Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin Korunması Sözleşmesi Yenilendi! Sözleşme 108+, Carpenter kararı ve diğer bazı gelişmelere ilişkin bir değerlendirme
[Recent developments in personal data protection: Convention 108+, Carpenter v. U.S. and others… (in Turkish)]
2018 yazında kişisel verilerin korunması hukuku gündemi…
Kişisel verilerin korunması hukuku sıcak gündemini koruyor. Nitekim 22 Haziran’da ABD Supreme Court’un (Yüksek Mahkeme) Carpenter Birleşik Devletler’e karşı (Carpenter v. U.S.) kararını açıklaması son günlerin en önemli gelişmelerinden biriydi. Kimi yazarların Yüksek Mahkeme’nin bilişim hukuku ile ilgili şimdiye kadar verdiği en önemli karar olarak nitelediği Carpenter Birleşik Devletler’e karşı uyarınca cep telefonu baz istasyonu verileri aracılığıyla ilgilinin konum bilgisine erişebilmek için kural olarak kolluk güçlerinin arama emrine sahip olmaları gerekiyor. Hâkim Roberts’ın da kaleme aldığı üzere, kişilerin konum verilerine devletin sınırsız erişimi bu karar ile reddediliyor. Kararın ABD hukuku açısından önemini kavrayabilmek için, 229 yıl önce yürürlüğe giren Amerikan Anayasasında özel yaşamın gizliliğine-ve haliyle kişisel verilerin korunmasına ilişkin-bir hüküm bulunmadığını, bu alandaki korumanın Anayasanın 4. Ek’inde (Fourth Amendment) yer alan yurttaşları keyfi arama ve el koymalara karşı koruyan hüküm çerçevesinde yapıldığını ve bu kapsamda çok tartışmalı bir içtihadın (3. taraf doktrini/third-party doctirine) bulunduğunu dikkate almak gerekir. 3. taraf doktrinin özellikle de dijital çağda kişisel verilerin korunmasına önemli bir darbe vurduğu, bu açıdan doktrinin uygulanmasını sınırlandıran kararın önemli bir kazanım sağladığı söylenebilir.
Genel olarak saptanabilecek bir husus, kişisel verilerin korunması alanında ABD’de arka arkaya önemli gelişmelerin yaşandığıdır. Bunu destekleyen bir başka örnek Haziran ayının son haftasında Silikon vadisi dolayısıyla pek çok dev bilişim şirketinin de meskeni olan Kaliforniya eyaletinde kabul edilen Tüketici Özel Yaşamın Gizliliği Yasası’dır (California Consumer Privacy Act). Özel sektörün kişisel veri işlemelerine düzenleme getiren yasanın ABD’de bir ilk olduğu dile getirilmektedir. Ayrıca bu düzenlemenin sınır ötesi etkileri olacağı da tahmin edilmektedir.
Sözleşme 108+
Son aylarda Atlantik’in öte yakasında da kişisel verilerin korunması alanında önemli gelişmeler yaşandı. Küresel düzeyde kişisel verilerin korunması hukukuna etki edebilecek yeni düzenlemeler açısından özellikle Mayıs ayı dikkat çekiciydi. Nitekim AB Genel Veri Koruma Tüzüğü’nün (GVKT) yürürlüğe girmesinin etkileri hararetle tartışılmaya devam ederken, Avrupa’da yeni bir gelişme gündeme geldi: Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin İşlenmesine İlişkin Olarak Bireylerin Korunması Sözleşmesi’ni yenileyen Protokol (CETS №223) 18 Mayıs 2018’de Avrupa Konseyi Bakanlar Komitesi tarafından kabul edildi. (Bundan böyle Sözleşme 108+ olarak anılacaktır) GVKT gibi Sözleşme 108+ da Avrupa sınırlarını aşan bir etki yaratabilir.
