AVRUPA MERKEZ BANKASI TARİHİ ARŞİVLERİNİN OLUŞTURULMASINA İLİŞKİN EDPS DENETLEYİCİ GÖRÜŞÜ

Çeviren: Elif SAĞLAM

Gözden Geçiren: Kübra İSLAMOĞLU BAYER

(Dosya 2022-0812)

1.    GİRİŞ

1-       İşbu Denetleyici Görüş, Avrupa Merkez Bankası’nın (ECB) tarihi arşivlerini oluşturan ve 03 Ağustos 2022’de Avrupa Veri Koruma Denetçisi’ne (EDPS) sunulmuş olan 2004/257/EC sayılı Kararı değiştiren taslak karara ilişkindir.

2-       EDPS, bu Denetleyici Görüşü (EU) 2018/17251[1] sayılı Tüzüğün (‘Tüzük’) 41(2) ve 58(3)(b) maddelerine uygun olarak yayımlamıştır.

2.    OLGULAR

3-       03 Ağustos 022 tarihinde Avrupa Merkez Bankası (ECB), ECB’nin tarihi arşivlerini kuran ve 2004/257/EC sayılı Kararını değiştiren karar taslağı hakkında EDPS’e resmi olarak başvurmuştur.

4-       Karar taslağı, Tüzük’ün kamu yararına arşivleme amacıyla veri işlemeyi düzenleyen 25(4) maddesi uyarınca ilgili kişi haklarına istisnalar getirmektedir. Ayrıca Karar taslağı, arşivleme kapsamında “hassas kişisel verilerin” işlenmesine ilişkin belli kurallar da içermektedir.

3.    HUKUKİ ANALİZ VE TAVSİYELER

Veri sorumluluğu ve tanımlar

5-       EDPS; Tüzükte ECB’nin veri sorumlusu olduğuna açıkça yer verilmesini tavsiye etmekte ve Tüzüğün 3. maddesinde yer verilmiş olan “veri sorumlusu” tanımı ile Tüzüğün 10. maddesi uyarınca “özel nitelikli kişisel veriden daha geniş olarak yorumlanan “hassas kişisel veriler” tanımına atıf yapmasını önermektedir. EDPS, özellikle “hassas kişisel veriler” kavramına ilişkin olarak Tüzüğün 8. maddesine yapılan atfın, ilgili hükmün bilgi toplumu hizmetlerine ilişkin olarak çocuğun rızasına uygulanacak koşullara ilişkin olduğu da dikkate alınarak kaldırılmasını tavsiye etmektedir. EDPS ayrıca, eğer Karar taslağının ele almayı amaçladığı veri kategorisi, çocuğun rızasına uygulanacak koşullara ilişkinse ECB’nin çocukların kişisel verilerine açıkça atıfta bulunmasını önermektedir. 

6-       Bu tür tanımlar, Karar taslağının 2. maddesine eklenebilir.

İlgililere sağlanan bilgiler

7-       Kural olarak Tüzüğün 25(4) maddesi, Karar taslağına Tüzüğün 15. ve 16. maddelerinden doğan bilgi edinme hakkı ile ilgili bir istisna getirme olanağını sağlamamaktadır. Bununla birlikte, Karar taslağı kural olarak bilgi edinme hakkının, Tüzüğün 16(5). maddesinde belirtilen istisnaya uygun olarak ECB tarihi arşivlerinin özel durumunda geçerli olmadığını belirtmektedir, zira “ECB, tarihi arşivler bir kez halka açıldıktan sonra verilerin işlenmesi hakkında bilgi verebilmek için orantısız bir çaba sarf etmek zorunda kalacaktır” (Karar Taslağı’nın 12 no’lu resitali).

8-       EDPS, bir ön açıklama ve doğru bilgi verilmesi açısından Karar taslağının, Tüzüğün 16(5) maddesi yerine 16(5)(b) maddesine atıfta bulunmasını tavsiye etmekte; madde 16(5)(b)’nin uygulanmasına dair gerekçenin yeterli olduğunu teyit etmektedir. Bununla birlikte, ECB, ilgili kişilerin, Tüzük’ün 15 ve 16. maddelerine uygun olarak toplanan kişisel verilerinin işlenmesine dair işlemler ile kişisel verilerinin tarihi arşivlere aktarılması konusunda aydınlatılmalarını sağlayacaktır. Uygulamada bu bilgilere, kişisel verilerin ilk elde edilmesi sırasında yapılacak aydınlatma metninde yer verilebilir.

