başlıklı 13. maddesinin ihlal edildiğine knaat getirmiştir[8].

SÜREÇ

13 Ağustos 2019’da Norveç VKK’ye ilgili kişi tarafından yapılan şikâyette, ilk olarak GVKT madde 6(1)’in ikinci paragrafında[9] bahsi geçen yasal dayanağın, kamu makamları tarafından görevlerini yerine getirirken gerçekleştirilen işleme faaliyetlerine uygulanamayacağını belirtmesi nedeniyle, Norveç VKK’nin, web sitesi ziyaretleriyle ilgili tüm işleme faaliyetlerini madde 6(1)(f)[10]‘ye dayandırmasının GVKT’nin 6. maddesini ihlal ettiği iddia edilmiştir.

Ek olarak, ilgili kişi, Norveç VKK’nin belirli işleme faaliyetlerini bu yasal temele dayandırabilse bile, belirtilen menfaatlerin söz konusu işleme için gerekli olmadığı iddia edilmiştir. Örneğin web sitesini çalıştırmak için anahtar kelime aramalarının saklanmasının gerekli olmadığı iddiası gibi.

Norveç VKK, web sitesiyle ilgili olarak kişisel verilerin işlenmesi için birkaç olası yasal dayanak olan madde 6(1)(e)[11] ve madde 6(1)(a)[12]’yı değerlendirdiğini; ancak (e) bendinin uygun olmadığı ve (a) bendinin de sadece kısmen uygun olduğu yönünde cevap vermiştir. Bu nedenle, madde 6(1)(f)’nin doğru yasal dayanak olduğu sonucuna varmışlardır.

İlgili kişinin şikâyetine gelince; Norveç VKK, GVKT’nin yasal hazırlık çalışmalarına atıfta bulunmuş ve Adalet ve Kamu Güvenliği Bakanlığı’nın, madde 6(1)[13]’in ikinci paragrafında belirtilen istisnada, yalnızca kamu makamlarının görevlerinin yerine getirilmesiyle ilgili kişisel verilerin işlenmesinden söz edildiğini varsaydığını ifade etmiştir. Ayrıca Norveç VKK, Fransız VKK’nin bu yasal dayanağı çeşitli işleme faaliyetleri ve amaçları için kullanmasına da atıfta bulunmuştur.

İkinci olarak ilgili kişi, Norveç VKK’nin, Madde 29 Çalışma Grubu’nun önerilerine aykırı olarak web sitesi gizlilik bildiriminde, bloglarında yorumların saklanması ve web sitesi geri bildirim işlevi kapsamında kalan işleme faaliyerlerinin, GVKT madde 6(1)(f)’ye uygun şekilde hangi meşru menfaatler bakımından gerçekleştirildiğinin belirtilmemesi nedeniyle madde 13(1)(d)[14]’yi ihlal ettiğini iddia etmiştir. Norveç VKK, bu bilgilerin bir hata nedeniyle eksik olduğunu ancak uzun zaman önce düzeltildiğini kabul etmiştir.

Üçüncü olarak ilgili kişi, Norveç VKK’nin yeterince spesifik amaçlar belirtmediği için madde 5(1)(b)[15]’yi ihlal ettiğini; dolayısıyla madde 5(2)[16]’yi de ihlal ettiğini iddia etmiştir. Norveç VKK bu iddialara karşı çıkmış ve hesap verilebilirlik ilkesi ile ilgili olarak kendi gizlilik bildirimine, iç kontrol sistemine, bilgi güvenliğine, gizlilik ve veri güvenliğine değinmiştir.

Dördüncü olarak ilgili kişi, Norveç VKK’nin ilgili kişilerin elektronik ortamda şikâyette bulunmalarına olanak sağlamadığını ve şikâyetin nasıl yapılacağı hakkında bilgi almayı gereksiz yere zorlaştırdığı için madde 57(2)[17]’yi ihlal ettiğini iddia etmiştir. Norveç VKK bu iddiaya karşı çıkarak bu bilgilerin web sitelerinde çeşitli mevcut olduğuna atıfta bulunmuştur. Bununla birlikte Norveç VKK, mevcut şikâyetteki başvuru düzeninin çok hantal olduğu ve kullanıcı dostu olmadığı konusunda hemfikir olmuştur. 2020 baharında tamamlanmasını bekledikleri çevrimiçi bir çözüm yolu üzerinde çalıştıklarını belirtmiştir.

