AVRUPA BİRLİĞİ ADALET DİVANI 171/22 SAYILI BASIN DUYURUSU

Hazırlayan: Aslı Rabia Savaş

Gözden Geçirenler: Simge Yüce,

Bahadır Demircioğlu,

Pınar Saruhan

Lüksemburg, 27 Ekim 2022

C-129/21 Sayılı Dosyada Mahkeme Kararı | Proximus (Kamusal Elektronik Rehberler)

Avrupa Birliği Adalet Divanı’nın, Veri Sorumlusu Tarafından İlgili Kişinin Silme Talebi Hakkında İnternet Arama Motorlarının Bilgilendirilmesine Yönelik Makul Adımların Atılması Gerektiğine İlişkin Kararı

1. KARAR ÖZETİ

İlgili kişi, kişisel verilerinin işlenmesine ilişkin rızasını geri çektiği takdirde, veri sorumlusu uygun idari ve teknik tedbirleri almak suretiyle, kişisel verileri aktardığı ya da bu verileri aldığı diğer veri sorumlularını ilgili kişinin rızasını geri çektiğine ilişkin bilgilendirmek zorundadır. Birden fazla veri sorumlusunun ilgili kişi tarafından verilen tek rızaya dayandığı durumlarda, ilgili kişinin rızasını geri çekmek için bu veri sorumlularından yalnızca bir tanesi ile iletişime geçmesi yeterlidir.

2. OLAYLAR

2.1. Uyuşmazlığın Başlangıcı

Belçika’da bir elektronik iletişim hizmet sağlayıcı olan Proximus, aynı zamanda telefon rehberleri ve rehber sorgulama hizmetleri de sunmaktadır. Bu rehberler, çeşitli kamusal telefon hizmeti sağlayıcılarının abonelerine ilişkin ad, adres ve telefon numarası bilgilerini de içermektedir. Bu iletişim bilgileri, ilgili abonenin bu rehberlere dahil edilmeme isteğini belirttiği durumlar dışında, ilgili operatörler tarafından Proximus’a iletilmektedir. Proximus ayrıca aldığı iletişim bilgilerini başka rehber hizmeti sağlayıcılarına da aktarmaktadır.

Belçika’da bir telefon hizmeti operatörü olan Telenet, abonelerinin iletişim bilgilerini Proximus da dahil olmak üzere çeşitli rehber hizmeti sağlayıcılarına aktarmıştır. Bu abonelerden biri, iletişim bilgilerinin hem Proximus tarafından hem de üçüncü kişiler tarafından yayımlanan rehberlere dahil edilmemesi için Proxmius’a talepte bulunmuştur. Proximus bu abonenin iletişim bilgilerini artık kamuya açık olmayacak şekilde değiştirmiştir.

Ancak, sonrasında, Telenet tarafından ilgili abonenin bilgilerine ilişkin Proximus’a bir güncelleme iletilmiş ve bu bilgilerin gizliliği hakkında herhangi bir ibareye yer verilmemiştir. Aboneye ilişkin bu bilgiler Proximus tarafından otomatik olarak işlenmiş ve kaydedilmiş, dolayısıyla kamuya açık rehberlere yeniden dahil edilmiştir.  

2.2. Veri Sorumlusunun Cevabı

İlgili kişi, eş zamanlı olarak Belçika Veri Koruma Otoritesi’ne (“Otorite”) şikâyette bulunmuştur. Otorite’nin Dava Dairesi, Proximus’un 2016/679 sayılı Avrupa Genel Veri Koruma Tüzüğü (GDPR)’nün birden fazla hükmünü ihlal ettiği gerekçesiyle, Proximus hakkında 20.000 € para cezasına ve düzeltici tedbirlerin alınmasına karar vermiştir.

Proximus, karara karşı Brüksel Temyiz Mahkemesi (cour d’appel de Bruxelles) nezdinde temyiz yoluna başvurarak, ilgili kişinin rızasının bu kişinin kişisel verilerinin telefon rehberlerinde yayımlanması amaçları bakımından zorunlu olmadığını, aksine bir dahil edilmeme (opt-out) mekanizması uyarınca, abonelerin bu rehberlere dahil edilmemek için kendilerinin bir talepte bulunmasının zorunlu olduğunu ileri sürmüştür.

Aksi kanaatte olan Otorite ise, Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Direktifi^[1] uyarınca, GDPR çerçevesindeki anlamı ile “abonelerin rızalarının” alınmasının rehber sağlayıcıları tarafından bu kişilerin kişisel verilerinin işlenebilmesi ve aktarılabilmesi için gerekli olduğunu savunmuştur.

