"Unutulma Hakkı"nı Uygulama Alanı

Avrupa Birliği Adalet Divanı’nın (ABAD) 13 Mayıs 2014 tarihinde verdiği Google kararı kolaylıkla İnternet dünyası için bir dönüm noktası sayılabilir. Kararın verildiği günden bugüne geçen yedi ay boyunca bilişim hukuku ile ilgilenenler ve daha pek çoklarının gündeminden hiç düşmemesi de bu durumu kanıtlar niteliktedir. Hatırlatmak gerekirse, bu karar ile ABAD veri öznelerine-belirli koşullar altında-arama motorları sonuçlarından bazı bağlantıların çıkarılmasını isteme imkanı tanımıştı. Karar büyük bir yankı uyandırmış, kısa sürede Google’a konuya ilişkin başvuruların adeta yağmur gibi yapmasına neden olmuştur. Şirketin Şeffaflık Raporu uyarınca toplam başvuru sayısı 174,226'dır. Google'ın incelediği URL sayısı ise 602,479'dır. 

Adalet Divanının kararının farklı kesimlerden farklı tepkiler aldığı söylenebilir. Kimileri bu kararı “unutulma hakkı”nı yaşama geçiren bir gelişme olarak alkışlarken, başkaları arama motorlarının eline-kötüye kullanımlara da müsait-bir sopa vermesi dolayısıyla hararetle eleştirmiştir.

Bu tartışmalar bir yana, sürecin nasıl işleyeceğine ilişkin karar alma zorunluluğu bulunmaktadır. Mayıs ayından bugüne zamanın bu açıdan da hummalı çalışmalarla geçtiği söylenebilir. Bu konudaki en yeni gelişme Avrupa veri koruma sisteminde görüşleri son derece önemli olan 29. Madde Veri Koruma Grubunun konuya ilişkin yorumudur. Nitekim AB üyesi devletlerin veri koruma otoritelerinin oluşturduğu 29. Madde Veri Koruma Grubu 26 Kasım 2014 tarihinde Google kararının nasıl uygulanacağına ilişkin bir görüş yayınlamıştır. Bu görüş temel olarak kararın yorumuna ve veri koruma otoritelerinin şikayetleri değerlendirirken yararlanacakları ortak kriterleri belirlemeye odaklanan bir rehber niteliğindedir. 

Rehberde dikkat çeken bir kaç husus şöyle sıralanabilir:

• 29. Madde Veri Koruma Grubu, ABAD kararının dayanağı olan 95/46/AT sayılı yönergenin bu konuda uygulanmasının uygun olduğunu teyit ediyor. Nitekim arama motoru reklamcılık alanı dolayısıyla üye devletlerde faaliyet göstermektedir. 
• Karar yalnızca kişinin adı temelli yapılan aramalarda elde edilen sonuçlara ilişkindir. Bu nedenle karar uyarınca bağlantıların silinmesi gerekmemekte; kaynak bilgiye başka arama kriterleri ile ya da kaynağa doğrudan erişim ile ulaşmak mümkün olmaya devam etmektedir. 
• Veri öznelerine haklarının tam ve etkili bir şekilde tanınması için arama sonuçlarından çıkarma işlemlerinin kararda işaret edilen hususlar dikkate alarak uygulanması gerekir. AB hukukundan kaçınmak olanaklı değildir. Uygulamayı sınrılandıracak yeni yöntemler ile etkili koruma zayıflatılmamalıdır. Örneğin arama sonuçlarından çıkarmayı AB çıkışlı alan adları ile sınırlamak ve örneğin “.com" uzantılı sitelere uygulamamak yeterli ve etkili bir koruma olarak görülemez. 
• Veri koruma otoriteleri AB ile açıkça bağlantılı kişilerin (vatandaş ya da mukim) iddialarına yoğunlaşacaktır. 
• Arama motorlarının ağ yöneticilerini bu konuda bilgilendirme yükümlülüğü bulunmamaktadır. 

