Kişisel Veri (Personal Data), ilk defa İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından ele alınmıştır. OECD tarafından gündeme gelen konular arasında kişisel verilerin korunması ile ilgili çerçeve kurallar da belirlenmiştir.[1] 28 Ocak 1981 tarihinde Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme imzaya açılmış, Türkiye sözleşmeyi yakın tarihte onaylamıştır.
1960’lı yılların sonuna gelindiğinde Kişisel Verilerin korunmasına ilişkin ilk temellerin dünyanın bir bilgi toplumuna dönüşümü ile başladığını görmekteyiz. Klasik olarak ilkel toplumdan tarım toplumuna, tarım toplumundan sanayi toplumuna geçiş döneminde yaşanan makineleşme süreci bilgi toplumuna geçişi oldukça hızlandırmıştır. Bu anlamda bilginin hızlı dolaşımı ve kişisel verilerin elde edilmesi ve yayılmasının kolaylaşması, kişisel verilerin korunması alanında hukuksal düzenlemelerin yapılması gerekliliğini ortaya koymuştur. 1970’li yıllarda yasal düzenlemesine kavuşan Kişisel Veriler, bilgisayarlara veri işleme konusunda da hassas bir şekilde ele alınmıştır. Bilgisayarların ortaya çıkması ve kullanımının yaygınlaşmasıyla, devletin bilgisayarlar sayesinde gözetleme görevini daha sıkı bir şekilde yerine getirecek oluşu, 1970’li yıllarda yasal düzenlemelerin, bilgisayarlara veri işlenmesi hususu eksen alınarak yapıldığını göstermektedir. Aynı zamanda bu dönemde devlet, tüm verileri bilgisayarlara aktarma, veri tabanlarını uyumlu hale getirmek yolunda adımlar atmaktadır. Bu durum devletin bireyi kontrol etme gücünü arttırmakta ve birey ile devlet arasındaki dengenin birey aleyhine bozulmasını beraberinde getirmektedir.[2]
Amerika’da bir ulusal veri bankasının kurulması tartışılmış, oldukça tepki doğurmuştur. Tüm tartışmalara rağmen tüm verilerin tek merkezde toplandığı bir ulusal veri merkezi kurulamamıştır. Özel yaşam alanını daraltan birtakım düzenlemeler getirilmek istenmesi Amerika’da başka bir düzenleme yapılmasını zorunlu kılmıştır: “Özel Yaşamı Koruma Kanunu”
GDPR / REGÜLASYON: UNUTULMA HAKKI
Unutulma hakkı, verilerin bilgisayara aktarılması ve internet yöntemi ile yayılması ve depolanması ile ortaya çıkan 20. yüzyılda adından söz ettirmiş en marjinal hak türlerindendir ve sui generis özellikler barındırmaktadır. Bu nedenle sanal olarak tüm sabıkanızın internet ortamından silinmesini talep hakkınızın unutulma hakkı ile işlerlik kazandığını ifade edebiliriz.[3]
2010 yılında Fransa’da kanun çalışmaları esnasında gündeme gelen Unutulma hakkı, 95/46/EC direktifinde gündeme gelmiş ancak Google Gonzelaz davasına kadar kendine yer bulamamıştır.
Gonzelas davasında, davacının geçmişini yeniden yazmak hakkı olarak özetlenen unutulma hakkı, temel hak olma niteliğini kazanmıştır. Mayıs 2014 tarihinde Avrupa Parlamentosu tarafından verilen kararda, 95/46/EC Veri Koruma Direktifinin yeniden yorumlandığına şahit olmaktayız. Veri Koruma Direktifi, kişisel verilerin işlenmesi için Avrupa Birliği (AB) genelinde “toplanması, kaydedilmesi, organizasyonu, saklanması, uyarlanması veya değiştirilmesi, geri alınması, istişare edilmesi, kullanılması, iletimle açıklanması” dahil olmak üzere geniş ve tek tip parametreler oluşturmaya çalışmıştır. Tanımlanabilir kişilerle ilgili bilgilerin yayılması veya başka şekilde erişilebilir hale getirilmesi, uyumlaştırılması veya birleştirilmesi, silinmenin engellenmesi veya imha edilmesi ”(Avrupa Komisyonu, 1995). Yönerge, veri denetleyicilerinin kişisel bilgilerinin kullanımlarının “yeterli, amaçla doğru orantılı, tolandıkları amaçlarla ilgili olarak aşırı olmayan seviyede olmasını ve bireylerin ilgili verileri düzeltme, silme veya engelleme haklarını kullanmasına izin vermelerini gerektirir.
