Avrupa İnsan Hakları Mahkemesi’nin 11.07.2019 tarihinde Genel Kurul’da görüştüğü Big Brother Watch[1] dosyası istihbarat servislerinin kişisel verileri kişilerin rızası olmaksızın toplamasının Avrupa İnsan Hakları Sözleşmesi’nin 8. Maddesini ihlal edip etmediği ile ilgili tartışmaların en üst düzeyde yaşandığı dosyalardan biri ve Mahkeme bu yıl kapanışını bu dosya ile yaptı. Dosyayı biraz özetlemek ve mahkemenin dosyayı tartışırken hangi kriterler üzerinde durduğu noktasına değinmek istiyorum.
Big Brother Watch dosyasında, başvurucular terör tehlikesi gerekçesi ile İngiliz istihbaratının genel veri toplama faaliyetlerinin ve toplanan verileri diğer istihbarat servisleri ile paylaşmasının herhangi bir yargı kararı olmaksızın gerçekleşmesinin sözleşmenin 8. Maddesinde düzenlenen Özel Hayatın Gizliliği” hakkını ihlal ettiği vurgusu yapılmıştır.
Burada özellikle “genel veri toplama faaliyeti”, “sürecin denetimsizliği”, “kötüye kullanıma açık oluşu” üzerinde durulması gerekir. Bu anlamda duruşmada hükümet avukatları her ne kadar RIPA’ya dayanmış olsa da RIPA’nın genel veri toplama faaliyetlerini ve buna ilişkin güvenceleri tam olarak karşılamadığı başvurucu avukatları tarafından ifade edilmiştir.
AHİM, ortaya çıkan meta veri kavramı ile istihbarat servislerinin toplanan iletişim verilerini hiçbir kısıt olmaksızın, sınırsız bir biçimde inceleyebileceği, toplayabileceği kaygısını taşımaktadır. İletişim verileri içerisinde ilgililerin telefon numaraları, e-mail adresleri, IP adresleri, konum bilgileri, e-posta başlıkları, web araştırma verileri gibi her tür verinin yer aldığı belirtilmektedir. Böyle bir veri toplama faaliyetinin aynı zamanda bu kişilerin iletişime geçtiği diğer kişilerin de verilerini toplayabileceği, bu verilerden kişilerin diğer tüm verilerine ulaşılabileceği ve ortaya çok büyük bir datanın çıkacağı ve bu veri toplama faaliyetinin korkunç noktalara ulaşacağı endişe vericidir.
AHİM aynı zamanda böyle bir veri toplama faaliyetinin demokratik toplumda gerekli olup olmadığı ve ölçülülük kriterleri bakımından değerlendirilmesinin de ortaya konulmasını tartışmaya sundu ve demokrasi yaratma çabası altında demokrasiyi zayıflatan bir yaklaşım olacağının da altını çizmek istedi. Hakimlerin sorduğu sorular daha çok bu kavramların tartışılmaya açılması ile ilgili idi.
Burada devlete istihbarat çalışmaları esnasında gerçekleştirilen veri toplama faaliyetlerinde devletin yetkisinin daha sınırlı olması ve daha dar bir alanda tutulması gerektiğinin altı çizilmelidir. AHİM Weber ve Saravia’da kullanılan kriterlerin burada da kullanılması gerektiğini söyler. Yani;
- Suçun niteliğinin belirlenmesi müdahale için şarttır.
- Verileri toplayan kişilerin kategorilendirilmesi ve tanımlanması,
- Verileri toplama faaliyetinde süre belirlenmesi,
- Elde edilen verilerin saklanması, kullanılması için bir politika yazılması,
- Verileri yetkili makamlarla paylaşırken alınacak önlemlerin belirlenmesi,
- Verilerin imha ve silinmesi yöntemlerinin belirlenmesi,
Mahkeme, Zakharov kararında da “resmi bir makam müdahalesi” olarak gördüğü başvuranın telefon bağlantısının dinlemeye alınmasının “kanunla öngörülmüş” ve “demokratik bir toplumda gerekli olup olmadığının” değerlendirmeye tabi tutulması fenomeni üzerinde durur.
Hükümet her ne kadar savunmasında meta datanın, veriden daha sınırlı bir veri içerdiğini iddia etse de, meta datanın ne olduğu araştırıldığında bu savunmanın kabul görmeyeceği açıktır. Bir meta data, verinin saat kaçta, nereden, hangi baz istasyonu kullanılarak, arama yaptığınız telefon numarasına, IMEInumarasına, konuştuğunuz süreye kadar tüm veriyi tanımlar ve listeler.
Metadata ile erişilen verilere değinir isek:
Kameradan.