Öncelikle şunu belirtmek gerekir: 108 sayılı Sözleşme, kişisel verilerin korunması alanında uluslararası alanda bağlayıcı ilk ve tek sözleşmedir. Türkiye’nin de 2016 yılında Sözleşme’ye taraf olması ile Avrupa Konseyi üyeleri arasında bu metnin tarafı olmayan hiçbir devlet kalmamıştır. Ayrıca Sözleşme AK üyesi olmayan devletlerin de imzasına açıktır. Bugüne kadar Konsey üyesi olmayıp Sözleşmeyi onaylayarak taraf olan devletler, sırasıyla Uruguay, Mauritius, Senegal ve Tunus’tur. Cabo Verde ve Meksika’da ise 1 Ekim 2018’de Sözleşme yürülüğe girecektir. Bu açıdan 108 sayılı Sözleşme’nin farklı bölgeler arasında veri korumaya yönelik bir köprü kurduğu söylenebilir. Metnin yenilenmiş şeklini incelediğimizde ise Sözleşme ile uluslararası bir standart kurma ideali hissedilebilir. Bu açıdan Sözleşme 108+ ile küresel düzeyde veri akışının kuralları belirleme potansiyeli taşımaktadır. Öte yandan şuna da işaret edilmelidir: GVKT sınır ötesi veri akışına ilişkin olarak 108 sayılı Sözleşme’ye atıf yapmaktadır. Buna göre AB üyesi olmayan devletlerin yeterli veri koruma seviyeleri değerlendirilirken 108 sayılı Sözleşme’ye katılımları dikkate alınacaktır.
Türkiye 108 sayılı Sözleşme’yi 2016 yılında usulüne göre yürürlüğe koymuş ve böylelikle Sözleşme’nin tarafı olmuştur. Dolayısıyla Anayasanın 90. maddesi 5. fıkrası uyarınca Sözleşme, kanun hükmündedir ve hatta bu sözleşme ile kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Sözleşme hükümleri esas alınacaktır. Elbette her devlet yalnızca onaylayıp taraf olduğu metinlerden sorumludur. Ancak Türkiye’nin 108 sayılı Sözleşmenin yenilenmiş ve günümüzün gerekliliklerine daha uyumlu şeklini, yani Sözleşme 108+’ı, onaylayacağını tahmin edebiliriz. Bu yönde bir karar, kişisel verilerin korunması alanında günümüzün gereklerine uyum sağlamak açısından da yararlı olacaktır.
Sözleşme 108+’ın getirdikleri
108 sayılı Avrupa Konseyi Sözleşmesi’nin yeni şeklinde daha güçlü bir veri koruma mekanizmasını öngördüğü ve bilişim teknolojilerindeki gelişmeleri dikkate alarak ilk metne kıyasla önemli farklılıklar taşıdığı söylenebilir. Bu kapsamda Sözleşmenin amacı belirlenirken insan onuruna ve bireysel özerkliğe vurgu yapılması önemlidir. Ayrıca 108+ ile ilk metinde olmayan yeni tanımlar yapılmış, uluslararası kuruluşların da Sözleşme’ye taraf olma olanağı sağlanmış, veri işleme süreçlerinde şeffaflığı arttırmaya yönelik yeni kurallar getirilmiştir. Hassas kişisel verilerin korunmasına ilişkin yeni düzenleme de dikkat çekicidir. Genetik ve biyometrik veriler de dahil olmak üzere özel nitelikli kişisel veri kategorisi genişletilmiş, bu kapsamda ayrımcılık riskine karşı güvence sağlanması gerekliliği vurgulanmıştır. 108+ ile ayrıca tasarımda ve varsayılanlarda veri koruması, gizlilik etki değerlendirmesi gibi GVKT’de yer alan bazı yeni uygulamalara kapı açılmıştır. Veri öznesinin temel haklarına ciddi müdahale oluşturabilecek veri sızıntılarının gecikmeksizin bildirim yükümlülüğü dikkat çeken bir diğer yeniliktir.