Veri Koruma Direktifi'nin unutulmaya yönelik genel bir hak yaratmadığı, ancak yanlış veya eksik olan verileri düzeltme, silme veya engelleme hakkını dar bir şekilde kabul ettiği sonucuna varmıştır.
Burada iki hak birbiri ile çatışmakta ve yarışmaktadır. Kişinin unutulma hakkı ve bireylerin haber alma hakkı. Burada ayrıca bireylerin kendileri hakkında depolanan verilerin aşırı olmadığını ve ne kadar süre ile saklanacağını bilme ve denetleme hakları da vardır.
Google kararında buna rağmen (Barbara Streisand olarak da bilinmektedir.) çok tanınmışlık ironisine vurgu yapılarak, davanın devamında oldukça çok tıklandığını ve haberin dava ile daha da ilgi çekici hale geldiği ve yaygınlaştığı ifade edilmiştir. Adalet Divanı unutulma hakkının varlığını reddetmemiş ancak dava karara çıkıncaya kadar daha geniş kitlelere yayılan haberin kaldırılmasının burada geçerli olmadığının altını çizmiştir.
Google Avrupa’da unutulma hakkı çerçevesinde 2.4 milyon talebin %43’ünü kaldırmıştır ve bu talep çoğunlukla gerçek kişilerden gelmiştir. Bireyler bu sayede çevrimiçi kimliklerini kontrol edebilirler ve bu sayede itibarlarını yeniden kazanabilirler. Kamunun bilgilenme hakkının internet sayesinde oldukça geniş kitlelere yayıldığı ve hiç ulaşamayacağınız bir insana dahi ulaştığı hatta toplantı odasında, evinin kahvaltı masasında konuşulduğunuz bir ortamda unutulma hakkı en değerli hak kategorilerinden birini oluşturmaktadır.
En büyük eleştiri, unutulma hakkının tarihi yok edeceği noktasında gelse de , bireysel taleplerin ve güncelliğini kaybetmiş haberlerin silinmesi ya da ortadan kaldırılması revizyonist bir tarihin oluşmasına sebebiyet vermeyecektir kanaatindeyim.
Unutulma hakkı 95/46/EC Veri Koruma Direktifi ile yorumlanmaya çalışsa da en kapsamlı şekilde 25.05.2018 tarihinde yürürlüğe girecek olan Genel Data Koruma Tüzüğü’nde /Regülasyonu ile tarihe damgasını vuracak. Geleceğin en çok açılacak davalarından biri Kişisel Verilerin Hukuka Aykırı Yollardan Elde Edilmesi davası ise bu noktada Unutulma Hakkının kullanılması ve verilerin silinmesini talep etme davaları da birbiri ile yarışacak.
Genel Data Koruma Tüzüğü’nde (General Data Protection Regulation)’da “unutulma hakkı” 17. bölümde düzenlenmiştir. [4]
1. Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:
a. kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;
b. veri sahibinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendine göre işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;
c. veri sahibinin 21(1) maddesi uyarınca işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin 21(2) maddesi uyarınca işleme faaliyetine itirazda bulunması;
d. kişisel verilerin yasa dışı biçimde işlenmiş olması;
e. kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması;
f. kişisel verilerin 8(1) maddesinde atıfta bulunulan bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.
2. Kontrolörün kişisel verileri kamuya açıklamış olduğu ve 1. paragraf uyarınca kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atar.