3. MAHKEMENİN DEĞERLENDİRMESİ

Bir abonenin “rıza” verme isteğine ya da “rızasını” geri çekmesine ilişkin beyanlar bakımından herhangi bir spesifik kuralın belirlenmemiş olması nedeniyle, Brüksel Temyiz Mahkemesi, konuyu Avrupa Birliği Adalet Divanı’na (“Adalet Divanı” veya “Mahkeme”) taşımış ve ön-karar prosedürü çerçevesinde sorularını yöneltmiştir.

Mahkeme, vermiş olduğu kararda, uygun şekilde aydınlatılmış bir abonenin rızasının, ilgili abonenin kişisel verilerinin kamusal bir rehberde yayımlanması amacıyla işlenmesi için gerekli olduğunu ve bu rızanın, aynı amaca yönelik olması kaydıyla, kamuya açık rehberler ve rehber sorgulama hizmetleri pazarında aktif olan üçüncü kişi teşebbüslerce gerçekleştirilecek herhangi bir sonraki işleme faaliyetini de kapsayacağını teyit etmiştir.

Bu rızanın, ilgili kişinin kişisel verilerinin işlenmesine onay verdiğini açıklayan, ilgili kişi tarafından “özgürce verilmiş, aydınlatılmış ve belirli” bir beyan ya da ilgili kişinin “açık onaylayıcı eylemi” şeklinde olması gerektiğine işaret etmektedir. Ancak, bu tür bir rızanın verildiği tarihte, ilgili kişinin kişisel verisini işleyecek tüm rehber hizmeti sağlayıcılarının kimliklerini mutlak surette biliyor olması gerekmemektedir.

Mahkeme ayrıca, abonelerin kişisel verilerini rehberlerden çıkartması imkanına sahip olmaları gerektiğinin altını çizmektedir. Mahkeme, bir abonenin verisinin [rehberden] çıkartılmasına ilişkin talebinin GDPR anlamında silme hakkının uygulanması olarak değerlendirebileceği kanaatindedir^[2].

4. KARAR VE DEĞERLENDİRMELER

Mahkeme, GDPR’de belirlenen genel yükümlülüklerden yola çıkarak Proximus gibi veri sorumlularının uygun idari ve teknik tedbileri almak suretiyle, bu kişisel verileri aktardıkları diğer rehber hizmeti sağlayıcılarını, ilgili kişinin rızasını geri çektiğine ilişkin bilgilendirmek zorunda olduğunu teyit etmiştir.

Benzer şekilde, Proximus, kendisine bu kişisel verileri aktaran telefon hizmeti operatörünün de rehber hizmeti sağlayıcılarına otomatik olarak ilettiği kişisel veriler listesini güncelleyebilmesi için bu operatörün bilgilendirilmesini sağlamalıdır. Somut olaydaki gibi birden fazla veri sorumlusunun ilgili kişinin verdiği tek bir rızaya dayandığı durumlarda, bu kişinin rızasını geri çekmesi için bu veri sorumlularından herhangi biri ile iletişime geçmesi yeterlidir.

Son olarak, Mahkeme’ye göre Proximus gibi bir veri sorumlusunun, bir telefon hizmeti operatörü abonesinin GDPR uyarınca kişisel verilerinin silinmesine yönelik iletmiş olduğu talebe ilişkin olarak, arama motorlarının bilgilendirilmesi bakımından makul adımların atılmasını temin etmesi gerekmektedir.

[1] 25 Kasım 2009 tarihli ve 2009/136/EC sayılı Avrupa Parlamentosu ve Konsey Direktifi ile değiştirildiği şekliyle, Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin 12 Temmuz 2002 tarih ve 2002/58/EC sayılı Avrupa Parlamentosu ve Konsey Direktifi.

[2] GDPR md. 17.

NOT: Ön-karar prosedürü, Üye Devletlerin mahkeme ve hakem heyetlerine, önlerine gelen uyuşmazlıklarda, Adalet Divanı’ndan Avrupa Birliği hukukunun yorumlanmasını veya bir Avrupa Birliği mevzuatının geçerliliğine ilişkin soruların cevaplandırılmasını talep etme imkânı tanımaktadır. Adalet Divanı, uyuşmazlığın esasına ilişkin bir karara hükmetmez. Davanın, Adalet Divanı’nın kararına uygun olarak sonuçlandırılması ulusal mahkeme ya da hakem heyetinin görevidir. Adalet Divanı’nın kararı, benzer bir konunun ileri sürüldüğü diğer ulusal mahkemeler nezdinde de benzer şekilde bağlayıcıdır.

Basın için resmi olmayan bir belgedir ve Adalet Divanı tarafından bağlayıcı değildir.

Görüşün (C-634/21 ile C-26/22 ve C-64/22) tam metni, tebliğ gününde CURIA web sitesinde yayınlanmaktadır.

***

Karara aşağıdaki link üzerinden erişebilirsiniz:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-10/cp220171en.pdf