Veri sorumlusu kavramı, bizim için artık oldukça bilindik. Zira veri sorumlusu, Kişisel Verilerin Korunması Kanunu’nun (KVKK) ve Kişisel Verilerin Korunması Hukukunun adeta kalbinde yer alıyor[1]. Bu hakkın sağlanması ve korunması için merkezi bir role sahip. Ancak o kadar da aşina olmadığımız bir kavram daha var: Ortak veri sorumlusu (joint controllers).
29 Temmuz 2019 tarihinde Avrupa Birliği Adalet Divanı (ABAD), bir süredir beklenen Fashion Id ve Facebook İrlanda hakkındaki kararını açıkladı ve bize bu konuyu tartışma ortamı sağladı.
1. Ortak Veri Sorumlusu Kavramı
Ortak veri sorumlusu, tek bir veri kayıt sistemi ve bu kayıt sistemi çerçevesindeki veri işleme faaliyetlerinde; bu faaliyetlerin amaç ve vasıtalarının birden fazla kişi tarafından müştereken belirlenmesi durumu için öngörülmüştür. Bu gibi durumlarda her bir veri sorumlusu, veri koruma yükümlülüklerine tabi kılınmalıdır. Yükümlülüklerin belirlenmesinde taraflar arasında sözleşme yapılması önemlidir. Ancak bu belirleme yapılırken sözleşmede yazılanlar yeterli sayılmamalı bunun yanında, faaliyetler esnasındaki gerçek durum da incelenmelidir.
Bununla birlikte, her ortak veri işleme faaliyeti doğrudan müşterek bir sorumluluk anlamına gelmez veya verilerin birbirlerine aktaran kişiler, ortak veri sorumlusu olmaz. Ortak veri sorumlusu olabilmek için veri işleme faaliyetin amacını ve faaliyette kullanılacak aracı ortak belirlemek yani, ortak hedefe ortak vasıtalarla yürümek gerekir.
Ortak veri sorumlusu kavramını bir örnekle somutlaştıralım. Sözgelimi, turistik turlar düzenleyen acenteler, tura katılacak kişilerin verilerini havayolu şirketleri ve otellerle paylaşabilir, bu veriler üzerinde birlikte işlem gerçekleştirebilirler. Ancak bu durum, havayolu şirketinin, otel ve tur acentesinin ortak veri sorumlusu olduğunu göstermez. Burada kişilerin hepsi kendi farklı amaçları doğrultusunda ve farklı araçlarla veri işleme faaliyeti gerçekleştirir, hepsinin farklı bir veri kayıt sistemi bulunur. Elbette bunun aksinin bulunduğu durumlara da rastlanılır. Bu durumları aşağıda inceleyeceğim kararlar bazında ortaya koyacağım.
2. Ortak Veri Sorumlusunun KVKK ile GDPR’daki Yeri
KVKK’da ortak veri sorumlusuna ilişkin açık bir düzenleme bulunmamaktadır. Öte yandan, mehaz 95/46/EC sayılı Direktif’in (Direktif) “Tanımlar” başlıklı 2. maddesinde veri sorumlusu tek başına veya başkalarıyla müştereken (alone or jointly with others) veri işleme amaç ve vasıtalarını belirleyen kişi olarak tanımlanmıştır. Bu yöndeki bilinçli bir tercihten mi ya da özensiz bir çeviriden mi bilinmez, “tek başına veya müştereken” şeklinde bir ibareye KVKK’da yer verilmemiştir. Ancak veri sorumlusunu tanımlayan hükümden (KVKK m. 3/1-ı), ortak veri sorumlusunun tamamen dışlandığı sonucu da çıkarılamaz. Zira “tek başına” şeklinde bir ifadeye ve dolayısıyla kısıtlamaya da yer verilmemiştir. Hükümde veri sorumlusundan yalnızca veri işleme amaç ve vasıtalarını belirleyen kişi olarak bahsedildiğinden, iki kişinin birlikte belirleme yaptıklarında müştereken sorumlu olup olmayacakları ya da başka bir deyişle, ortak veri sorumlusu kabul edilip edilmeyecekleri belirsizdir. Geçtiğimiz günlerde On Birinci Kalkınma Planında açıklanan KVKK özelinde yapılması planlanan değişikliklerde, umarım bu belirsizlik giderilir.
Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) baktığımızda ise ortak veri sorumlusu kavramına verilen önemin arttığını görmekteyiz. Ortak veri sorumlusu kavramına, ayrı bir madde altında ve detaylı bir düzenlemeyle yer verilmiştir (GDPR m. 26). Anılan maddede, iki veya daha fazla veri sorumlusu, veri işleme amaç ve araçlarını müştereken belirlerse, ortak veri sorumlusu olur denilerek, Direktif’teki tanım korunmuştur. Ancak ortak veri sorumlularına ayrıca bir yükümlülük getirilmiş ve GDPR’da yer alan yükümlülüklerinin özellikle veri ilgililerini bilgilendirme hakkının sağlanması konusundaki yükümlülüğün, veri sorumluları arasında yapılacak sözleşmeyle açık ve şeffaf bir şekilde düzenlenmesi gerektiği belirtilmiştir. GDPR, ortak veri sorumluları arasındaki bu sözleşmeye büyük önem vermekte, bu sözleşmenin veri sorumlularının, veri ilgilisi karşısında (vis-à-vis) rol ve ilişkilerini net bir şekilde yansıtmalarını beklemektedir. Aynı maddeye göre, sözleşmenin özü veri ilgililerine sunulmalıdır.
Kısaca GDPR, ortak veri sorumlusunu açıkça düzenlemiş, yapılacak “Ortak Veri Sorumluluğu Sözleşmesi”ne büyük önem atfetmiş, burada sorumluluktan kaçılabilecek tabir-i caizse, iki tarafın da yakar top gibi topu birbirine attığı bir alan bırakmak istememiştir. Öte yandan ilk olarak Direktif ile bahsedilen ortak veri sorumlusu kavramı, ancak GDPR ile açıklığa kavuşturulmuştur. Dolayısıyla Direktifin ve GDPR’ın ortak veri sorumlusu kavramına bakışı ve kuralların uygulanması, henüz yeni verilecek mahkeme kararlarıyla şekillenecektir. Bu kararlardan bir tanesi, ABAD tarafından oldukça yeni verilen, 29 Temmuz 2019 tarihli karardır. Ben de makalemde, hem geçtiğimiz yıl yine ABAD tarafından verilen Wirtschaftsakademie, Yehova’nın Şahitleri ve bir üst cümlede andığım Fashion ID kararını değerlendirip Divan’ın bakış açısını ortaya koymaya çalışacağım.
3. ABAD’ın 5 Haziran 2018 Tarihli Wirtschaftsakademie ve Facebook İrlanda Kararı
A. Olay
Wirtschaftsakademie, Facebook’ta kurduğu bir kişisel sayfa (fan page) aracılığıyla eğitim hizmeti sunmaktadır. Facebook’taki bu kişisel sayfalar, kişiler veya işletmeler tarafından açılabilen kullanıcı hesaplarıdır.
Kişisel sayfalar, Facebook’un bu sayfalara sunduğu bazı hizmet ve platformlardan yararlanırlar. Sayfanın ücretsiz olarak kullanabildiği “Facebook Insights” adındaki platform aracılığıyla, kişisel sayfalarına gelen ziyaretçilerle ilgili anonim istatistiksel veriler edinebilir. Facebook'un değiştirilemeyen kullanım koşulları altında bu platform ücretsiz olarak sayfaya sunulur.
Toplanan bu analitik veriler, her biri iki yıl boyunca etkin olan ve Facebook üzerinden bilgisayarın sabit diskinde ya da diğer ziyaretçilerinin Facebook hesaplarının medya kısımlarında, benzersiz bir kullanıcı kodu içeren çerezler (cookies) aracılığıyla kişisel sayfalara aktarılmak üzere toplanır. Facebook’ta kayıtlı kullanıcıların bağlantı verileriyle eşleştirilebilen kullanıcı kodu, söz konusu kişisel sayfalar yüklendiğinde toplanır ve işlenir[2].
Almanya’daki Schleswig-Holstein eyaletinin veri koruma otoritesi (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) 3 Kasım 2011 tarihinde verdiği kararla, öncelikle hem Wirtschaftsakademie hem de Facebook’un, veri ihlali bildirim yükümlülüğünü ihlal ettiğine karar verdi. Mahkeme ayrıca Wirtschaftsakademie’nin Facebook sayfasını kararda belirtilen süre içinde kaldırmasını, bu süre içerisinde sayfa kaldırılmaz ise para cezası ile karşılaşacağına hükmetti. Sonuç olarak otorite, Facebook ile Wirtschaftsakademie’i ortak veri sorumlusu olarak kabul etti, ortak yükümlülüklerinin ihlal edildiğine karar verdi. Wirtschaftsakademie, verinin Facebook ya da Facebook tarafından yüklenen çerezler tarafından işlenmesinden sorumlu olmadığını savunarak, bu karara itiraz etti[3].
