ICO’nun Özel Nitelikli Kişisel Verilerin Alenileştirilmesi Hukuki Sebebine Dair Açıklamaları
Alttaki bölüm Birleşik Krallık Veri Koruma Kurumu olan ICO tarafından özel nitelikli kişisel verilerin alenileştirilmesi kapsamında bilgi vermek amacıyla hazırlanan bir rehberden alınmış ve Kübra İslamoğlu Bayer tarafından Türkçe’ye çevrilmiştir.
İlgili rehbere buradan ulaşabilirsiniz.
***
İlgili kişi tarafından alenileştirme
[UK GDPR] madde 9(2)(e) şu halde özel nitelikli kişisel verileri işlemenize izin verir:
“İlgili kişinin kendisi tarafından açıkça alenileştirilmiş kişisel verilere ilişkin işleme”.
Bu hukuki sebebe veya uygun bir politika dökumanına* dayanmak için [2018 tarihli Veri Koruma Yasası’nın ekinde bulunan] 1 no’lu çizelgede** yer alan koşullardan birine ihtiyacınız bulunmamaktadır.
Bu hukuki sebep, kamuya açık bir alanda bulunan özel nitelikli kişisel verilerin tamamını kapsamaz. Yalnızca kişinin kendisinin kamuya açık hale getirdiği kişisel verileri kapsar.
“Açıkça alenileştirilmiş” terimi UK GDPR tarafından tanımlanmamıştır. Ancak açıkça, kişinin kasıtlı bir eylemi bulunduğu varsayılmaktadır. Halihazırda kişisel verilerin kamuya açık bir alanda bulunması yeterli değildir – bu kişisel veriyi kamuya açık hale getiren adımları ilgili kişinin kendisi atmış olmalıdır.
Örnek
Bir bireyin sağlık durumu ile ilgili bilgilerin, bir kuruluşun web sitesinde kamuya açık olarak bulunduğu bir güvenlik ihlali meydana gelmiştir. Açıktır ki özel nitelikli kişisel verilerin kamuya açık hale gelmesi, bireyin kasıtlı bir eylemi neticesinde meydana gelmemiştir. Bu nedenle bu hukuki sebep, web sitesinden elde edilen sağlık verilerinin herhangi bir şekilde işlenmesine uygulanmayacaktır.
Örnek
Bir milletvekilinin siyasi bağlantıları teknik anlamda özel nitelikli bir kişisel veridir (siyasi düşüncelerdir). Ancak bunlar, açıkça bir kamusal bilgi meselesidir ve birey, milletvekilliği seçimlerine katılmakla aktif bir şekilde bunları kamuya açık hale getirmeyi kendisi seçmektedir.
Özel nitelikli kişisel verileri kamuya açık hale getirmeyi seçenin bireyin kendisi olduğundan ve bunun, kesinlikle bireyin kasıtlı bir eylemi sonucunda olduğundan emin olmanız gerekir. Yayını onaylamak veya yayından haberdar olmak ile bilginin, birey tarafından aktif olarak kullanıma sunulması (örneğin, sağlık durumu ya da siyasi görüşüyle ile ilgili blog yazmak) arasında fark vardır. Örneğin bir kişinin, ailesi ya da arkadaşları için bir sosyal medya gönderisi yayınladığı ancak varsayılan ayarlarının herkese açık olduğu durumlarda olduğu gibi kişinin, bilgiyi açıkça alenileştirdiğini ispatlamak zor olabilir. Bu nedenle, sosyal medya gönderilerinden elde edilen özel nitelikli kişisel verileri kullanımınızı meşrulaştırmak adına bu koşulu kullanırken oldukça dikkatli olmalısınız.