3. 1. ve 2. paragraflar işleme faaliyeti aşağıdaki amaçlar doğrultusunda gerekli olduğu ölçüde uygulanmaz:
a. ifade ve bilgi edinme hakkının kullanılması;
b. kontrolörün tabi olduğu Birlik veya üye devlet hukuku çerçevesinde işleme faaliyeti gerektiren bir yasal yükümlülüğe uygunluk açısından veya kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması açısından;
c. 9(2) maddesinin (h) ve (i) bentlerinin yanı sıra 9(3) maddesi uyarınca halk sağlığı alanındaki kamu yararı sebeplerinden dolayı;
d. 1. paragrafta atıfta bulunulan hakkın ilgili işleme hedeflerinin yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde, 89(1) maddesi uyarınca kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda veya
e. yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından.
Regülasyonda dikkatimizi çeken en önemli husus, unutulma hakkının kullanılabileceği en makul alanın “verinin toplanma ve kullanma amaçları ile ilgili” artık gerekli olmaması halidir. Tarafımca bu “verinin güncelliğini yitirmesi” olarak da yorumlanmaktadır. Güncelliğini yitiren bir verinin datada tutulması ve arama motorlarında çıkması bireyin gelecek yaşamını yönetmesini, özel hayatına saygıyı ihlal etmekte ve ekonomik geleceğinin ilerlemesinin önünde engel teşkil etmektedir.
Regülasyonda ifade ve bilgi edinme hakkının geçerli olduğu alanlarda unutulma hakkının kullanılamayacağı da düzenlenmiştir. Bu iki hak yanı “unutulma hakkı” ve “ifade /bilgi edinme” hakkı yarışan iki hak kategorisinde yer aldığından bir hakkın kullanımına geniş yetkiler verdiğiniz anda diğer hakkın tamamen ortadan kalkması söz konusu olabilmektedir. Bu nedenle hakkın kullanılması noktasında makul sürelerin geçmesinden sonra unutulma hakkının kullanılmasının sağlanması gibi kriterler ile ifade ve bilgi edinme hakkının ortadan kaldırılmasının da önüne geçilmiş olmaktadır. [5]
Türk Hukukunda Yargıtay Hukuk Genel Kurulunun 2014/4-56 E. 2015/1679K. Sayılı kararında Unutulma Hakkına vurgu yaparak, Türk Hukukunda hakkın varlığına yer açmıştır. Kararda; “Davacının isminin rumuzlanmadan kitapta yer almasının unutulma hakkını ve bunun neticesinde özel hayatın gizliliğini ihlal ettiği dikkate alındığında davacı lehine manevi tazminat koşullarının gerçekleştiğinin kabulü zorunludur. Mahkemece adı geçen eserde davacı ve diğer kişilerin isimlerinin kodlanmadan açıkça yazıldığı, sözkonusu olayların anlatımında açıkça isim belirtmenin kitap içeriğine bir fayda sağlamadığı gibi, davacının isminin geçtiği olayın hassasiyeti ve Türk toplum yapısı da göz önünde tutulduğunda, yurtçapında dağıtımı ve satışı yapılan bir kitapta, bu tür bir olayla davacının adının açıkça belirtilmesinin davacının kişilik haklarını zedelediği, çevresine karşı davacıyı zor duruma düşürdüğü gerekçesi ile davada manevi tazminat kararının verilmesini hukuka uygun kabul etmiştir.
Anayasa Mahkemesi’nin 2013/5653 E. Sayılı kararında da başvurucu hakkında uyuşturucu kullandığı iddiası ile yürütülen bir ceza kovuşturması nedeniyle adli para cezasına hükmedilen olaya ilişkin 1998 yılında iki, 1999 yılında bir olmak üzere toplam üç haber başlığı olan olayda, Yargıtay Hukuk Genel Kurulu’nun yukarıda değindiğimiz kararına atıfla unutulma hakkı çerçevesinde Anayasa’nın 17. maddesinin birinci fıkrasında ele alınan şeref ve itibarın zedelendiği ve başvurunun kabul edilebilir olduğu çerçeve altına alınmıştır.
Anayasa Mahkemesi’nin değerlendirmesinde göze çarpan en önemli husus şudur: “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. Haberin içeriği açısından uyuşturucu kullanımı ile ilgili bir haberin tarihi, istatistiksel veya bilimsel amaçlarla İnternet ortamında kolaylıkla ulaşılabilirliğinin sağlanmasının zorunlu olduğu da söylenemez. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında İnternet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.”
