Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Denetçisi’nin 4/2022 Sayılı Ortak Görüşü Avrupa Parlamentosu ve Avrupa Konseyi’nin Çocuğun Cinsel İstismarını Önleme ve Mücadele Etme Kurallarını Düzenleyen Tüzüğüne İlişkin Tasarı Hakkında (Yönetici Özeti)

11 Mayıs 2022 tarihinde Avrupa Komisyonu [European Commission], çocuğun cinsel istismarını önleme ve [bununla] mücadele etme kurallarını düzenleyen Avrupa Parlamentosu [European Parliament] ve Avrupa Konseyi [European Council] Tüzüğü (“Tüzük”) için bir Tasarı (“Tasarı”) yayınlamıştır.

Söz konusu Tasarı, yer sağlama hizmetleri, kişilerarası iletişim hizmetleri ve diğer hizmetleri sunanlara bilinen ve yeni çevrimiçi çocuk cinsel istismarı materyalinin tespiti, bildirilmesi, kaldırılması ve engellenmesi hususları ile birlikte, çocuğun suç işlemeye teşvik edilmesine ilişkin nitelikli yükümlülükler öngörmektedir. Ayrıca Tasarı, çocuğun cinsel istismarı sorunları için, Tasarı Tüzüğün uygulanmasında yeni bir merkeziyetsiz Avrupa Birliği Ajansı’ [EU Agency] (“AB Merkezi”) ve ulusal Koordinasyon Kurumları ağının kurulmasını öngörmektedir. Tasarı’nın gerekçesinde de belirtildiği üzere, Tasarı’da yer alan tedbirler, söz konusu hizmetleri kullananların temel haklarının kullanımını da etkileyebilecektir.

Çocukların cinsel istismarı, oldukça ciddi ve mide bulandırıcı bir suç olup bununla mücadele için etkin şekilde eyleme geçme amacı, Birlik tarafından benimsenen ve mağdurların hak ve özgürlüklerini korumayı amaçlayan genel amacın bir görünümüdür. Aynı zamanda, Avrupa Veri Koruma Kurulu [European Data Protection Board] (“EDPB”) ve Avrupa Veri Koruma Denetçisi [European Data Protection Supervisor] (“EDPS”), Tasarı kapsamında öngörülenlerde olduğu gibi, temel hakların herhangi bir şekilde sınırlandırılmasının, Avrupa Birliği Temel Haklar Bildirgesi’nin [Charter of Fundamental Rights of the European Union] (“Bildirge”) 52(1) maddesinde yer alan gereklilikler ile uyumlu olması gerektiğini hatırlatmaktadır.

EDPB ve EDPS, Tasarı’nın, öngörülen müdahalenin orantılılığı ve mahremiyete ilişkin temel hakların korunmasına ilişkin sınırlamalara ve kişisel verilerin korunmasına ilişkin ciddi endişeler uyandırdığına vurgu yapmaktadır. Bu bağlamda EDPB ve EDPS, usuli güvencelerin hiçbir zaman asli güvencelerin yerini alamayacağına işaret etmektedir. Risk değerlendirmesi ve riski azaltma önlemlerinden tespit emrine kadar içeren kompleks bir eskalasyon (basamaklı) sistemi, asli yükümlüklerin gerekli netliğinin yerini alamaz.

EDPB ve EDPS, Tasarı’nın “önemli risk” kavramı gibi temel unsurların netliği hususunda yetersiz olduğu görüşündedir. Dahası, özel işletmecilerden idari ve/veya adli kurumlara kadar bu koruma tedbirlerini uygulamakla görevli olan kurumların, her bir münferit olayda söz konusu hakların nasıl dengeleneceği hususunda yasal belirsizliğe yol açacak şekilde oldukça geniş bir takdir marjına sahip olduğunu ifade etmiştir. EDPB ve EDPS, kanun koyucunun, temel haklara yönelik ciddi müdahalelere izin verirken, müdahaleye ne zaman ve nerede izin verildiği konusunda hukuki belirlilik sağlaması gerektiğini vurgulamaktadır. EDPB ve EDPS, mevzuatın çok fazla kuralcı olamayacağını ve pratik uygulama konusunda bir miktar esneklik sağlaması gerektiğini kabul etmekle birlikte, Tasarı’nın, açık maddi norm eksikliği sebebiyle potansiyel istismara çok fazla yer bıraktığı görüşündedir.