Alman otoritesi yapılan itirazda, Wirtschaftsakademie’nin içerik sağlayıcısı olarak sorumlu olduğuna karar verdi. Buna göre, Wirtschaftsakademie Facebook sayfası açmak ve Facebook Insights’ı aktive etmekle, Facebook tarafından sağlanan istatistiklerden yararlanmakta ve sayfayı ziyaret edenlerle ilgili kişisel verilerin Facebook tarafından toplanmasına aktif ve bilinçli bir katkı yapmaktadır[4].
Mahkemenin kararından anlaşılan, Wirtschaftsakademie bu aktivitelerde bulunmakla, Facebook’un veri işleme amaçlarına ortak olmakta ve aynı veri işleme aracını (Facebook Insights) kullanmaktadır. Facebook da bu platformu zaten kişisel sayfalara sunmaktadır. Dolayısıyla ortak veri sorumluluğu söz konusudur.
Alman İdare Mahkemesi, Alman Yüksek İdare Mahkemesi ve Federal Alman İdare Mahkemesi’nde yürüyen yargılama süreçlerinden sonra dava konusu olay, ABAD’ın önüne gelmiştir[5].
B. Merci Görüşü ve Hukuki Değerlendirme
ABAD’a göre öncelikle, hem Wirtschaftsakademie hem Facebook İrlanda birer veri sorumlusudur[6]. ABAD devamında bu veri sorumluluğunun, müşterek bir veri sorumluluğu olduğunu; Facebook ve Wirtschaftsakademie’nin ortak veri sorumlusu olduğuna karar vermiştir.
Çünkü bu tür bir kişisel sayfa, sayfanın, ziyaretçilerin kişisel verilerinin işlenmesinin amaçlarının ve araçlarının belirlenmesinde (özellikle hedef kitlesine ve kendi faaliyetlerini yönetme veya destekleme hedeflerine bağlı olarak); Facebook’un veri işleme faaliyetinde, kendi parametrelerini tanımlayarak katılmaktadır[7]. Wirtschaftsakademie de Facebook da kullanıcıların bilgilerini, aynı amaçlarla ve aynı parametreler altında toplamakta ve bunu aynı vasıta ile gerçekleştirmektedir. Bu durumda ABAD’a göre, bir Facebook kişisel sayfası sahibinin, ilişkili hizmetlerden yararlanmak için Facebook tarafından sağlanan platformu kullanması; onu kişisel verilerin korunmasına ilişkin yükümlülüklere uymasına gerek olmadığı sonucunu doğurmaz[8].
ABAD’a göre, sosyal ağ operatörünün (Facebook) ve o ağda barındırılan bir kişisel sayfasının yöneticisinin (Wirtschaftsakademie) ortak veri sorumluluğunun tanınması, veri güvenliği hususunda daha sağlam bir güvence sağlar[9].
Bununla birlikte, ortak veri sorumluluğu “eşit” veri sorumluluğu demek değildir. Ortak veri sorumluları, veri işleme faaliyetlerinin çeşitli aşamalarında çeşitli derecelerde yükümlülükler üstleniyor olabilirler. Her bir ortak veri sorumlusunun sorumluluk düzeyi, her olay bazında ayrıca ele alınmalıdır[10].
4. ABAD’ın 10 Temmuz 2018 Tarihli Yehova’nın Şahitleri Kararı
ABAD’ın yakın zamanda ortak veri sorumlusu ve fiziksel veri kayıt sistemlerine yönelik verdiği ilginç kararlardan biri de Yehova’nın Şahitleri[11] hakkında verilmiştir[12]. Esasında Yehova’nın Şahitleri kararı, Kişisel Verilerin Korunması Hukukunun birçok temel konusunu ilgilendiren oldukça kapsamlı ve teknik bir karardır. Kişisel verilerin gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi (KVKK m. 28/1 ve Direktif m. 3/2), fiziksel olarak kayıt altına alınan verilerin bir veri kayıt sisteminin parçası olup olmaması, kişisel verilerin korunması hakkı ile din ve vicdan özgürlüğünün ve dernek kurma özgürlüğünün çatışması gibi çok sayıda çetrefilli konu kararda tartışılmıştır. Diğer bir boyutu da ortak veri sorumlusu kavramına yöneliktir ve makalenin kapsamı nedeniyle ben kararı özellikle bu boyutu ile ele alacağım.
A. Olay
Finlandiya’daki merkezlerinde, Yehova’nın Şahitleri’nin yaygın biçimde kullandığı bir dini propaganda yöntemi olarak, Yehova’nın Şahitleri mensupları kapıdan kapıya giderek kişilerle iletişime geçmektedirler[13]. Mensuplar kişilerle yaptıkları görüşmeler esnasında kişilerle ilgili verileri not almaktadırlar. Notlar, kişilerin isimleri ve adresleri ile dini inançları ve aile durumları hakkında bilgiler içermektedir. Veriler mensupların gerçekleştireceği sonraki ziyaretler için saklanmaktadır[14].