Sözleşme’nin uygulama alanı açısından da dikkat çeken bir değişiklik bulunur: 108+ ile Sözleşme tarafı devletlerin bazı alanları istisna tutmaya yönelik bildirimde bulunma olanağı kaldırılmaktadır. Sınır ötesi veri akışı açısından ise kural olarak Sözleşme tarafı devletler arasında veri aktarımının serbest olacağı kabul edilmiştir. Ancak Sözleşme hükümlerinin ihlaline ilişkin gerçek ve ciddi bir tehlikenin varlığı halinde bu ilke uygulanmayacaktır. Son olarak Sözleşme’nin yeni metni ile veri koruma otoritelerinin görev ve yetkilerinin genişletildiği söylenebilir. Ayrıca farklı veri koruma otoriteleri arasında iş birliğine yönelik hükümlere ve Sözleşme Komitesi’ne yer verilmiştir.
Geleceğe bakarken…
GVKT ile 1995 yılında kabul edilmiş bir metnin (95/46/AT sayılı Yönerge) 2016 yılında kabul edilen bir metin ile yenilendiği görülmektedir. 108 sayılı Sözleşme ise imzaya açıldığı 28 Ocak 1981 tarihinden 37 yıl sonra 2018 yılında açıklanan bir metin ile yenilenmek istemektedir. Her iki düzenleme açısından da yapılan açıklamalar ve hükümlerinin içeriği incelendiğinde, kişisel verilerin işlenmesi açısından 80’li ve 90’lı yıllarla 2010’lu yıllar arasında görülen muazzam değişim kolaylıkla fark edilebilir. Bu iki düzenlemenin yürürlüğe giren ilk metinleri belki geleceğe yönelik doğru bir bakış açısını yansıtıyorlardı, ancak bilişim teknolojilerinin sıradan bir insanın günlük yaşamının ayrılmaz bir parçası durumuna geldiği ve teknolojik araçların çeşitlendiği günümüz koşulları tam olarak öngörülememişti. Bu durum, GVKT’nin ve Sözleşme 108+’ın hazırlanmasının nedenleri arasındadır. Bu yeni düzenlemeleri incelediğimizde ilk metinlerdeki ruhu yansıttıkları, ancak bunun yanında yeni konuların eklendiği ve bazı mevcut düzenlemelerin güçlendirildiği görülebilir. Bu bağlamda bu yeni düzenlemeler, yalnızca bugünün gereksinimlerine yönelik değil, teknolojideki hızlanan değişimi ve gelişimi dikkate alarak geleceğe yönelik hükümler getirebilme gayretinin de ürünüdür.
Bu açıdan her iki metinde de ortak olarak saptanabilecek bazı konulara ya da hassasiyetlere işaret edilebilir. Bunların bir kısmı şöyle sıralanabilir:
- Veri öznesinin haklarını güçlendiren yaklaşım
- Kapsayıcı temel ilkeler
- Genişleyen hassas veri kategorileri
- Şeffaflığın vurgulanması
- Teknoloji ile hukuku kaynaştıran kurallar
- İstisna ve sınırlama alanlarının daraltılması
- Kişisel veri koruma otoritelerinin güçlendirilmesi
Bu yenilikler hızla gelişen kişisel verilerin korunması alanında önümüzdeki dönemde karşılaşacağımız temel konuları öngörmeye çalışırken de bize yardımcı olacaktır. Sanırım şurası açık: geçtiğimiz yirmi yılda önemi her geçen gün artan kişisel verilerin korunması hukuku, önümüzdeki yıllarda da benzer bir seyir izleyecek. Kişisel verileri işleme potansiyeli geliştikçe, yeni teknolojiler yaşamlarımıza girdikçe yanıtlanması gereken pek çok yeni soruyla karşılaşacağız. GVKT ve 108+ gibi yeni metinlerin yorumu ve daha yeni düzenlemelerin tasarlanması ile dijital çağda yeterli ve oranlı hukuksal güvencelere kavuşmaya çalışacağız.
