Kişisel verilerin korunması hukukunun adında yer alan ve ilk kavramı olan kişisel veri kavramının sınırlarının çizilmesi, uzunca bir süredir tartışmaları bünyesinde barındırmaktadır. Ancak pek çok akademisyen gibi biz de bu zorluğun aşılabileceği yönündeki ümide Breyer[1] kararıyla kapıldık. Zira Breyer kararı özellikle veri sorumlusu dışında herhangi bir kimsede bulunan ek bilgi ile ilgili kişi belirlenebiliyorsa, veri sorumlusu bakımından eldeki verinin kişisel veri sayılıp sayılmayacağına ilişkin ölçütü ortaya koymuştu. Ancak Breyer kararı ile ortaya çıkan bu teorik çerçeveye uygulamada riayet edildiğini söylemek güçtür. Dolayısıyla kişisel verilerin korunması hukukuna ilişkin verdiğimiz eğitimlerin, derslerin çoğunda belki de yaşadığımız en büyük zorluk veri sorumlularının hukuken imkân dahilinde olmadığından ilgili kişiyi asla belirleyemeyecekleri ihtimallerde dahi bütün yükümlülüklerine uygun davranmaları gerektiğini izah etmeye çalışmak olmuştu. Breyer kararında ortaya konan ölçütü somut olaya uygulayan başka bir karara rastlamadığımızdan, meslektaşlarımıza ve öğrencilerimize verebileceğimiz en güvenli tavsiye “siz yine de her türlü bilgiyi kişisel veri kabul edin” demek oluyordu. ABAD’ın 26.04.2023 tarihli kararı artık bu cümleyi kurmak zorunda olmayacağımıza dair bir umudu yine yeşertti.
Bu konudaki gözlemlerimiz bir yana işin hukuki açıdan nasıl ele alındığını ve ABAD’ın 26.04.2023 tarihli kararının tarihsel önemine değinmek isteriz. Bu açıdan öncelikle kişisel veri kavramına ele almak gerekmektedir. KVKK m. 3/2/d uyarınca kişisel veri: “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir. Avrupa Genel Veri Koruma Tüzüğü uyarınca ise kişisel veriler, örnek verilerek daha detaylı tanımlanmıştır. Buna göre kişisel veri: “kimliği belirli veya belirlenebilir gerçek kişiyle (“ilgili kişi”) ilgili herhangi bir bilgi; kimliği belirlenebilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir isim, kimlik numarası, konum verisi, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıya veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunularak belirlenebilen kişidir” (GDPR Art. 4/1).
Bu itibarla her iki düzenleme uyarınca da bir gerçek kişiyi belirlenebilir kılan her türlü bilginin de kişisel veri kabul edilmesi esası benimsenmiştir. İlgili kişiyi belirlenebilir kılan bilgilerin hepsinin, veri sorumlusunun elinde bulunmadığı ve fakat başka bir kişi ya da kurumdan ek bilgi/bilgiler elde edilmesi suretiyle ilgili kişi belirlenebildiği ihtimalde, ek bilgiye sahip olmayan kişi bakımından verinin, kişisel veri sayılıp sayılmayacağının tespiti güncel ve önemli bir sorundur.