Ayrıca Veri koruma otoritelerine karar alma süreçlerinde yardımcı olacak esnek araçlar, temel kriterler belirlemiştir. Bu kriterlerin hiçbiri tek başına kararı belirleyici nitelikte olmadığı gibi, her somut olayda ABAD içtihadı ve bilgiye ulaşmadan kaynaklı kamusal yarar mutlaka dikkate alınmalıdır. Bu kapsamda 29. Madde Veri Koruma Grubu kriterlerini temelde şu sorulara verilecek yanıtlar ekseninde geliştirmiştir: 

• Arama sonucu bir gerçek kişiye mi ilişkin ve bu sonuca veri sujesinin adının aranması ile mi ulaşılıyor;
• Veri sujesi kamusal figür mü; 
• Veri sujesi çocuk mu; 
• Veri doğru, ilgili ve ölçüsüz olmama kriterlerine uygun mu; 
• Hassas veri kategorisinde mi; veri işleme veri öznesine ilişkin bir önyargının oluşmasına neden oluyor mu; 
• Arama sonucu veri sujesini bir risk altına sokuyor mu; 
• Veri güncel mi?
• Bilginin yayınlanma bağlamı nedir? 
• Gazetecilik faaliyeti kapsamında mı yayınlanmış?
• Yayıncının kişisel verileri kamunun erişebileceği şekilde yayınlama hukuksal yükümlülüğü bulunmakta mı? 
• Veri bir suç ile mi? 

29. Madde Veri Koruma Grubunun görüşü haberlere benzer başlıklarla yansıdı. Dikkat çekilen husus, Avrupa'nın Google üzerindeki baskısını arttırdığı oldu. Bunun nedeni ise Görüş'te arama sonuçları listesinden çıkarmanın yalnızca AB çıkışlı alan adları ile sınırlandırılamayacağının belirtilmesiydi. 

Privacy and Data Protection: Rebulding Trust (Özel Yaşamın Gizliliği ve Veri Koruma: Güvenin Yeniden İnşaası) Paneli-Notlar

21 Mayıs 2014 tarihinde “Internet: Privacy and Digital Content in a Global Context” başlıklı INETIstanbul etkinliği gerçekleştirildi. Etkinliğin “Privacy and Data Protection: Rebulding Trust” (Özel Yaşamın Gizliliği ve Veri Koruma: Güvenin Yeniden İnşaası) başlıklı ilk panelinde kişisel verilerin korunmasına ilişkin çeşitli konular tartışıldı. Toplantı notlarımı aşağıda bulabilirsiniz. Ancak ondan önce panelistlerin kimler olduğunu belirtmekte yarar var. Bu oturumda beş panelist konuya ilişkin görüşlerini iki turda ve daha sonra soru-cevap bölümünde dile getirdiler:

Introductory Keynote: Giovanni Buttarelli, Assistant European Data Protection Supervisor

Gonenc Gurkaynak, Esq., Managing Partner, ELIG Attorneys-at-Law

Sophie Kwasny, Head of Data Protection, Council of Europe

Mustafa Taşkın, Associate Professor

Nilgün Başalp, Assistant Professor, Bilgi University

Panelin özellikle oturum başkanı Ben Rooney’in esprili ifadeleri ile oldukça dinamik bir biçimde ilerlediğini söyleyebilirim. Panel Buttarelli’nin açılış konuşması ile başladı. Konuşması içerisinde özellikle son günlerin gündemden düşmeyen konusu Big Data’ya ilişkin değerlendirmelere yer verdi. Kişisel olarak konuşmasının ilgimi çektiğini belirtmeliyim. Bu blog içerisinde yakın zamanda aşağıda kapağı yer alan kitaba ilişkin de bir değerlendirme yazmak istiyorum. Ancak ilgilenenlere de kitabı mutlaka okumalarını öneririm.

Buttarelli konuşmasında Big Data’nın yalnızca kişisel verilerin korunması ile ilişkili bir konu olmadığını, ancak bu kapsamda yer alan bilgilerin önemli bölümünün kişisel bilgi niteliğinde olduğunu belirtti. Öte yandan mevzuunun sanıldığı kadar yeni olmadığına da işaret ettikten sonra, “open data by default”, “Internet of things” gibi bazı yeni konulara işaret etti. Konuşması sırasında ayrıca big data’ya ilişkin yakın tarihli Beyaz Saray Raporundan da söz etti.