Yehova’nın Şahitleri yönetimi bu verileri, çıkardıkları dini dergilerde de kullanmalarını dergide görevli mensuplarına tavsiye etmektedir. Ayrıca veriler, bölgenin haritasını çıkarmak amacıyla kullanılmaktadır. Yehova’nın Şahitleri’ne katılma talebini reddeden kişilerin verileri de ayrı bir “ret kaydı” altında tutulmaktadır[15].
Fin Veri Koruma Denetçisi (Tietosuojavaltuutettu) Yehova’nın Şahitleri’nin bu veri işleme faaliyetlerinde, konuyu Fin Veri Koruma Kurulu önüne taşımıştır. Kurul, veri işleme ilkelerine uymadığını saptamıştır. Yehova’nın Şahitleri Topluluğu tarafından, ilkeler gözetilmediği sürece, bu topluluğun amaçları doğrultusunda altı aylık bir süre boyunca kişisel verilerin toplanmasını yasaklanacağına karar verilmiştir[16].
Yehova’nın Şahitleri Topluluğu, karara karşı Helsinki İdare Mahkemesi’ne başvurmuştur. Mahkeme, Yehova’nın Şahitleri’nin bir veri sorumlusu olmadığına ve faaliyetlerin bu nedenle kişisel verilerin hukuka aykırı işlenmediğine karar vermiştir[17]. Fin Veri Koruma Denetçisi, kararı temyiz etmiştir[18].
Fin Danıştay’ı, Yehova’nın Şahitleri Topluluğunun birer veri sorumlusu olup olmadığı sorunu üzerinde durmuştur. Öncelikle, bahsedilen veri işleme faaliyeti, Direktif’in 2/1-c ve 3/1 maddeleri uyarınca, bir veri kayıt sistemi oluşturan elle veri işleme faaliyeti olarak nitelendirilmelidir. Bu nedenle söz konusu faaliyet Direktif kapsamındadır[19].
Yehova’nın Şahitleri Topluluğu, kapıdan kapıya dini propaganda düzenlemekte, bu faaliyetleri koordine ve teşvik etmekte ve bu esnada kişilerin verilerinin toplanmasını, kişiler hakkında birtakım notlar alınmasını mensuplarından talep etmektedir. Topluluk, veri işleme faaliyeti üzerinde etkili bir kontrol mekanizmasına sahiptir ve veri işleme faaliyetlerini sınırlandırabilir ya da sonlandırabilir. Dahası, hangi verilerin ne şekilde işleneceğine ilişkin tavsiyelerde bulunarak ve mensuplarına yol göstererek, veri işleme amaç ve vasıtalarını belirlemektedir. Dahası, bu notların tutulması için Topluluğun mensuplarına vermiş olduğu formlar, veri işlemeye aktif ve bilinçli bir şekilde katıldığının kanıtıdır. Sonuç olarak, Danıştay’a göre Topluluk bir veri sorumlusudur[20].
Danıştay, mensuplar tarafından konuya yaklaştığında; mensupların da veri işleyip işlemeyecekleri ve bu faaliyetin ne amaçla yapacaklarına kendilerinin karar verebileceklerini belirtmektedir. Ayrıca bunu ne şekilde yapacaklarını yani, veri işleme araçlarını da kendileri belirleyebilirler. Üstelik Topluluk, mensupları tarafından işlenen bu verilere “ret kayıtları” dışında erişim sağlayamamaktadır.
Fin Danıştay’ı burada değerlendirmelerine son vermiş ve ABAD’a toplamda dört soruyu yöneltmiştir. Ortak veri sorumlusu konusunu ilgilendiren üçüncü ve dördüncü sorulardır.
Üçüncü soruda Fin Danıştay’ı, veri işleme faaliyeti düzenleyen bir dini topluluğun (özellikle faaliyetin çeşitli mensuplar tarafından gerçekleştirileceği coğrafi bölgeleri belirlediği, mensupların veri işleme faaliyetlerini denetlediği ve topluluğa katılmayı reddeden kişilerin listesini tuttuğu göz önüne alındığında) verilere yalnızca veriyi toplayan mensupların eriştiğini iddia etse bile, veri sorumlusu olarak kabul edilip edilemeyeceğini sormuştur[21]. Dördüncü soruda ise dini topluluğunun veri sorumlusu olarak kabul edilebilmesi için verilerin toplanmasına ilişkin dini topluluk tarafından hazırlanan yazılı talimat ve emirlerin, veriyi toplayan mensuplar üzerinde fiili kontrolü kurmasına yeterli olup olmadığı sorusunu iletmiştir[22].