Beşinci olarak ilgili kişi, ilgili kişilerin Norveç VKK’ye bir şikâyette bulunmadan önce şikâyet için veri sorumlusuyla iletişime geçmeye zorlanmalarının, madde 77[18]’yi ihlâl ettiğini iddia etmiştir. Norveç VKK, son yıllarda vaka sayısındaki çarpıcı artış göz önüne alındığında, ilgili kişinin veri sorumlusu ile doğrudan ileşime geçtiği örneklerde birçok vakanın çözüldüğünü deneyimlediklerini belirtmiştir. Bununla birlikte, ifadede bahsi geçen dilin yumuşatılması gerektiğini kabul etmiş; “zorunlu” ibaresini “gerekir” olarak değiştirmişlerdir.

KARARDAKİ GEREKÇELER

Genel Müdür vekili (“GMV”);

1. Norveç VKK’nin, Madde 6(1)(f)’yiihlal etmediğini belirtmiş ve web siteleriyle ilgili olarak kişisel verilerin işlenmesi için başkaca bir yasal dayanak bulunmadığı konusunda Norveç VKK ile hemfikir olmuştur. GMV, GVKT gerekçe 47[19]‘ye atıfta bulunmuş ve Norveç VKK’nin madde 57(1)(b)[20] kapsamındaki görevlerinin, madde 6(1)’in ikinci paragrafında atıfta bulunulan istisnanın dışında kaldığını belirtmiştir. Son olarak GMV, bilgi ihtiyaçlarının ana hatlarını GVKT’nin kendisi belirlediğinden, gereklilik şartının yerine getirilmesi gerektiğini düşünmektedir.
2. GMV, web sitesi geri bildirim işlevine ve bloglarında yorumların saklanmasına yönelik işleme faaliyetleri için talep edilen meşru menfaatleri belirtmediği için Norveç VKK’nin GVKT madde 13(1)(d)’yi ihlal ettiğini ancak bu durumun hali hazırda düzeltilmiş olduğunu belirterek bu konudaki eleştirisini belirtmekle yetinmiştir.
3. GMV, madde 24[21]’e atıf yaparak; Norveç VKK’nin madde 5(1)(b) veya madde 5(2)’yi ihlâl etmediğini belirtmiştir. Web sitesi gizlilik bildiriminde kişisel verilerin işlenmesi için 12 farklı amacın belirtildiği, şikâyete konu iddianın doğru bir şekilde değerlendirilebilmesi için, her bir amaç için kapsamlı bir inceleme yapılması gerektiği; ancak şikâyette, amaçların yeterince açık olmamasının ilgili kişi nezdinde herhangi özel bir olumsuz sonuç yarattığı belirtilmediğinden GMV, Norveç VKK’nin bu konuda herhangi bir ihlalinin bulunmadığını tespit etmiştir.

4. GMV, Norveç VKK’ye nasıl şikâyette bulunulacağına ilişkin bilgileri yeterli bulmuş ve ilgili maddeyi şikayetlerin elektronik olarak iletilmesi gerektiği yönünde yorumlamayarak Norveç VKK’nin madde 57(2)’yi ihlal etmediğine kanaat getirmiştir. Norveç VKK, ilgili kişilerin önce doğrudan veri sorumlusuyla iletişime geçmesini ve şikayetleriyle ilgili belgeleri Norveç VKK’ye sunmasını talep ederek 77. maddeyi ihlâl etmiştir. GMV, Norveç VKK’nin bu ihlâllerin düzeltilmesi için gerekli tedbirleri alacağını varsaymaktadır.

***

[1]Datatilsynet (Norway), https://gdprhub.eu/index.php?title=Datatilsynet_(Norway), Erişim Tarihi: 10.08.2022.

[2] Madde 5: Kişisel verilerin işlenmesine ilişkin ilkeler.

[3] Madde 6: İşleme faaliyetinin hukuka uygunluğu.

[4] Madde 13: Veri sahibinden kişisel verilerin toplandığı hallerde sağlanacak bilgiler.

[5] Madde 32: İşleme güvenliği.

[6] Madde 57: Görevler.

[7] Complaint against Datatilsynet.pdf, https://github.com/mnov88/DT/blob/main/Complaint%20against%20Datatilsynet.pdf, Erişim Tarihi: 10.08.2022.

[8] Datatilsynet (Norway)-19/02450, https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_19/02450, Erişim Tarihi: 10.08.2022.

[9] Madde 6(1): İlk alt paragrafın (f) bendi kamu kuruluşları tarafından görevlerinin yerine getirilmesi hususunda gerçekleştirilen işleme faaliyetine uygulanmaz.