Ardından panelistlerin değerlendirmelerine geçildi. Başalp, temelde kişisel verilerin korunması düzenlemelerinin Türkiye açısından gerekliliği üzerinde durdu. Taşkın, devletin konuya ilişkin pozitif yükümlülüklerine işaret ettikten sonra, Avrupa’da uzun yıllardır çalışılan ve gelişen bir alan olmasına karşın, Türkiye’de henüz veri koruma yasasına sahip olmamamızdan söz etti. Gürkaynak’ın konuşması ise daha çok bu alandaki hassas bir konuya: kişisel verilerin korunması ile düşünceyi açıklama özgürlüğü arasındaki dengeye yönelmişti. Kwasny, Türkiye’nin 108 sayılı AK Sözleşmesini imzalamayan Konsey üyesi tek devlet olduğuna dikkat çekti ve “bir konuda ‘tek’ olmak her zaman iyi değildir” dedi.

Kısa da olsa Edward Snowden ve Prism konusu da açıldı. Rooney, Viviane Reding’in bir konuşmasında sarkastik bir yaklaşımla ABD’ye teşekkür ettiğinden, çünkü PRISM skandalı sayesinde artık daha güçlü veri koruma düzenlemeleri yapmanın mümkün olduğundan söz etti.

Konuşmalar içerisinde değerlendirilen önemli konulardan biri ise,elbette, Avrupa Adalet Divanı’nın (ABAD) geçen hafta verdiği “unutulma hakkı”na ilişkin Google kararıydı. Buttarelli, aslında ABAD’ın ortaya koyduğu görüşün yeni olmadığını ve pek çok devlette “unutulma hakkı”nın tanındığını belirtti. Kwasny ise bu bakış açısının AİHM yorumuyla uyumlu olduğunu belirtti. Yeni olan tek şey ise İnternet çağı ile ilişkili. 108 sayılı sözleşmede de benzer bir yaklaşım bulunduğuna işaret ettikten sonra “hükümlülük hali bir süre sonra siliniyorsa neden İnternet üzerindeki herhangi bir şey silinmesin?” sorusunu yöneltti. Gürkaynak, kararın ve uygulamalarının düşünceyi açıklama özgürlüğüne-olası-etkilerine dikkat çekti. Butarelli’nin konuşmasından anladığımız kadarıyla, benzer bir hususa Google’ın Global Privacy Counsel’ı Peter Flesher’ın da 20 Mayıs’ta Privacy Forum’da yaptığı konuşmada değindiği. Rooney, Reding’in “unutulma hakkı”na önem ve öncelik veren yaklaşımının şeffaflık ile çatışma halinde olduğundan söz etti: insanlar hakkında daha az bilgiye ulaşmaya neden olduğu için...

Özellikle Gürkaynak’ın üzerinde durduğu bir konu ise arama motorlarının konumuna ve sorumluluğuna ilişkindi. Panelin başlığına da atıfta bulunarak, arama motorlarının İnternet’in polisine dönüşmesinin güvenin yeniden inşaasına hizmet etmeyeceğini belirtti. Arama motorlarının yeni bir konu olduğu, özel olarak üzerinde durulması gerektiği ve bazı sorunları yasal düzenlemeler ile değil, sivil toplum kuruluşları aracılığıyla çözmenin daha işlevsel olabileceğini söyleyerek bu konuda yazıkları “Understanding search engines” başlıklı makaleden söz etti.

(Elbette ABAD kararının ve ilişkili sorunun bir çırpıda değerlendirilmesi ve tartışmanın neticelendirilmesi kolay değil. Konu, belki başka bir yazıda uzun uzadıya incelenebilir. Ancak toplantıda tuttuğum notlara devam etmeden once tam da bu konu tartışılırken hatrıma gelen bir araştırmaya atıf yapmak isterim: Acquisti tarafından yürütülen bir araştırma, uzun zaman önce gerçekleşen kötü olayların bugünkü değerlendirmelerde etkisinin, uzun zaman önce gerçekleşen iyi olaylara göre daha güçlü olduğunu ortaya koyuyor. Bu durum ise insanın hayatında beyaz bir sayfa açabilmesinin önünde önemli bir engel. Bir tarafta bu sorun durur iken, diğer tarafta hangi bilgilerin arama motorları aracılığı ile ulaşılamaz hale getirileceği sorunu duruyor. Konunun bu boyutu tartışmasız bir biçimde düşünceyi açıklama özgürlüğü ile ilişkili. Zor soruların kolay yanıtları yok. Ancak bu konuda denge ihtiyacı açık)