Almanya Federal Mahkemesi tarafından, Avrupa Birliği Adalet Divanı önüne, ön karar yoluyla getirilen bahsi geçen Breyer kararında, Divan bu soruya açıklık getirmiştir. Breyer kararına konu olayda ilgili kişinin bilgisayarının IP adresi, ziyaret ettiği Alman Federal Kurumlarına ait internet sitelerine karşı siber saldırıların önlemesi ve korsanla mücadele amacıyla elde edilmiştir. ABAD’a önkarar yoluyla yöneltilen ilk soru, yer sağlayıcının kendi sitesine erişim halinde elde ettiği IP adresinin, üçüncü bir kişiden (erişim sağlayıcı) ek bilgi elde edilmesiyle ilgili kişiyi belirlenebilir kılmasına rağmen, kişisel veri sayılıp sayılmayacağıdır. IP adresinin kime ait olduğunun belirlenmesi ancak bir erişim sağlayıcıdan elde edilecek ek bilgi ile mümkün olacaktır. Bu karara kadar yalnızca veri sorumlusunun imkanlarının mı dikkate alınacağı yoksa üçüncü kişilerin imkân, bilgi ve becerilerinin de göz önünde bulundurularak mı belirlenebilirliğin tespiti gerektiği tartışmalıydı. Nisbi (relativ) yaklaşım yalnızca veri sorumlusunun elindeki imkânlar dikkate alınarak belirlenebilirliğin değerlendirilmesi gerektiğini savunmaktaydı. Ancak ABAD kişinin belirlenebilir sayılması için ilgili kişiyi belirlenebilir kılan bütün verilerin, veri sorumlusunun elinde bulunmasının gerekli olmadığına karar vermiştir. Nitekim ABAD’ın da belirtiği üzere 95/46/AT sayılı Yönergenin Giriş kısmının 26. Paragrafına göre de veri sorumlusu ya da herhangi bir kişi tarafından ilgili kişiyi belirlemek için kullanılması muhtemel olan her türlü imkânın dikkat alınması gerekmektedir. Dolayısıyla ilgili kişiyi belirlenebilir kılan bütün verilerin veri sorumlusunun elinde olması zorunlu değildir. Ek bilgi herhangi bir üçüncü kişinin elinde bulunabilir. Bununla birlikte ABAD tarafından ek bilgiye sahip olmayan veri sorumlusu tarafından bu ek bilgiye ulaşmanın hukuken yasaklanmamış olması ve zaman, emek ve masraf bakımından aşırı güçlük yaratmaması gerektiği ifade edilmiştir. Zira ilgili kişinin belirlenmesi hukuken yasaklanmışsa ya da zaman, emek ve masraf bakımından aşırı güçlük yaratması nedeniyle neredeyse imkansızsa, ilgili kişinin belirlenmesi için kullanılması muhtemel bir imkândan da söz etmek mümkün olmayacak; dolayısıyla fiili olarak kişinin belirlenebilme riski de oldukça önemsiz olacaktır[2].
Sonuç itibarıyla ilgili kişiyi belirlenebilir kılan bütün verilerin veri sorumlusunun elinde olması zorunlu değildir. Ancak ek bilgiye ulaşılması, hukuken yasaklanmış olmamalı ve zaman, emek ve masraf bakımından aşırı güçlüğü beraberinde getirmemelidir.
Kişisel veri niteliği değerlendirilirken bu ölçütün kullanılması bir veri sorumlusu için verinin kişisel veri sayılmasına ancak bir diğeri için kişisel veri sayılmamasına yol açabilir. Dolayısıyla her bir veri sorumlusu için ayrı bir değerlendirme yapılması gerekir. Nihayetinde bu yaklaşım “IP adresi kişisel veridir” yönünde mutlak bir kabulden bahsedilemeyeceğini göstermektedir.
ABAD Genel Mahkeme 8. Dairenin 26.04.2023 tarihli kararı[3] da bir bilginin kişisel veri niteliğinin tespitinde Breyer kararı ile getirilen ölçütün mutlaka dikkate alınması gerektiğini açıkça ortaya koymaktadır. Mahkeme Breyer kararına sıkça atıfta bulunarak belirlenemezlik (belirlenebilirlik) yönünden kıstasın: “hukuken yasaklanmış olma veya zaman, emek ve masraf bakımından aşırı güçlük yaratması nedeniyle neredeyse imkânsız olma” olduğunu yinelemiştir[4].