B. Merci Görüşü ve Hukuki Değerlendirme
ABAD üçüncü ve dördüncü soruyu birlikte değerlendirmektedir. Divan, yerel mahkemelerdeki süreç önünde, Yehova’nın Şahitleri Topluluğu ile bu Topluluğun mensuplarının ortak veri sorumlusu olarak nitelendirildiklerini, yalnızca Topluluğun itirazda bulunduğunu ve mensupların veri sorumlusu olup olmadıklarının tekrardan inceleme konusu olmadığını hatırlatmaktadır[23].
Direktifin “tek başına veya müştereken başkalarıyla birlikte” ifadesine dikkat çekerek ortak veri sorumlusu kavramına yer verildiğini hatırlatmaktadır. Veri işleme sürecine katılan aktörler, veri koruma yükümlülüklerine tabi kılınmalıdır[24]. Bununla birlikte, müşterek sorumluluğun varlığı, kişisel verilerin işlenmesinde yer alan çeşitli veri sorumlularının eşit sorumlulukları anlamına gelmediğini tekrar etmektedir. Aksine, bu veri sorumlularının, kişisel verilerin işlenmesinin farklı aşamalarında ve farklı derecelerde yer alabileceğini böylece her birinin sorumluluk düzeyinin somut olay bazında değerlendirilmesi gerektiğini belirtmektedir[25].
Divan, veri sorumlusu ve ortak veri sorumlusu konusuna geniş bir bakış açısı ile yaklaşmayı sürdürmektedir. Kişisel verilerin işlenmesine kendi amaçları doğrultusunda etki yapan ve bu işleme faaliyetlerinin amaç ve araçlarının belirlenmesi sürecine katılan her gerçek veya tüzel kişi veri sorumlusu olarak nitelendirilebilir[26]. Müşterek veri sorumluluğunun belirlenmesinde esas alınacak tek ölçüt budur. Divan müşterek veri sorumluluğunun kabul edilebilmesi için veri sorumlularının muhakkak her türlü veriye erişimi bulunmasını aramamaktadır[27].
ABAD, somut olay bazında Yehova’nın Şahitleri Topluluğu mensuplarının; ziyaret ettikleri kişilerle ilgili hangi durumlarda kişisel veri toplayacaklarını, hangi verilerin toplanacağını ve daha sonra bu verileri nasıl işlendiklerini belirleyebildiklerini ifade etmektedir. Öte yandan, buna ilişkin organizasyon, teşvik Topluluğun kendisi tarafından gerçekleştirilmekte, inanışlarını yayma amacıyla kullanılmaktadır[28]. Bu sebeple, veri işleme amaç ve araçlarının belirlenmesi sürecinde ortak hareket eden bu kişiler, ortak veri sorumlusu olarak kabul edilmiştir[29].
Olaya bakıldığında, topluluk veri işlemenin amaç ve araçları konusunda, mensuplara gönderdiği yazılı talimatlarla genel bir çizgi çizmekte; mensuplar da bu kapsam içinde özgürce hareket ederek, kişilerin inanış ve yaşayış biçimleri ile ilgili bilgileri kendi belirlediği şekillerde toplayarak inanışı yayma amacına katılmakta, aktif bir katkıda bulunmaktadır. Bu şekilde bir terim bulunmasa da olayın anlaşılması açısından, mensuplar adeta bir “alt” veri sorumlusu şeklinde hareket etmektedir. Ancak bunun veri işleyen ve veri sorumlusu arasındaki sınırı belirsizleştireceği de ifade edilmelidir.
Yehova’nın Şahitleri kararının diğer bir boyutu da; kapı kapı dolaşarak dini ya da siyasi propaganda, kişilere çeşitli formların doldurulması ya da kişiler hakkında bu şekilde bilgi toplanması ülkemizde de kullanılan yaygın bir düşünce yayma yöntemidir. Bu veri işleme faaliyetlerini gerçekleştiren kişiler, bu verileri elle (otomatik olmayan yollarla) işlediklerinden bahisle veri işleme ilkelerine uymaları gerekmediğini düşünmemelidir. Bunların birer veri kayıt sisteminin parçası oluşturduğu durumlarda, hem “sahada” bu verileri toplayan hem de bu kuruluşların yönetimi ortak veri sorumlusu olarak veri koruma yükümlülüklerine tabi tutulmalıdır. Siyasi partiler, KVK Kurulu tarafından m. 16/2’ye dayanılarak verilen karar[30] ile VERBİS’e kayıt yükümlülüklerinden muaf tutulmuşlardır ancak KVKK’dan doğan veri sorumlusu yükümlülüklerinin bulunduğu unutulmamalıdır.