9-       Bu nedenle EDPS; Karar taslağında kişisel verilerini içeren kayıtların bu kayıtlar için belirlenen saklama süresi sonunda tarihi arşivlere aktarılabileceğinin ilgili kişilere bildirileceğinin açıkça belirtilmesini önermektedir.

Veri taşınabilirliği hakkı

10-      Karar taslağının 8(1)(e) maddesi aşırı çaba gerektirdiği takdirde veri taşınabilirliği hakkına istisnalar getirmektedir. Tüzüğün 22. maddesi uyarınca, veri taşınabilirliği hakkı yalnızca işlemenin rızaya (Tüzük m. 5(1)(d)) veya bir sözleşmenin ifasına (Tüzük m. 5(1)(c)) dayanması durumunda ve otomatik yollarla gerçekleştirildiğinde uygulanabilmektedir. Madde 5(1)(a)’nın AB Kurumları (EUI’ler), tarafından gerçekleştirilen veri işlemenin hukuka uygunluğuna dair en sık kullanılan dayanak olması nedeniyle, veri taşınabilirliği hakkı çok sınırlı durumlarda uygulanabilmektedir. Belirtilen bağlamda kişisel veriler arşivleme amacıyla işlendiğinde veri taşınabilirliği hakkının geçerli olması pek olası değildir. Sonuç olarak EDPS, veri taşınabilirliği hakkına istisna getirilmesi ihtimalinin Karar taslağından çıkartılmasını tavsiye etmektedir.

Veri koruma görevlisinin katılımı

11-    Tüzüğün 44(1). maddesi uyarınca EUI’ler, veri koruma görevlisinin (DPO) kişisel verilerin korunmasıyla ilgili tüm konulara uygun şekilde ve zamanında dahil olmasını sağlayacaktır. Bu nedenle EDPS, veri sorumlusunun somut olayda ilgili kişi haklarına yönelik bir istisna uygulanmasına dair bir karar almadan önce DPO’ya danışma yükümlülüğü getirilmesini önermektedir. Veri sorumlusu, prosedür boyunca DPO’yu sürece dahil etmeli ve bu danışmayı belgelemelidir.

Belgeleme gereksinimleri

12-    EUI’ler, Tüzüğün 4. maddesinin ikinci fıkrasında teminat altına alınan hesap verebilirlik ilkesi doğrultusunda, Tüzüğe uyum gösterebilmelidir. Bu nedenle EDPS, Karar taslağı uyarınca uygulanan herhangi bir istisnayı ve istisnayı haklı çıkaran gerekçeyi kayıt altına alma yükümlülüğünün getirilmesini tavsiye etmektedir. Bir diğer deyişle veri sorumlusu, ilgili olayda neden ilgili kişi haklarının istisnaya konu olmasının zorunlu olduğunu belgelemelidir. EDPS, veri işlemeye dair olgusal ve hukuki unsurları içeren herhangi bir belgenin, talep edilmesi halinde EDPS’ye sunulacağına ilişkin bir hükmün de eklenmesini tavsiye etmektedir.

Uygun önlemler

13-    EDPS, Tüzüğün 13. maddesine (Taslak kararın 8(2). maddesi) uyumu sağlamak için uygun güvencelerin (örneğin; takma ad verme ve anonimleştirme önlemleri) getirilmesini memnuniyetle karşılamaktadır. Karar taslağında listelenen güvencelerden biri; “evrensel olarak tanımlanmamış kişisel verilere erişim sağlamak için kontrollü prosedürler”in oluşturulmasıyla ilgilidir. EDPS, “evrensel olarak tanımlanmamış kişisel veriler” kavramının açıklığa kavuşturulması için bu cümlenin gözden geçirilmesini tavsiye etmektedir.