- GPS bilgileri
- Kameradan fotoğraf okuma
- Kameranın modeli ve ayar bilgileri
- Fotoğraf özellikleri
Facebook.
- Ad, soyad, doğum tarihi, yer, iş alanları gibi biyografi bilgileri,
- Kullanıcı adı ve ID
- Abonelikler,
- Cihaz bilgileri,
- Aktivite, beğeni ve etkinlikler,
- Saat dilimi
Twitter.
- Takipçiler
- Tweet gönderme zamanları ve programları,
- Üyelik tarihi
Google.
- Arama sorguları
- Aramada çıkan sorgular
- Arama sonucu erişilen bağlantılar
Tarayıcı.
- Ziyaret edilen sayfalar
- IP adresleri, giriş ve kullanıcı verileri,
- Çerezler vs.
Tüm bu meta veri detayları, aslında veriyi tanımlayan bu üst başlık verinin çok da masum olmadığını ortaya koyuyor. AHİM, bu verilerin bir araya getirildiğinde çok büyük bir verinin ortaya çıkacağını ve bunun çok büyük bir hak ihlaline yol açacağını önceki kararlarına atıfla vurguluyor.
Mahkemenin RIPA[2]’nın genel veri toplama faaliyeti için yeterli bir düzenleme olmadığını ve Birleşik Krallık’ın yeterli yasal düzenlemeye sahip olmadığını ifade ettiğini ve kararında da bunu açıklayacağını tahmin etmek zor değil. Aynı zamanda diğer ülke vatandaşlarının da verilerinin tehlike altında olduğu tartışması da mahkemede yapıldı. Sunumlardan sonra Portekiz’li üye hakimin sorusu gerçekten can alıcı idi: “Mahkeme olarak Siz hükümet avukatlarına bir e-posta gönderdiğimizde e-posta verilerimizi kim okuyor? Bunun için İngiltere part – time çalışan birilerini mi atadı ve bu part-time bir iş haline mi geldi?” Bu soru tüm savunmaları özetler bir cevap içeriyordu.
Birleşik Krallık’ın fiber optik kablolardan geçen tüm görüşmeleri TEMPORA adı verilen bir programla süzüp tüm meta verilere ulaşabildiği bu sistemde verilerin sadece Birleşik Krallık’ta kalmayacağı ve bunu diğer istihbarat birimlerinin de çok rahatlıkla kullanabileceği başvurucu avukatları tarafından ifade edildi.
Genel Data Tüzüğü’nün “kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önlenmesi de dahil olmak üzere suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezaların infaz edilmesi ilgili olarak yetkin makamlar tarafından kişisel verilerin işlenmesine uygulanmadığı” düzenlemesine baktığımızda düzenlemenin yine de istihbarat çalışmalarına sınırsız yetki vermediğini görmekteyiz. Tüzüğün kapsamına girmemesi demek Tüzük’te yer alan verilerin güvenliği ve verileri işleyen kişiler hakkında alınacak tedbirlerin, standartların hiç uygulanmayacağı anlamına gelmemelidir. Kişisel verilerin işlenmesinde yer alan;
- Hukuka uygun işleme,
- Açık ve meşru amaçlara yönelik toplama,
- İşlendiği amaçlarla orantılı olarak, yeterli, gerekli ve sınırlı işleme,
- Amaç sonlandığında silme ve imha etme
İlkeleri istihbarat çalışmaları için toplanan veri faaliyeti için de geçerlidir.
Genel Data Tüzüğü’nün 6/4 ‘ünde yer alan husus önemlidir: “Kişisel verilerin toplama amacının dışında bir amaca yönelik olarak yapılan işleme faaliyetinin veri sahibinin rızasına dayanma durumu hariç, demokratik bir toplumda gerekli ve ölçülü bir tedbir teşkil eden Birlik veya üye devlet kanununa dayanmaması durumunda kişisel verilerin asıl toplanma amacına uygun olup olmadığını değerlendirirken şu ilkelere de göz atılır:
- Kişisel verilerin toplanma amaçları ile diğer işleme amaçları arasında herhangi bir bağlantı,
- Kişisel verilerin toplandığı bağlam,
- Kişisel verilerin mahiyeti,
- Diğer işleme faaliyetlerinin veri sahiplerine olası yansımaları,
- Şifreleme veya takma ad kullanımı da dahil olmak üzere uygun güvencelerin bulunması,
Bu ilkeler Big Brother Watch dosyasında da Mahkemenin üzerinde birebir durduğu ilkeler olduğu gibi Mahkeme açıkça şunların altını da çizmektedir:
- İşleme ve işleme kategorilerinin amaçları,
- Kötüye kullanım veya yasa dışı aktarımın engellenmesine ilişkin güvenceler,
- Veri sahiplerinin hakları ve özgürlüklerine yönelik riskler,
- Veri sahiplerinin de bilgi sahibi olma hakkı.