[10] Madde 6(1)(f): Özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.

[11] Madde 6(1)(e): Kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması.

[12] Madde 6(1)(a): Veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi.

[13] Madde 6(1): İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur.

[14] Madde 13(1): Bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, kontrolör kişisel verilerin elde edildiği anda aşağıdaki bilgilerin tamamını veri sahibine sağlar:

(d)  işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler.

[15] Madde 5(1): Kişisel veriler:

(b) belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçlarıyla veya istatistiki amaçlarla işleme faaliyeti, 89(1) maddesi uyarınca, baştaki amaçlara aykırı şekilde değerlendirilemez (‘amacın sınırlandırılması’).

[16] Madde 5(2): Kontrolör 1. Paragrafa uygun davranmaktan sorumludur ve buna uygun davrandığını gösterebilmelidir (‘hesap verilebilirlik’).

[17] Madde 57(2): Her denetim makamı, diğer iletişim araçları hariç tutulmaksızın elektronik olarak da doldurulabilecek bir şikâyet sunum formu gibi tedbirlerle 1. Paragrafın (f) bendinde atıfta bulunulan şikâyetlerin sunulmasını kolaylaştırır.

[18] Madde 77(1): Her veri sahibi, kendisi ile alakalı kişisel verilerin işlenmesinin bu Tüzük’ü ihlal ettiğini değerlendirmesi durumunda, başka bir idari veya adli çözüm yoluna halel gelmeksizin, mutat meskeninin, iş yerinin veya iddia edilen ihlalin olduğu yerdeki üye devletteki başta olmak üzere bir denetim makamına şikâyette bulunma hakkına sahiptir.

(2): Şikâyetin yapıldığı denetim makamı 78. Madde uyarınca bir adli çözüm yolu olanağı da dahil olmak üzere şikâyetin seyri ve sonucu ile ilgili olarak şikayet sahibini bilgilendirir.

[19] Gerekçe 47: Kişisel verilerin ifşa edilebileceği bir kontrolörün veya bir üçüncü tarafınkiler de dahil olmak üzere bir kontrolörün meşru menfaatleri, ilgili kişinin menfaatleri veya temel hak ve özgürlüklerinin korunması şartıyla işleme için yasal bir temel sağlayabilir. Veri öznelerinin, denetleyiciyle olan ilişkilerine dayalı olarak makul beklentileri dikkate alınarak, veri öznesinin öncelikli olmadığı kabul edilir.

Bu tür meşru menfaat, örneğin veri sahibi ile kontrolör arasında ilgili ve uygun bir ilişkinin olduğu durumlarda, örneğin veri sahibinin bir müşteri olduğu veya kontrolörün hizmetinde olduğu durumlarda mevcut olabilir.

Her halükarda, meşru bir menfaatin mevcudiyeti, bir veri öznesinin, kişisel verilerin toplanması bağlamında, bu amaçla işlemenin gerçekleşebileceğini makul bir şekilde bekleyip bekleyemediği dahil olmak üzere dikkatli bir değerlendirmeye ihtiyaç duyacaktır.

Kişisel verilerin işlendiği durumlarda, veri öznesinin makul olarak daha fazla işlenmesini beklemediği durumlarda, veri sahibinin çıkarları ve temel hakları,

özellikle veri denetleyicisinin çıkarlarını geçersiz kılabilir.

Kamu makamlarının kişisel verileri işlemesi için yasal dayanağı kanunla sağlamanın kanun koyucuya ait olduğu göz önüne alındığında, bu yasal dayanak, kamu makamlarının görevlerini yerine getirirken işlemeleri için geçerli olmamalıdır.

Dolandırıcılığın önlenmesi amacıyla kesinlikle gerekli olan kişisel verilerin işlenmesi, ilgili veri denetleyicisinin meşru menfaatini de oluşturur.

Kişisel verilerin doğrudan pazarlama amaçlarıyla işlenmesi, meşru bir menfaat için yapılmış olarak kabul edilebilir.

[20] Madde 57(1): Bu Tüzük çerçevesinde ortaya konan diğer görevlere halel gelmeksizin, her denetim makamı kendi topraklarında:

(b): halkın işleme faaliyeti ile ilgili riskler, kurallar, güvenceler ve haklara yönelik bilinci ve anlayışını geliştirir. Özellikle çocuklara yönelik faaliyetlere özel alaka gösterilir.

[21] Madde 24: Kontrolörün sorumluluğu.