5. ABAD’ın 29 Temmuz 2019 Tarihli Fashion ID ve Facebook İrlanda Kararı
A. Olay
Fashion ID bir Alman çevrimiçi ticaret sitesidir. Fashion ID, Facebook’un “Beğen” butonunu kendi web sitesine, bir üçüncü kişi eklentisi olarak (third party plug-in) yerleştirmiştir. Böyle bir üçüncü kişi eklentisi yerleştirildiğinde, ziyaretçilerin verileri kullandıkları tarayıcı tarafından bu üçüncü kişilere de aktarılır. Üçüncü kişi eklentisini kendi web sitesine yerleştiren web site yöneticisi, verilerin aktarılıp aktarılmadığı ve hangi verilerin aktarılacağı konusunda kontrole sahip değildir ve bir seçim hakkı da bulunmaz.
Bunun sonucunda, herhangi bir kullanıcı Fashion ID’nin web sitesine girdiğinde, o kullanıcının IP adresi ve kullanıcı yazılım özellikleriyle ilgili bilgiler Facebook’a aktarılmaktadır. Fashion ID’nin web sitesi yüklendiğinde, kişisel verilerin aktarımı; kullanıcının Beğen düğmesine tıklayıp tıklamadığına veya bir Facebook hesabına sahip olup olmadığına bakılmaksızın, otomatik olarak gerçekleştirilmektedir[31].
Bir Alman tüketici derneği olan Verbraucherzentrale NRW, Fashion ID web sitesinde Facebook “Beğen” butonunun kullanılmasının ve verilerin Facebook İrlanda’ya aktarılmasının, 95/46/EC sayılı Direktif’i ihlal ettiği gerekçesiyle Fashion ID’e dava açmıştır. Fashion ID, bu durumdan haberdar olmadığını ileri sürmüştür. Facebook İrlanda ise ziyaretçilerin IP adreslerinin genel, jenerik (generic) hale getirildiğini ve bu formatta depolandığını belirtmiştir. Önüne gelen olayda Düsseldorf Bölge Yüksek Mahkemesi Direktif’in uygulanması ile ilgili görüşlerini almak üzere davayı Divan’a göndermiştir[32].
B. Merci Görüşü ve Hukuki Değerlendirme
ABAD Başsavcısı Michal Bobek, Facebook Beğen düğmesi gibi kullanıcıların kişisel verilerinin toplanmasına ve aktarılmasına neden olan, üçüncü kişi eklentisini yerleştiren bir web sitesinin içerik sağlayıcısının, yerleştirmeyle birlikte artık veri işlemenin bu aşamasında Facebook ile ortak veri sorumlusu olduğu yönünde görüş bildirmiştir. Bununla birlikte, veri sorumlusunun müşterek sorumluluğu, kişisel verilerin işlenmesinin araçlarına ve amaçlarına diğer veri sorumlusu ile birlikte etkili bir şekilde karar verdiği faaliyetlerle sınırlı olmalıdır. Öyleyse web sitesinin yöneticisi, kullanıcılara söz konusu veri işleme faaliyetler ile ilgili gerekli aydınlatmayı sağlamalı ve kişisel veriler kaydedilip aktarılmadan öncesinde rızalarını almalıdır[33].
ABAD kararında, Fashion ID’nin verilerin Facebook’a aktarımı konusunda herhangi bir etkiye sahip olmamasına karşın, veri sorumlusu olarak nitelendirilip nitelendirilemeyeceği sorunu üzerinde durmaktadır. ABAD öncelikle veri sorumlusuna ilişkin hükümlerin amacının geniş bir veri sorumlusu kapsamı ve tanımı getirmek olduğunu, böylece kişilerin verileri üzerindeki haklarının yüksek derecede korunabileceğini belirtir[34]. Dolayısıyla veri sorumlusu kavramı geniş bir şekilde ve kişilerin haklarının sağlanması yönünde yorumlanmalıdır.
ABAD devamında ortak veri sorumlusu kavramına ilişkin de açıklamalar getirir. Ortak veri sorumlusu, birden fazla aktörün veri işleme faaliyetinde rol oynadığı hallerde bu kişilerin tümünü veri sorumlusu yükümlülüğüne tabi kılmak üzere kurgulanmıştır. Ortak veri sorumlularını veri işleme amaç ve araçlarını birlikte belirlemesi yeterli olup bu verilere ayrıca erişimi bulunması gerekmez[35]. ABAD, ortak veri sorumlusu kavramını da geniş yorumlamakta ancak Wirtschaftsakademie ve Yehova Şahitleri kararlarına yollama yaparak, müşterek veri sorumluluğunun “eşit” veri sorumluluğu olmadığını hatırlatmaktadır[36].
