AVRUPA BİRLİĞİ ADALET DİVANI 49/23 SAYILI BASIN DUYURUSU Lüksemburg, 16 Mart 2023

Çeviren: Ufuk DAL

C 634/21 sayılı davada SCHUFA Holding ve Diğerleri (Kredi Puanlama) ve C-26/22 ve C-64/22 sayılı davalarda SCHUFA Holding ve Diğerleri (Borçların Silinmesi) Hukuk Sözcüsü’nün Görüşü

Hukuk Sözcüsü General Pikamäe: Bir kişinin bir krediyi ödeme kabiliyetine dair olasılığın otomatik olarak oluşturulması, GDPR kapsamında profilleme teşkil eder.

Mahkemeler, GDPR kapsamındaki bir denetim makamı tarafından verilen ve hukuken bağlayıcı olan kararlar üzerinde tam bir yargısal denetim gerçekleştirebilmelidir.

C-634/21 sayılı dava, taraflar bir vatandaş ile Hesse Veri Koruma ve Bilgi Özgürlüğü Komiserliği (‘HBDI’) tarafından temsil edilen Hessen Bölgesi olup, davanın konusunu kişisel verilerin korunmasına ilişkin yargılama oluşturmaktadır. Özel hukuka tabii bir şirket olan SCHUFA Holding AG (‘SCHUFA’), ekonomik faaliyetlerinin bir parçası olarak müşterilerine, üçüncü şahısların kredi ödeme kabiliyetine ilişkin bilgi sağlamaktadır. Bu davada da söz konusu vatandaş için bir kredi kuruluşuna vatandaşın kredi notu bilgisini paylaşmıştır ki bu bilgi, ilgili kişinin başvurduğu kredi talebinin reddedilmesine temel teşkil etmiştir. Bunun üzerine ilgili kişi, SCHUFA’dan kendisiyle ilgili verilerin silinmesini ve ilgili verilere erişmesine izin verilmesini talep etmiştir. Sonrasında SCHUFA yalnızca genel bir çerçevede kredi notunu ve kredi notlarının puanlandırılmasına esas olan ilkeleri paylaşmış ise de hesaplama yönteminin bir ticari sır olduğu gerekçesiyle özel olarak hangi verileri bu hesaplamada kullandığına dair bilgi vermemiştir.

İlgili kişinin SCHUFA’nın talebine verdiği ret cevabının veri koruma hukukuna aykırı olduğunu iddia etmesi üzerine Wiesbaden İdari Mahkemesi, Avrupa Birliği Adalet Divanı’nı şu hususta karar vermeye davet etmiştir: Genel Veri Koruma Tüzüğü[1]’nün (‘GDPR’) finans sektöründe faaliyet gösteren raporlama kuruluşlarının ekonomik faaliyetlerine getirdiği ve özellikle de veri yönetimi ile [bu sınırlandırmaların] ticari sırlar üzerindeki etkisine ilişkin sınırlandırmalar. Benzer şekilde Mahkeme, GDPR’nin neden düzenlemenin izlediği genel uyum hedefinden çıkarak belirli hükümler yönünden ulusal yasama organına düzenleyici yetki verdiğini de açıklamak zorunda kalacaktır.

Hukuk Sözcüsü Priit Pikamäe, görüşünde, her şeyden önce GDPR’nin, [kişilere] kişilere verilerinin yalnızca otomatik işleme veya profilleme yoluyla işlenerek [hakkında] otomatik karar verilmemesini isteme hakkına sahip olduğunu belirtmiştir.

Hukuk Sözcüsü şu gerekçelerle bu hakka ilişkin şartların oluştuğu kanaatine varmıştır:

• Söz konusu yöntem, bir profilleme teşkil etmektedir.
• Karar, ilgili kişi hakkında hukuki sonuçlar veya benzer şekilde ileride [ortaya çıkabilecek] önemli etkiler ortaya koymaktadır.
• Karar, yalnızca otomatik işlemeye dayanmaktadır.

Bu sebeplerle GDPR’nin bu hakka ilişkin hükmü, esas davada söz konusu olan durumlarda da geçerli olacaktır.