“Hassas kişisel veriler” için geçerli hükümler

14-    Karar taslağının 9(2). maddesi: “(AB) 2018/1725 sayılı Tüzüğün 8, 10 ve 11. maddeleri uyarınca hassas kişisel verilerin korunması veya ECB/2004/3 sayılı kararın 4. maddesi uyarınca bireyin mahremiyeti ve bütünlüğüne ilişkin verilerin korunması, Avrupa Merkez Bankası’nın tarihi arşiv belgelerinin oluşturulduğu tarihten itibaren 70 yıl sonra sona erecektir” hükmünü içermektedir. 14 no’lu resital, bu maddenin vefat eden kişilerin kişisel verilerinin işlenmesine uygulanmaması gerektiğini ve çoğu durumda Avrupa Merkez Bankası’nın ilgili kişinin vefat edip etmediğini belirleyemeyeceğini açıklamak suretiyle bu hükmü tamamlamaktadır. Bu nedenle Karar taslağı, “hassas kişisel verilerin korunması”nın sona erme süresini 70 yıl olarak belirlemektedir. 

15-    EDPS, “hassas kişisel verilerin korunmasından” öz olarak, özel nitelikli kişisel veriler (Tüzüğün 10. maddesi), cezai mahkumiyet ve suçlara ilişkin kişisel veriler (Tüzüğün 11. maddesi) ve ayrıca çocukların kişisel verileri için ilave uygun korumaların öngörülmesine atıfta bulunulduğunu anlamaktadır. Bu tür uygun güvenceler, yukarıda belirtilen kişisel verilerin belirli bir süre boyunca kamu tarihi arşivlerine ifşa edilmemesini gerektirir ve Bu güvenceler, Tüzüğün 10(2)(j) maddesi ile 11. ve 13. maddeleri uyarınca getirilir. Bu bağlamda; EDPS, “hassas kişisel verilerin korunması”na atıfta bulunmak yerine “hassas kişisel veriler” için geçerli uygun ek güvencelere atıfta bulunulacak şekilde, Karar taslağındaki ifadenin değiştirilmesini tavsiye etmektedir.

16-    Yukarıda bahsedilen güvencelerin süresi ile ilgili olarak, EDPS, tarihi arşivlerde saklanan belgelerde yer alan kişisel verilerin ifşa edilmesi bağlamında bir ilgili kişinin vefat etmiş olup olmadığını doğrulamanın zorluğunu kabul etmektedir. Bununla birlikte; EDPS, herhangi bir “hassas kişisel veriyi” ifşa etmek ilgili bireyin mahremiyetine ve bütünlüğüne zarar verecek ise ECB’yi ECB/2004/3 sayılı Kararın 4(1)(c). Maddesi uyarınca bu verileri ifşa etmekten kaçınmaya teşvik etmektedir. EDPS’nin değerlendirmesi, 70 yıllık süre sınırının, ilgili kişinin vefat etmiş olduğunu garanti etmediği yönündedir. EDPS, ECB’nin güvenli tarafta kalmasını ve bu tür kişisel verileri yalnızca ilgili kişinin vefat ettiğine dair mutlak bir kesinlik olduğunda ve dolayısıyla Tüzük artık uygulanabilir olmadığında ifşa etmesini tavsiye eder. Bu arka plana karşılık EDPS, ECB’nin Karar taslağındaki ilgili hükümleri gözden geçirmesini ve hassas kişisel verilerin kamusal tarihi arşivlerine ifşa edilemeyeceği sürenin sınırını uzatmasını (örneğin; oluşturma tarihinden itibaren 100 yıl) tavsiye etmektedir.

4. SONUÇ

EDPS, veri işlemenin Tüzüğe uygunluğunu sağlamak için [burada] çeşitli tavsiyeler vermiştir. EDPS, H-hesap verebilirlik ilkesi ışığında ECB’nin yukarıdaki tavsiyelerin uygulanmasını ummaktadır ve dosyayı kapatmaya karar vermiştir.

5 Ekim 2022 tarihinde Brüksel’de hazırlanmıştır.

[e-imzalıdır]

Thomas ZERDICK, LL.M.

***

İşbu yazı Avrupa Veri Koruma Denetçi’nin https://edps.europa.eu/data-protection/our-work/publications/opinions/2022-10-05-edps-opinion-historical-archives-european-central-bank_en linkinden ulaşılabilen görüşünün resmi olmayan Türkçe tercümesi olup, yazının orijinaline belirtilen linkten ulaşabilirsiniz.