ABAD, ortak veri sorumluluğu konusunu veri işleme faaliyetlerinin aşamalarını değerlendirerek yapmaktadır. Fashion ID, hangi verilerin Facebook İrlanda’ya aktarılacağı ve aktarılan verilerle ilgili sonraki işleme faaliyetleri konusunda herhangi bir rol oynamamaktadır. Ancak üçüncü kişi eklentisine sitesinde yer vererek, verilerin toplanması ve Facebook’a aktarımı konusunda etkin ve bilinçli bir rol oynamaktadır. Fashion ID ayrıca Facebook’un eklentisi sayesinde, ürünlerinin tanıtımını arttırmakta ve kendisine ekonomik menfaat sağlamaktadır. Tüm bu nedenlerle bu aşamada Facebook İrlanda ile Fashion ID ortak veri sorumlusudur[37]. Fashion ID, bu aşamalarla ilgili olarak veri ilgililerini aydınlatmalı ve rızalarını almalıdır[38]. Bundan sonraki aşamalarda ise sorumluluk, verileri kendi amaç ve araçlarıyla işleyen Facebook İrlanda’ya aittir[39].
Sonuç
ABAD’ın kararlarından çıkarılması gereken ilk sonuç, veri sorumlusu kavramına geniş bir yorum getirildiği ve bunun kişisel verilerin korunması hakkının sağlanması ile gerekçelendirilmesidir. Buna paralel olarak, ortak veri sorumlusu kavramına da geniş bir bakış açısı ile yaklaşılmaktadır. Veri işleme amaç ve vasıtalarının belirlenmesi sürecine katılan, bu sürece aktif bir katkıda bulunan gerçek veya tüzel kişiler ortak veri sorumlusu olarak nitelendirilebilecektir. ABAD, ortak veri sorumlusu kavramına aynı zamanda veri işleme faaliyetlerinin aşamaları ve dereceleri bazında ayrı bir değerlendirme getirmektedir. Müşterek veri sorumluluğunun veri işleme faaliyetinin bütününe yayılması gerekmez, faaliyetin yalnızca belli aşamasında da araç ve amaçlar müştereken belirlenmiş olabilir. Keza, veri sorumlularının sorumlulukları dereceleri aynı olmak zorunda değildir, müşterek veri sorumluluğu “eşit” veri sorumluluğu anlamına gelmeyecektir. Başka bir sonuç da veri sorumlularının ortak veri sorumlusu olarak nitelendirilmesi için tümünün veriye doğrudan erişimi bulunmasının veya bu faaliyetten menfaat sağlamalarının gerekmemesidir.
Ülkemizdeki düzenlemeler açısından ortak veri sorumlusu kavramını ele alıp değerlendirmelerimi sonlandıracağım. Ortak veri sorumlusu, KVKK’da düzenlenen bir kavram değildir. Ne müşterek veri sorumluluğunun kabul edildiğine ne de kabul edilmediğine ilişkin bir ibare bulunur. Ancak Direktifteki “tek başına veya müştereken başkalarıyla” ifadesinin Kanuna alınmadığı düşünüldüğünde, ortak veri sorumlusu KVKK kapsamında uygulanabilir demek de kanımca pek uygun değildir.
Bildiğiniz gibi, 2019-2023 dönemini kapsayan On Birinci Kalkınma Planı geçtiğimiz günlerde Resmî Gazete’de yayınlandı. Planının 479.1’inci satırında, “6698 sayılı Kişisel Verilerin Korunması Kanunu AB’nin Genel Veri Koruma Tüzüğü dikkate alınarak güncellenecektir.” ifadesine yer verildiği görülüyor. Uzun zamandır dillendirilen, GDPR esas alınarak KVKK’da yapılacak değişiklikler; ortak veri sorumlusu kavramını da kapsamalıdır. AB Kişisel Verilerin Korunması Hukuku’nda gelişmeler; her bir veri sorumlusunu ayrıca tespit etmek, sorumluklarını tanımak, veri işleme faaliyetlerinin büyük operasyonlar olduğu farkındalığı ile sorumluluğu paylaştırmak şeklindedir. KVKK’nın da ortak veri sorumlusuna ilişkin bu boşluğu, güncel gelişmeler ve yaklaşımlar ışığında doldurmasını beklemekteyim.
.
Doç. Dr. Murat Volkan Dülger*
.
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
---------------------------------
* Akademisyen / Avukat.