Hukuk Sözcüsü, GDPR’nin bir başka maddesi uyarınca, veri sorumlusundan ilgili kişinin yalnızca kendisiyle ilgili kişisel verisinin işlenip işlenmediğine dair teyidi değil, profilleme, [otomatik işleme varsa] altında yatan mantıksal işleyişe dair anlamlı bilgi ve bu tür işleme sonucunda öngörülen sonuçlar dahil olmak üzere otomatik bir karar vermenin var olup olmadığı ilişkin bilgiler gibi diğer bilgilere ilişkin de bilgi alma hakkının var olduğunu ifade etmiştir. Hukuk Sözcüsü, ‘mantıksal işleyişle ilgili anlamlı bilgi sağlama yükümlülüğünün’, puanın hesaplanmasında kullanılan yöntemin yeterince detaylı açıklamalarını ve belirli bir sonucun nedenlerini içerecek şekilde anlaşılması gerektiğini düşünmektedir. Genel anlamda, veri sorumlusu, karar verme sürecinde dikkate aldığı faktörler ve bunların sonuç üzerindeki ağırlıkları hakkında genel bilgi sağlamalıdır; nitekim bu bilgi aynı zamanda, yalnızca otomatik işlemeye, profillemeye dayanan bir karara tabi olmama ‘hakkı’nı tanıyan GDPR anlamında bir ‘karar’a itiraz etmek için de faydalıdır.

Hukuk Sözcüsü, söz konusu hükmün, kişinin gelecekte bir kredi ödeme yeteneği hakkında otomatik olarak bir olasılık değeri belirlemenin, kişinin durumuyla ilgili kişisel veriler kullanılarak belirlenen bu değerin veri sorumlusu tarafından üçüncü bir veri sorumlusuna iletildiği ve sonraki süreçte bu değerin söz konusu kişiyle bir sözleşme ilişkisinin kurulması, yürütülmesi veya sonlandırılmasına karar vermek için önemli ölçüde kullanıldığı durumlarda, kişi hakkında sadece otomatik işlemeye dayalı bir karar, profilleme dahil olmak üzere, kişiyle ilgili yasal sonuçlar doğuran veya benzer şekilde [kişiyi] önemli ölçüde etkileyen bir karar olarak yorumlanması gerektiği görüşünü benimsemektedir.

Wiesbaden İdare Mahkemesi (C-26/22 ve C-64/22 sayılı davalarda) GDPR ile ilgili iki ilave ön talep daha ileri sürmüştür. Bu talepler; iki vatandaş ile HBDI tarafından temsil edilen Hessen Bölgesi arasında, bakiye borçların tasfiyesine ilişkin kayıtların SCHUFA kayıtlarından silinmesini sağlamak için yapılan girişimlerle ilgilidir. Davada, her iki vatandaşa da bakiye borçtan kurtulma hakkı verilmiştir ve verilerinin de altı ay sonra silineceği hükme bağlanmıştır ancak SCHUFA, üç sene daha kayıtları tutmaya devam etmiştir. Davada, bu durumun hukuka uygunluğu sorulmaktadır. Mahkemenin sorduğu bir diğer husus ise bir denetim makamı tarafından verilen kararın hukuki niteliği ve mahkemenin bu tür bir karara karşı açılan soruşturma bağlamında uygulayabileceği hukuki incelemenin kapsamı ile ilgilidir. Davalar ayrıca, kredi bilgi kuruluşları tarafından kamusal kayıtlardan [elde edilen] kişisel verilerin depolanması hukuka uygunluğu sorusunu da içermektedir. 

Hukuk Sözcüsü Pikamäe’ye göre öncelikle veri işlemenin hukuka uygunluğu hususunda birçok menfaatin göz önünde bulundurularak karar verilmelidir ve GDPR’a göre veri sorumlusunun veya üçüncü tarafın meşru menfaatinin öncelik taşımaktadır. İlgili kişinin temel bir hakkının ihlal edildiği iddiası olması halinde, söz konusu şikayetle ilgilenmesi gereken yetkili birim, GDPR’a göre Denetim Makamı’dır. Ancak eğer kişi Denetim Makamı’nın kararına karşı başka bir çözüm yolu aramaya giderse GDPR uyarınca ulusal mahkemeler, etkin bir yargısal denetim yapmak mecburiyetindedirler. Hukuk Sözcüsü’nün görüşüne göre, bağlayıcı bir denetim makamı kararı ile ilgili etkin yargı denetiminden bahsedilebilmesi için önce esastan inceleme yapılması gerekmektedir.