İnceleme konusu olaydaki ihtilaf Single Resolution Board (SRB) tarafından Deloitte’a iletilen bilgilerin (yazarların yorumları) Deloitte açısından kişisel veri teşkil edip etmediğine ilişkindir. Somut uyuşmazlıkta Deloitte’a iletilen bilgilerde görünen alfanümerik kodun kendi başına yorumların yazarlarının tespit edilmesine imkân vermediği ve Deloitte’un katılımcıların alfanümerik kod sayesinde yorumlarıyla ilişkilendirilmesini sağlayacak kayıt aşamasında elde edilmiş olan tanımlama verisine (identification data) erişimi olmadığına ilişkin bir ihtilaf esasen söz konusu değildir[5].
Uyuşmazlık konusu veri işleme faaliyetine yönelik European Data Protection Supervisor (Avrupa Veri Koruma Denetmeliği) (EDPS) tarafından gerçekleştirilen inceleme ve akabinde verilen karara göre yorumların yazarlarını tespit etmek için gerekli ek bilgiler alfanümerik kod ve tanımlama veri tabanından oluşmaktadır[6]. Mahkeme tanımlama veri tabanının Deloitte tarafından değil SRB tarafından tutulmuş olmasının tek başına, Deloitte’a iletilen bilgilerin onun için kişisel veri teşkil etmesini engellemediğini belirtmiştir[7]. Ancak burada önemli olan husus Deloitte’un ek bilgiye erişmek için hukuki imkanlara sahip olup olmadığını tespittir. Bir diğer ifadeyle Deloitte’a iletilen bilginin belirlenebilir bir gerçek kişiye ilişkin olup olmadığıdır. Dolayısıyla EDPS’nin yapması gereken Deloitte’a iletilen yorumların kişisel veri niteliğini haiz olup olmadığını belirlemektir[8]. Ancak mahkeme kararında ifade edildiği üzere EDPS tarafından bu belirleme yapılmamıştır. Aksine EDPS tarafından Deloitte’a iletilen bilgilerle ilgili kişilerin yeniden tanımlanabilir olup olmadığı veya bu tür bir yeniden tanımlamanın makul ölçüde mümkün olup olmadığının tespit edilmesinin gerekli olmadığı ifade edilmiştir[9]. Mahkemece yerinde olarak EDPS’nin bu yaklaşımının hatalı olduğu ve EDPS tarafından ilgili kişilerin yeniden belirlenmelerinin SRB açısından mümkün olduğunun incelendiği ancak Deloitte açısından böyle bir inceleme yapılmadığına dikkat çekilmiştir[10].
SRB tanımlama bilgisi veri tabanına sahiptir. Ancak SRB’nin bu bilgiye sahip olması yorumların Deloitte için kişisel veri olduğu sonucuna bir çırpıda varılmasını gerektirmez[11]. EDPS tarafından, Deloitte’un yorumların yazarlarını yeniden tanımlamak için gerekli ek bilgilere erişmesini sağlayabilecek hukuki imkanlara sahip olup olmadığı araştırılmadığından; Mahkemece, EDPS’nin Deloitte’a aktarılan bilgilerin kişisel veri olduğunu tespit etmediği sonucuna varılmış dolayısıyla da EDPS’nin kararı iptal edilmiştir[12].
Umarız ki söz konusu karar uygulamada kişisel veri değerlendirmelerinde bir değişim yaratır. Ancak veri koruma hukuku uygulamasında kişisel veri değerlendirmelerinin bu karardan sonra değişip değişmeyeceğini zamanla göreceğiz.
Dipnotlar
Breyer v. Federal Republic of Germany, 19 Ekim 2016 tarihli ve C‑582/14 sayılı ABAD kararı (“ABAD, 19.10.2016, Case C-582/14”). ↩︎
Bkz. ABAD, 19.10.2016, Case C-582/14, N. 26. ↩︎
Single Resolution Board v. European Data Protection Supervisor, 26 Nisan 2023 tarihli ve T-557/20 sayılı, ABAD Genel Mahkemenin Sekizinci Dairesinin kararı (“ABAD, 26.04.2023, Case T-557/20”). ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 93. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 94. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 95. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 96. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 96 vd. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 101. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 103. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 102. ↩︎
Bkz. ABAD, 26.04.2023, Case T-557/20, N. 105 ve 106. ↩︎