EDPB ve EDPS; öngörülen tespit amaçlı tedbirlerin gerekliliği ve orantılılığı ile ilgili olarak; söz konusu olan bilinmeyen çocuk cinsel istismarı materyalinin (“CSAM”) tespiti ve kişilerarası iletişim hizmetlerinde çocukların suça teşviki (“istismar”) olduğunda özellikle endişelenmektedir ve yine, rahatsız ediciliği, olasılıksal nitelikleri ve bu teknolojiler ile ilişkilendirilen hata oranları sebebiyle, bu tedbirler aracılığıyla ortaya çıkartılan müdahalenin, gerekli ve orantılı olanın ötesine geçeceği görüşündedir. Buna ilave olarak, kamu kurumlarının çocuklara yönelik suça teşviki tespit etmek amacıyla, genelleştirilmiş bir temelde iletişim içeriklerine erişim sağlamasına izin veren tedbirlerin, Bildirge’nin 7 ve 8. maddeleri ile koruma altına alınan hakların özünü etkilemesi de oldukça olasıdır. Dolayısıyla, istismar ile ilgili hükümler Tasarı’dan çıkarılmalıdır. Ek olarak, Tasarı, sesli iletişimlerin taranmasını [scanning], tutulmasını uygulama kapsamı dışında tutmamaktadır. EDPB ve EDPS ise, sesli iletişim taranmasının özellikle müdahaleci olduğuna ve bu gibi müdahalelerin, hem sesli mesajlar hem de canlı iletişimlerde Tasarı Tüzük’te belirtilen tespit yükümlülüklerinin kapsamı dışında kalması gerektiğine inanmaktadır.

EDPB ve EDPS ayrıca bloklama tedbirlerinin etkinliği hususunda şüphelerini gündeme getirmekte ve CSAM ile ilgili olanların bloklanması amacıyla internet hizmeti sağlayıcılarının, çevrimiçi iletişimleri deşifre etmelerini gerektirmenin orantısız olduğunu değerlendirmektedir.

Ayrıca EDPB ve EDPS, şifreleme teknolojilerinin özel hayata ve iletişimin gizliliğine, ifade özgürlüğüne saygı duyulması kadar yeniliğe ve bu teknolojilerin sağladığı yüksek seviyede inanç ve güvene dayalı olan dijital ekonominin gelişimine de esaslı bir şekilde katkı sağladığını vurgulamaktadır. Tasarı’nın 26. resitali, yalnızca tespit teknolojilerinin seçimini değil, bu teknolojik seçimin Tasarı Tüzük’teki gereklilikleri karşılaması gerektiği ikazına dayalı olarak (örneğin; teknoloji, tespiti kolaylaştırmalı), aynı zamanda şifreleme gibi iletişimin gizliliğini korumaya yönelik teknik tedbirleri de içermektedir. Bu durum, Tasarı’nın 8(3) ve 10(2) maddeleri ile kazanılan, sağlayıcının teknik imkansızlıkları esas alarak bir tespit kararını yerine getirmeyi reddedemeyeceği şeklindeki fikri desteklemektedir. EDPB ve EDPS, güvenli ve gizli iletişim kanallarına sahip olmaya yönelik toplumsal ihtiyaç ve bunların istismar edilmesine karşı mücadele arasında daha iyi bir denge olması gerektiği kanaatindedir. Tasarı’da, Tasarı Tüzük’teki hiçbir ifadenin, şifrelemenin yasaklanması ya da zayıflatılması şeklinde yorumlanmaması gerektiği hususu açıkça belirtilmelidir.

EDPB ve EDPS, Tasarı’da yer alan, veri koruma kurumlarının GDPR [General Data Protection Regulation/Avrupa Birliği Genel Veri Koruma Tüzüğü] nezdindeki yetki ve yetkinliğinin etkilenmediğine ilişkin ifadeyi olumlu karşılarken, Koordinasyon Kurumları’nın görevleri ile veri koruma kurumları arasındaki ilişkinin daha iyi düzenlenmesi gerektiği görüşünü benimsemektedir. Bu bağlamda, EDPB ve EDPS, özellikle tespit emirlerinin yerine getirilmesini sağlamak üzere AB Merkezi’nin kullanıma sunacağı teknolojilerine ilişkin görüş yayınlamak dahil olmak üzere Tasarı Tüzüğün EDPB’ye, Tasarı’nın pratik uygulamasına dahil olmasını gerektirecek şekilde atadığı rolü takdir etmektedir. Ancak bu süreçte görüşün hangi amaca hizmet edeceği ve AB Merkezi’nin EDPB’den alacağı görüşten sonra nasıl hareket edeceği hususları netleştirilmelidir.

Son olarak, EDPB ve EDPS, Tasarı’nın, AB Merkezi ile Europol arasında birbirlerine “ilgili bilgi sistemlerine mümkün olan en eksiksiz erişimi” sağlaması gereken, yakın bir iş birliği öngördüğünü belirtmektedir. EDPB ve EDPS, prensip itibariyle, her iki kurumu da desteklerken, AB Merkezi’nin bir kolluk gücü olmadığını da göz önüne alarak, ilgili hükümlerin iyileştirilmesi için, kişisel verinin AB Merkezi ile Europol arasında, yalnızca olay bazında gündeme gelen, usulüne uygun olarak değerlendirilmiş bir talebin ardından, SIENA ağı gibi güvenli bir değişim iletişim aracı vasıtasıyla aktarımı dahil olmak üzere birtakım tavsiyelerde bulunmaktadır.

Ortak Görüş’ün İngilizce versiyonun tamamına aşağıdaki linkten ulaşabilirsiniz:

https://edps.europa.eu/system/files/2022-07/22-07-28_edpb-edps-joint-opinion-csam_en.pdf