Hukuk Sözcüsü, ikinci olarak, GDPR kapsamında kişisel verilerin işlenmesinin diğerlerinin yanı sıra, aşağıdaki üç kümülatif koşul da yerine getirildiğinde hukuka uygun olduğunu ifade etmektedir.

-İlk koşul; veri sorumlusu veya üçüncü kişiler tarafından meşru menfaate dayanılmış olması,

-İkinci koşul; kişisel verilerin ulaşılmak istenen meşru menfaatin amaçları doğrultusunda işlenmesinin gerekli olması,

-Üçüncü koşul ise kişinin verilerinin korumadan etkilenen temel hak ve özgürlükleri öncelikli olmamalıdır.

Bay Pikamäe, altı aydan fazla süre ile veri depolanmasının özel kuruluşların ve müşterilerinin menfaatlerinin aşırı kullanımı olduğunu ve negatif sonuçlar doğuracağını gözlemlemiştir. Bu bağlamda, örneğin, bakiye borçtan kurtulmak ekonomik yaşamın olağan akışı içerisindedir. Borç ödendikten sonra kişi doğal ekonomik hayata geri döner. Bu, sistemin devamlılığı için de önemlidir. Ancak özel kredi bilgi kuruluşlarının kişisel verileri, kamu kayıtlarından silindikten sonra dahi kendi veri tabanlarında saklamaya yetkili kılınması halinde, bu döngü bozulacak ve sorunlar ortaya çıkacaktır.

Hukuk Sözcüsü, ödeme aczi kayıtlarının kamusal kayıtlardan silinmesinin ardından, özel bir kredi bilgi kuruluşu tarafından saklanmaya devam edilmesinin GDPR’ın ilgili hükümleri uyarınca hukuka uygun olamayacağı görüşündedir. Kişisel verilerin kamusal kayıtlarda da mevcut olduğu altı aylık dönem için ise, söz konusu verilerin özel kredi bilgi kuruluşları tarafından paralel olarak depolanmasının bu temelde yasal olup olmadığını belirlemek için, söz konusu kişi üzerindeki yukarıdaki menfaat ve etkileri dengelemek, sevk eden mahkemeye düşmektedir.

Üçüncü olarak Hukuk Sözcüsü, verisinin işlenmesine itiraz ettiği veya bu verilerin hukuka aykırı biçimde işlendiği hallerde GDPR’nin ilgili kişiye, verilerin silinmesi hakkı verdiğine de belirtmiştir. Hukuk Sözcüsü’nün görüşüne göre, bu durumda, ilgili kişi, veri sorumlusundan kendisiyle ilgili kişisel verilerin gereksiz bir gecikmeye mahal verilmeksizin silinmesini talep etme hakkına sahiptir. İstisnai olarak, işlemenin ağır basan meşru nedenleri varsa, sevk eden mahkemenin bu konuyu araştırması gerekmektedir.

Not: Hukuk Sözcüsü’nün görüşünün Adalet Divanı üzerinde bağlayıcı bir etkisi yoktur. Hukuk Sözcüsü’nün görevi sorumlu olduğu davalarda bağımsız hukuki çözümlemelerini sunmaktır. Hakimler davayı görüşmeye başlayacaklardır. Hüküm ileri bir tarihte verilecektir.

Not: Bir ön karara atıf, üye devlet mahkemelerine, önlerine gelmiş bir davada Avrupa Birliği hukukunun yorumu ve söz konusu Avrupa Birliği mevzuatının geçerliliği ile ilgili sorularını Adalet Divanı’na getirmeye izin verir. Adalet Divanı uyuşmazlığa ilişkin karar vermez. Adalet Divanı’nın kararına uygun şekilde hükme bağlamak ulusal mahkemenin görevidir ve Adalet Divanı’nın kararı benzer konuların öne sürüldüğü mahkemeler için de bağlayıcıdır.

Basın için resmi olmayan bir belgedir ve Adalet Divanı tarafından bağlayıcı değildir.

Görüşün (C-634/21 ile C-26/22 ve C-64/22) tam metni, tebliğ gününde CURIA web sitesinde yayınlanmaktadır.

[1] Kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak gerçek kişilerin korunmasına ilişkin ve 95/46/EC sayılı Direktifi yürürlükten kaldıran 27 Nisan 2016 tarihli (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (RG (Resmi Gazete) 2016 L (mevzuat) 119, s. 1

***

Kaynak: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-03/cp230049en.pdf