Avrupa,  Avusturya

Avrupa Birliği Adalet Divanı, Kişisel Veri Alıcıları Hakkında Bilgi Edinmeye İlişkin Karar Verdi

18 Ocak 2023 /

Hazırlayanlar: İrem Nazlı GÜVEN

Kübra İSLAMOĞLU BAYER

Avrupa Birliği Adalet Divanı (“ABAD”) 12 Ocak 2023 tarihinde C-154/21 sayılı kararı[1] ile ilgili olarak bir basın açıklaması yayınladı. “Herkes kişisel verilerinin kimlere açıklandığına dair bilgi edinme hakkına sahiptir” başlığı ile yapılan açıklamada ismi açıklanmayan bir Avusturya vatandaşı ile Österreichische Post’un taraf olduğu davada verilen karara dair önemli ayrıntılara yer verildi.

Kararın Özü:

Çok kısaca özetlemek gerekirse tıpkı basın açıklamasının başlığında olduğu gibi, kararda her kişinin, kişisel verisinin kime/kimlere aktarıldığını bilme hakkına sahip olduğu ifade ediliyor.

Arka Plan

Karara konu olayın arka planına bakıldığında, ilgili kişi Avrupa Genel Veri Koruma Tüzüğü’Nde (”GVKT”) yer alan “ilgili kişi kişisel verilerinin açıklandığı veya açıklanacağı alıcılara ya da alıcıların kategorilerine dair bilgi edinme hakkı” kapsamında Avusturya’da post ve lojistik hizmetler operatörü olan Österreichische Post’dan kişisel verilerinin aktarıldığı alıcıların kimliklerinin kendisine açıklanmasını talep ediyor.

Bu başvuruya cevaben Österreichische Post, yalnızca, kişisel verileri telefon rehberi yayıncısı olma gibi faaliyetleri sırasında yasaların izin verdiği ölçüde kullandığını ve bu kişisel veriyi, pazarlama amaçları ile ticari ortaklarına sunduğunu bildiriyor.

Bu cevabı yeterli bulmayan ilgili kişi, karara karşı Avusturya Mahkemelerinde dava açıyor.

Yargılama sırasında Österreichische Post, kişisel verileri aktardığı kişilere dair daha detaylı açıklama sunuyor ve müşterilerine ait verileri, posta havalesi vasıtasıyla reklam verenlere, kırtasiye outletleri ile bilişim teknolojileri şirketleri, posta listesi sunucuları, yardım kuruluşları, sivil toplum örgütleri ve siyasi partiler gibi toplulukların da dahil olduğu alıcılar ile paylaştığını bildiriyor.

Avusturya Temyiz Mahkemesi Kararı

Uyuşmazlığı temyiz mercii olarak inceleyen Avusturya Temyiz Mahkemesi (The Oberster Gerichtshof), GVKT gereğince veri sorumlusunun, böyle bir talep karşısında yalnızca alıcı kategorisini bildirmekle yetinip yetinemeyeceği, diğer bir değişle alıcıların açık kimliklerini de bildirmek zorunda olup olmadığı hususunda 21 Mayıs 2021 tarihli ön karar talebi başvurusu ile aşağıdaki soruyu ABAD’a yöneltiyor[2]:

“(AB) 2016/679 sayılı Tüzüğün 15(1)(c) maddesi, erişim hakkının, [aktarım yapılacak] alıcıların henüz belirli olmadığı planlanan aktarımların söz konusu olduğu durumlarda [yalnızca] alıcı kategorileriyle ilgili bilgilerle sınırlı olduğu ve ancak aktarımlar halihazırda gerçekleşmiş ise bu durumda alıcıları[n kim olduklarını] da kapsayacak şeklinde mi yorumlanmalıdır?

ABAD Kararı

Avusturya Temyiz Mahkemesi’nin 21 Mayıs 2021 tarihli başvurusunu inceleyen ABAD, 12 Ocak 2023 tarihinde verdiği ve basın duyurusu ile kamuoyuna açıkladığı kararında bu soruyu şu şekilde yanıtlıyor:

  • GDPR’nin 15(1)(c) maddesinin lafzı, ilgili kişinin kendisiyle ilgili kişisel verilerin işlenip işlenmediğine dair veri sorumlusundan teyit isteme ve şayet verileri işleniyor ise, bu veriler ile bu verilerin aktarıldığı ya da aktarılacağı alıcılar ya da alıcı kategorileri hakkında bilgisine erişme hakkına sahiptir.
  • Bu hükümde yer alan “alıcılar” ve “alıcı kategorileri” terimlerinin, aralarında bir öncelik sırası gözetilmeksizin art arda kullanıldığına dikkat edilmelidir.
  • Bu nedenle ilgili kişiye dair kişisel veriler aktarılmış ya da aktarılacak ise ilgili kişinin verilerinin aktarılacağı veri alıcısının belirli kimlik bilgilerine erişmeye hakkı olup olmadığının söz konusu maddeden açık bir şekilde anlaşılması mümkün görünmemektedir.
  • Bu maddenin içeriğine ve kapsamına bakıldığında ve özellikle 63 numaralı resital dikkate alındığında, yine ayrıca tüm kişisel veri işleme süreçlerinde Tüzüğün 5. maddesinde yer alan ilkelere de uygun hareket edilmesi gerekliliği de (özellikle bu ilkelerden şeffaflık ilkesi) göz önünde bulundurulduğunda ilgili kişinin bilgi edinme hakkının yalnızca alıcı kategorileri ile sınırlı olduğu düşünülemez.
  • Bunlara ek olarak; GVKT’nin 15. Maddesi gereğince kişisel verilerin ilgili kişiden elde edilmediği hallerde ilgili kişinin, verilerin aktarıldığı ya da aktarılacağı kişi kategorilerine (mümkünse alıcılara dair spesifik bilgilere) erişme hakkı bulunmaktadır.
  • Yine bilgiye erişim hakkı, ilgili kişinin kendisi hakkındaki verilerin yalnızca doğru olup olmadığına dair bilgiye erişme hakkı değil, bu verilerin hukuka uygun şekilde işlenip işlenmediğini de teyit edebilmesini de sağlar. Özellikle, GVKT’nin 16, 17 ve 18. maddelerinde yer alan düzeltme hakkı, silme (unutulma) hakkı ve verilerin işlenmesini kısıtlama hakkı, GVKT’nin 21. maddesinde yer alan işlenen verilerin işlenmesine itiraz etme hakkı ile 79. maddede yer alan zararın giderilmesi için dava etme hakkını kullanabilmesine olanak sağlamak için gereklidir.
  • Bu nedenle ilgili kişi, tüm bu haklarını etkili bir şekilde kullanabilmesi için kişisel verilerinin halihazırda açıklanmış olduğu alıcılar hakkında aydınlatılma hakkına sahip olmalıdır.
  • Ancak GVKT’nin 4. numaralı resitalinde de açık olduğu üzere kişisel verilerin korunması mutlak bir hak değildir. Bu hak, toplumdaki işlevi ve ölçülülük ilkesi gereğince diğer temel haklar karşısındaki dengesi dikkate alınarak değerlendirilmelidir. Bu nedenledir ki henüz verilerin aktarılmadığı ve dolayısıyla belirli olmayan alıcılar hakkında bilgi verilmesinin mümkün olmadığı söylenebilir. Diğer bir değişle alıcıların kim oldukları belirli olmadığı için açıklanmaları mümkün değil ise erişim hakkının alıcı kategorileri hakkındaki bilgi ile sınırlandırılması mümkündür.
  • Son olarak bu tespitlerin yanı sıra talebin açıkça mesnetsiz veya aşırı olması halinde, bu hususu belirterek veri sorumlusunun başvuruyu reddetme hakkı olduğu da unutulmamalıdır.

Sonuç olarak ABAD değerlendirmesini şu şekilde özetliyor:

“ İlgili kişinin, söz konusu maddede öngörülen, kendisiyle ilgili kişisel verilere erişme hakkının, -bu alıcıları tespit etmenin açıkça imkansız olduğu ya da ilgili kişi talebinin 2016/679 Sayılı Tüzüğün 12(5). maddesi anlamında açıkça mesnetsiz ya da aşırı olduğu veri sorumlusu tarafından gösterilmediği sürece (ki bu durumlarda yalnızca alıcı kategorisi bildirilebilir)- verilerin alıcılara aktarıldığı ya da aktarılacağı hallerde veri sorumlusunun bu alıcıların gerçek kimliğine dair de bilgi vermesini gerektirdiği şeklinde yorumlanmalıdır.

 

[1] Metnin tamamı için bkz:

https://curia.europa.eu/juris/document/document.jsf;jsessionid=CF7E0FB4592D2F9A067848A0096CE491?text=&docid=269146&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=323155 (Erişim Tarihi 17.01.2023)

 

[2] Başvuru için bkz.  https://curia.europa.eu/juris/document/document.jsf;jsessionid=CF7E0FB4592D2F9A067848A0096CE491?text=&docid=242194&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=323155 (Erişim Tarihi 17.01.2023)

Bunlara da bakmak isteyebilirsin

Avrupa Veri Koruma Kurulu Whatsapp İrlanda Hakkında GDPR m.65 uyarınca Karar Verdi
29 Temmuz 2021
Avrupa Veri Koruma Kurulu (EDPB) İlk Ulusötesi Davranış Kuralları, Veri Yönetişimi Yasası Hakkında Beyan, Kredi Kartlarının Saklanmasına Dair Hukuki Temel ile İlgili Tavsiyeleri Kabul Etti 20.05.2021
21 Mayıs 2021
Avrupa Birliği – Bulgar Yüksek İdare Mahkemesi ABAD’a 5 Soru Yöneltti
14 Ekim 2021

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!