Bir mahkeme kararı olmaksızın Birleşik Krallık’ın topladığı miktarda veriyi toplama hakkının sadece RIPA’da yer alan yetkisinden kaynaklandığını söylemek mümkün görünmemektedir. Veri miktarı, işlenme derecesi, saklanma süresi, erişilebilirlilik gibi hususlar her defasında bir mahkeme kararında hakimin kullandığı turnusol kağıdıdır.
Burada AHİM’in Büyük Daire’de ne karar vereceği merakla beklenirken, kararı tahmin etmek de daha önce verilen kararı okuduğunuzda çok da zor değil. AHİM’in alt dairesinin verdiği karar ile Grand Chamber kararı birbirinden hiç de farklı olmayabilir. Kararın son derece ayrıntılı ve doğru noktalara temas ettiğini görüyorum. Hükümetin Grand Chamber savunmasında soruları iyi yanıtlayamadığını, doğru bir dil kullanmadığını ve Mahkemeyi toplanan kişisel verilerin güvenli bir rotada tutulması için yeterli güvenceleri aldıkları ve yasalarının bu konuda yeterli olduğunu ikna ettiğini düşünmüyorum. Özellikle Portekiz devletinin yargıcının sorusu üzerine Hükümet tarafının örneğin toplanan bir e-posta verisinin kim tarafından okunabildiği noktasına ya da bir sınırlandırma getirilip getirilmediği sorunsalına cevap veremediği herkes tarafından gözlemlenmiştir. Verileri bir istihbarat çalışması nedeni ile toplama faaliyetinin dayandığı yasanın çok iyi olması durumunda bile AHİM daha önce de değindiğimiz WEBER ve SARAVİA kriterlerini sert bir şekilde uygulayacaktı. Burada Mahkemenin toplanan verilerin yabancı istihbarat servisleri ile paylaşılmasının ve diğer ülke vatandaşlarının verilerinin yurtdışında dolaşımının yasal olmayan zeminde engellenmesine dair yeterli güvenlik önlemlerinin alınmamasını da 8. Madde kapsamında ihlal görmesi beklenebilir mi? Belki bu konuya Mahkemenin bakışı Grand Chamber kararında değişebilir ve ihlal kapsamında değerlendirilebilir.
Mahkemenin kararlarını okumak pratiği dışında önemli bir duruşmayı Mahkeme’de izlemek tüm arkadaşlarım adına unutulmaz bir deneyim oldu ve bugün sizinle bu kararı tartışmaya açmak ve konu hakkında bilgilendirme yapmama zemin hazırladı. Konu ile ilgili sorularınız ve eleştirileriniz için lütfen sanemyilmaz@sanemyilmaz.av.tr adresime yazın.
---------------------------------------
[1] Gazetecilerin ve sivil toplum kuruluşlarının başvurusu üzerine ele alınan dosyada, tüm iletişim bilgilerinin ve fiber optik kablolarından süzülen verilerin ele geçirilmesi, yabancı istihbarat servisleri ile paylaşılması, tüm iletişim servis sağlayıcılarından iletişim verilerinin alınması ile ilgili konular tartışılmaktadır. Karar bugüne değin Kişisel Verilerin Gizliliği ve Özel Hayatın Korunması hakları ile ilgili yeni kavramların tartışıldığı ve tüm dünyada bir çok kararı etkileyebilecek unsurlar içermektedir. Daha önce alt dairede görülen kararda AHİM, verilerin toplanmasında güvencelerin yetersiz olması nedeni ile Sözleşmenin 8. 10. maddesinin ihlal edildiğine, iletişim verilerinin toplanmasının RIPA’da yer almaması nedeni ile 8. Maddenin ihlal edildiğine, yabancı devletlerle istihbarat paylaşılmasının 8. Madde kapsamında ihlal oluşturmadığına, adil yargılanma hakkının ihlali ile ilgili de açıkça dayanaktan yoksunluğa hükmetmiştir. Karar aynı zamanda ifade özgürlüğü ile ilgili de önemli sonuçlara imza atmıştır. Karara itiraz edilmesi nedeni ile dava Büyük Kurul (Grand Chamber) önüne gelmiştir. Duruşma 8 avukat arkadaşım ile birlikte izlenmiş ve sözkonusu makale bu kapsamda kendi görüşlerim ve gelişen olaylardan derlenmiştir. (Karar numarası 58170/13, 62322/14, 24960/15)
[2] Regulation of Investigatory Powers Act 2000