Daha önce de değindiğimiz gibi haberin üzerinden geçen süre, haberi yapılan kişinin siyasi, medyatik bir kişi olmaması, istatistik ya da bilimsel amaç güdülmemesi gibi kriterler ihlal olup olmadığını ya da hakkın kullanılıp kullanılamayacağına ışık tutmaktadır.
İngiltere’de Google arama motorunu dava eden işadamı da davasını kazanmış ve Google arama motorlarının diğer arama motorlarına bağlantısı ile ilgili kontrollerini daha sıklaştırdığını ve ilerleme kaydettiğini açıklamıştır. [6] Haber Google unutulma hakkına yenildi başlığı ile gündeme oturmuştur. Burada unutulma hakkı çerçevesinde her başvurunun kabul edileceği düşünülmemelidir. Mahkeme her defasında haberin üzerinden çok süre geçmiş olması kriterini göz önünde bulundurmaktadır. Güncelliğini koruyan bir haberde unutulma hakkını kullanmak koşulları haberin yasal izinler olmadan yapılması, yalan haber olması, bilgilendirme amacı taşımaması gibi kriterlere bağlıdır.
Unutulma hakkı ile birlikte internet güvenliği ya da kişi özgürlüğü yeterince artacak mıdır bunu zaman gösterecektir. İnsanların bir belediye binasına ya da kütüphaneye araştırmak için gittiği dönemden, en ücra köşeden bile herkesin verisine her an ulaşabildiği bir dönem ve daha büyük facia ile bu verilerin birgün dokunulabilir olacağı da an be an kapımızda durmaktadır. Bir yandan da milyarlarca verinin dolaşım halinde olduğu ve ticarileştiği bugün büyük şirketlerin veri güvenliği politikalarını oluşturmaları ve verilerin sızma ihtimaline karşı yüksek düzeyde koruma geliştirmeleri elzemdir. [7]
Veri güvenliği politikasının ve veri gizliliğinin globelleştiği bugün Google gibi büyük arama motorları ile işbirliği kaçınılmaz olacaktır ve sürdürülebilir bir şekilde devam edecektir.
Google İspanya kararına daha önce değindiğimiz gibi, Google gibi büyük arama motorlarının küresel veri denetleyicisi olduğu unutulmamalı ve verinin güncelliğini kaybettiği anda ana haber kaynağına veriyi kaldırması adına uyarı sistemini kurması gerekmektedir. Ana haber kaynaklarından da her verinin kendi arama motorunda görünmesinin önüne geçmeyi sağlamalıdır. Verinin anonimleştirilmesinin de sağlanması kişilerin her veriye ulaşmasını ortadan kaldırması açısından önemlidir. Her ne kadar Google bu anlamda kendini tarafsız olarak isimlendirse de filtreme sistemini daha da güçlendirmesi gerekmektedir. Unutulma hakkı toplum sağlığının, karteller karşısında korunması açısından çok önemsenmesi gereken bir konudur.
----------------------------------------
[1] Yokuş Sevük, H., V. Türk-Alman Tıp Hukuku Sempozyumu, Tıp Ceza Hukukunda Kişisel Verilerin Açıklanması konulu Tebliği, “Bu ilkeler 1-Kişisel veri toplanması ve işlenmesinin sınırlı olması ve ilkelere bağlılığı, 2-) Kişisel veride kalite ilkesi, 3-)Kişisel veri toplanmasında ve işlenmesinde amacın belirginliği ilkesi, 4-) Amaca uygun kullanım ilkesi, 5-) Kişisel verilerin korunması için gereken tedbirlerin alınması ilkesi, 6-) Açıklık ilkesi, 7-) Kişisel veri konusu kişinin bireysel katılımı ilkesi, 8-) Sorumlu tutulabilirlilik ilkesi
[2] Küzeci, E. 2010, Kişisel Verilerin Korunması, Ankara, Turhan yayınevi, s.107
[3] http://www.mihcihukuk.com/unutulma-hakki.html/
[4] Aynen tüzükten alıntılanmıştır.
[5] Avrupa Birliği Resmi Gazetesi
[6] https://www.theguardian.com/technology/2018/apr/13/google-loses-right-to-be-forgotten-case
[7] http://science.sciencemag.org/content/347/6221/507.full