[1] Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanır (KVKK m. 3/1-ı). Veri sorumlusu, hem veri işleme organizasyonunun kurucusu ve yöneticisi hem çok ve çeşitli veri koruma yükümlülüklerinin sahibi hem de veri ilgililerinin taleplerinin muhatabı olan kişidir.
[2] ABAD, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH, Facebook Ireland Limited, C‑210/16, Başvuru T. 01/07/2016, Karar T. 5/6/2018, (Çevrimiçi), http://curia.europa.eu/juris/celex.jsf?celex=62016CJ0210&lang1=en&type=TXT&ancre= (Erişim Tarihi: 31 Temmuz 2019), para. 14-15.
[3] Wirtschaftsakademie, para. 16.
[4] Wirtschaftsakademie, para. 17.
[5] Wirtschaftsakademie, para. 18-24.
[6] Wirtschaftsakademie, para. 30-35, 55.
[7] Wirtschaftsakademie, para. 36-39.
[8] Wirtschaftsakademie, para. 40.
[9] Wirtschaftsakademie, para. 42.
[10] Wirtschaftsakademie, para. 43.
[11] Yehova’nın Şahitleri, üçlü birlik (Teslis, Baba, Oğul ve Kutsal Ruh) karşıtı inançları dolayısıyla ana akım Hristiyanlıktan ayrılan bir Hristiyan mezhebidir. İnanç olarak sigara içmezler, silah tutmaya ve öldürmeye karşıdırlar. Bu sebeple askerlik yapmazlar, savaşa katılmazlar, siyasete karışmazlar ve kan nakli yaptırmazlar. Dünyadaki sorunların ancak Tanrı’nın Gökteki Krallığı (Yönetimi) tarafından çözüleceğine inanırlar. İnanışlarının yayılması için genellikle kapı kapı dolaşarak kişilerle iletişime geçerler. Dünya çapında tahmini 8,3 milyona yakın inananı olan dinî bir topluluk olup dünyada 240 ülke ve bölgede faaliyetlerini sürdürmektedirler.
[12] ABAD, Tietosuojavaltuutettu v. Jehovan todistajat — uskonnollinen yhdyskunta, C‑25/17, Başvuru T. 01/02/2018, Karar T. 10/07/2018, (Çevrimiçi) http://curia.europa.eu/juris/document/document.jsf?text=&docid=198949&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=5051740 (Erişim Tarihi: 31 Temmuz 2019).
[13] Jehovan todistajat, para. 11.
[14] Jehovan todistajat, para. 15.
[15] Jehovan todistajat, para. 16.
[16] Jehovan todistajat, para. 11.
[17] Jehovan todistajat, para. 13.
[18] Jehovan todistajat, para. 14.
[19] Jehovan todistajat, para. 20.
[20] Jehovan todistajat, para. 22.
[21] Jehovan todistajat, para. 24.
[22] Jehovan todistajat, para. 24.
[23] Jehovan todistajat, para. 64.
[24] Jehovan todistajat, para. 65.
[25] Jehovan todistajat, para. 66.
[26] Jehovan todistajat, para. 68.
[27] Jehovan todistajat, para. 69.
[28] Jehovan todistajat, para. 70.
[29] Jehovan todistajat, para. 63.
[30] Kişisel Verileri Koruma Kurulu, Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili 02/04/2018 Tarihli ve 2018/32 Sayılı Karar, (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/4233/2018-32 (Erişim Tarihi: 31 Temmuz 2019)
[31] ABAD, Fashion ID GmbH & Co. KG, Facebook Ireland Limited v. Verbraucherzentrale NRW e.V., Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, C‑40/17, Başvuru T. 24/03/2017, Mütalaa T. 19/12/2018, Karar T. 29/07/2019 (Çevrimiçi), Mütalaa: http://curia.europa.eu/juris/celex.jsf?celex=62017CC0040&lang1=en&type=TXT&ancre=, Karar: http://curia.europa.eu/juris/document/document.jsf;jsessionid=8DBD69E7AE1F7E84F2821CD64A2189A0?text=&docid=216555&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=4907333 (Erişim Tarihi: 31 Temmuz 2019), Mütalaa, para. 16-17; Karar, para. 25-27.
[32] Fashion ID, Mütalaa, para. 18; Karar, para. 28.
[33] Fashion ID, Mütalaa, para. 139-141.
[34] Fashion ID, Karar, para. 65-66.
[35] Fashion ID, Karar, para. 67-69.
[36] Fashion ID, Karar, para. 70.
[37] Fashion ID, Karar, para. 75-81.
[38] Fashion ID, Karar, para. 106.
[39] Fashion ID, Karar, para. 101.