Verilerin alenileştirilmiş olması için gerçek anlamda bu veriler toplumun herhangi bir üyesi tarafından erişilebilir olmalıdır. Buradaki soru, kamusal alanda bulunan bilgiye teorik olarak erişilebilir olup olmaması (örneğin, bir konuda uzmanlaşmış bir kütüphanedeki bir yayında ya da mahkemede bahsinin geçmesi) değildir, pratik açıdan bu verilerin gerçekten de herkesçe erişebilir olup olmadığıdır. Sınırlı bir kitleye yapılan açıklamalar, yapılan açıklamanın amaçları kapsamında her durumda “herkese açık” yapılmış olarak değerlendirilemez. Özellikle salt siz erişebiliyorsunuz diye bilgi mutlaka alenileşmiş olmaz. Buradaki soru, varsayımsal olarak bu bilgiye erişmekle ilgilenen herhangi bir kişinin bu veriye erişip erişemeyeceğidir.
Bu hukuki sebebi, daha önce yayınlanmamış verilerin yayınlanmasını meşrulaştırmak için de kullanamazsınız. Bu hukuki sebep, yalnızca halihazırda kamuya açık olan bilgilere uygulanır.
Dolayısıyla bu hukuki sebebi kullanabilmek için aşağıdaki gibi bazı spesifik soruları değerlendirmelisiniz:
- Bu özel nitelikli kişisel veriler halihazırda kamusal alanda mı –toplumun herhangi bir üyesi pratik olarak gerçek anlamda bu verilere erişebilir mi?
- Veriyi kamuya açık hale kim getirdi – Kişinin kendisi mi yoksa bir başkası mıydı? Veri hangi bağlamda kamuya açık hale getirildi – örneğin bir röportaj verilmesi, kamusal bir görev için aday olunması veya bir kitap veya blog yazılması yahut sosyal medya gönderisi yayınlanması nedeniyle miydi?
- Birey, özel nitelikli kişisel veriyi alenileştiren adımları kasıtlı olarak mı attı yoksa bu, kazara ya da kasıtsız olarak mı gerçekleşti? Kesin bir karar verdi mi? Birey, özel nitelikli kişisel verilerinin kamusal alanda olmasına dair eylemlerinin ne anlama geldiğini anlamış gibi miydi?
Hesap verebilmek amacıyla, verinin bireyin kendisi tarafından alenileştirildiğini göstermenize yardımcı olması adına verinin kaynağına dair kayıt tutmalısınız.
Bu verileri bir defa işlemeye başladığınızda, söz konusu veri için veri sorumlusu olduğunuzu ve bu istisnanın sizi UK GDPR’dan kaynaklanan diğer yükümlülüklerinizden muaf tutmayacağını aklınızda tutmanız önemlidir. Daha genel olarak, her zaman veriyi işleyişinizin hukuka uygun, adil ve şeffaf olduğunu ve özellikle geçerli bir hukuki temele dayandığınızı gösterebilir olmalısınız. Veri işlemenizin adil olması için verinin sonraki amaçlar için kullanılmasında bireylerin makul beklentilerini de göz önünde bulundurmalısınız.
Ayrıca bireylerin haklarına saygı göstermeli ve verilerini işlediğinizi bireylere anlattığınızdan emin olmalısınız. Salt verilerin kamusal alanda olması şeffaflık yükümlülüklerinizden otomatik olarak muaf olduğunuz anlamına gelmez.
Daha fazla bilgi için – ICO rehberi
Neyin “kamusal alanda bulunma” sayıldığına dair daha fazla açıklama, kamusal bilgilere dair bilgi edinme rehberimiz içerisinde mevcuttur.
***
* ICO’nun uygun bir politika taslağı olarak yayınladığı taslağa buradan ulaşabilirsiniz.
** 1 No’lu çizelgeye buradan ulaşabilirsiniz.
Bunlara da bakmak isteyebilirsin
İngiliz Veri Koruma Kurumu – Verin Önemlidir – Okullar: Sınav Sonuçları
İNGİLİZ VERİ KORUMA KURUMU – ICO koronavirüs salgınından rant sağlamak için kanunu ihlal eden şirkete para cezası verdi