Veri Koruma alanında Türkiye’de gündemdeki önemli konulardan biri de Kişisel Verilerin Korunması Kanun Tasarısı Taslağı. Bu konuyla ilişkili bir kaç husus da tartışmaya açıldı. Toplantı tam bitmek üzere iken söz alan bir dinleyici, Taslak’ta veri koruma otoritesinin doğrudan Adalet Bakanlığı’na bağlı olduğunu belirterek bunun AB normlarına uygun olup olmadığını sordu. Taşkın, bu noktada siyasal iradenin karar vereceğini, veri koruma otoritesinin yapısına ilişkin AB’nin beklentilerine ilişkin bilgilendirme yapıldığını belirtti. Buttarelli ise ABAD’ın veri koruma otoritesinin “bağımsız” niteliğini değerlendirdiği kararlarının ve Article 29’un raporlarında açıklanan “yeterlilik” ilkelerinin dikkate alınması gerektiğini söyledi. Ayrıca küresel düşünmenin ve Avrupa’da belirlenmiş ilkelerin önem ve gerekliliğine işaret etti. Buttarelli ayrıca konuşmanın başka bir yerinde Japonya’daki veri koruma  çalışmalarına ilişkin olarak Avrupa’daki düzenlemelerin  bir kopyasını yapmamaları ve detaylı düzenlemelerden kaçınmaları gerektiği yönünde görüş paylaştıklarını söylemişti. Bu bağlamda, temel ilkelerden vazgeçmeden  ülkelerin kendi yaklaşımlarını yansıtmaları yönünde görüş belirtti.

Dinleyicilerin ve panel yöneticisinin yönelttiği oldukça ilginç sorular da tartışmaya açıldı. Bunların bir bölümü şöyle(bazılarını ben sorulaştırdım):

-       Daha fazla yasaya ihtiyacımız var mı? (Do we need more law?)

-       İnternet’te ruhumuzu isteyerek teslim mi ediyoruz?  (On the Internet, are we giving our souls willingly?)

-       Konuşmacılara hitaben: siz İnternet’te kendi verilerinizi koruyabiliyor musunuz? (Is it possible to protect your own personal data on the Internet?)

Kısa kişisel değerlendirme: Veri koruma alanında belki de en önemli ve en zorlu çatışan çıkarlar arasında “denge” sağlamak. Şeffaflık-unutulma hakkı ya da daha genel bir bakışla düşünceyi açıklama özgürlüğü-kişisel verilerin korunması hakkı arasında kurulması gereken bir denge olduğu açık. Ancak bir noktada görülen çatışmanın her alanda gerçekleşeceğini düşünmek bizi yanılgıya sürükler. Örneğin kişisel verilerin  korunması devletin şeffaflığını da bir oranda sağlamaktadır. Veri koruma hukuku, kamu kurumlarının hangi bilgileri hangi amaçla topladığı ve bunlara kimlerin ulaşabildiği gibi konuların açık olmasını gerekli kılmaktadır. Çeşitli kaynaklardan, çok çeşitli bilgileri toplanan ve adeta dijital akvaryumdaki bir balığa dönüşen bireyin düşünceyi açıklama özgürlüğünü yaşama geçirmekte sorun yaşayacağı/yaşadığı da bilinmektedir. Bu noktada kişisel verilerin hukuksal düzenlemeler ile korunması düşünceyi açıklama özgülüğünü de destkeleyecektir.

“Daha fazla yasaya ihtiyacımız var mı?” sorusuna gelecek olur isek: yeni teknolojiler ile ilişkili her türlü sorunu yasalar ile çözmeye çalışmanın kimi durumlarda etkisiz, kimi durumlarda ise zararlı olacağı düşüncesindeyim. Ancak insan haklarını temel alan bir bakış açısıyla teknoloji-nötr düzenlemelerin varlığı özellikle de kişisel verilerin korunması alanında önemlidir. Konuya ilişkin düzenlemlerin var olduğu Avrupa ülkeleri ile bireylerin verilerinin hemen hemen hiç korunmadığı Türkiye’deki durum arasındaki farklılık bunu ortaya koymaktadır. Avrupa’da da kişisel verilerin korunması alanında pek çok sorun yaşanmaktadır, ancak etkin hukuksal düzenlemelerin bulunmadığı bir ortamda bu sorunların çok daha boyutlu olduğunu saptamak için günlük yaşama ilişkin genel bir gözlem yapmak bile yeterli olacaktır.