Anasayfa Makale AB Sınır Sistemlerinde GDPR ve Veri Yönetimi

Makale

Avrupa Birliği sınır yönetiminde dijitalleşme ile birlikte kişisel verilerin işlenmesi artmıştır. GDPR ve Birlikte Çalışabilirlik Çerçevesi, sınır sistemlerindeki veri yönetimi süreçlerini hukuki bir zemine oturtmayı amaçlarken, güvenlik gerekçeleriyle temel haklar arasında hassas bir denge kurulmasını zorunlu kılmaktadır.

AB Sınır Sistemlerinde GDPR ve Veri Yönetimi

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Avrupa Birliği (AB), artan güvenlik endişeleri ve göç hareketlilikleri karşısında sınır yönetimini dijitalleştirerek sınır kontrol süreçlerini büyük ölçekli bilgi sistemleri üzerine inşa etmiştir. Bu sistemlerin temelinde yer alan kişisel verilerin işlenmesi faaliyeti, AB mevzuatında öncelikle Genel Veri Koruma Tüzüğü (GDPR) ve ilgili kolluk direktifleri çerçevesinde değerlendirilmektedir. Kişisel verilerin korunması, AB Temel Haklar Şartı uyarınca korunan temel bir insan hakkı olarak kabul edilse de, sınır sistemlerindeki veri yönetimi pratikleri, güvenlik politikaları ile temel haklar arasında karmaşık bir hukuki alan yaratmaktadır. Sınır aşan suçların önlenmesi ve hareketlerin izlenmesi amacıyla veri tabanlarının entegre edilmesi, hukuki açıdan veri öznelerinin haklarının korunması bağlamında çeşitli tartışmaları beraberinde getirmektedir. Bu makale, Schengen Bilgi Sistemi, Eurodac ve diğer AB sınır sistemlerindeki veri işleme süreçlerini GDPR merceğinden inceleyerek, söz konusu veri yönetimi mimarisinin hukuki yansımalarını değerlendirmektedir.

AB Sınır Sistemleri ve Birlikte Çalışabilirlik Çerçevesi

AB sınır yönetiminin dijital dönüşümü, bilgi sistemlerinin birbirleriyle iletişim kurmasını sağlayan Birlikte Çalışabilirlik Çerçevesi ile yasal bir boyuta taşınmıştır. Schengen Bilgi Sistemi (SIS), Vize Bilgi Sistemi (VIS), Eurodac, Giriş/Çıkış Sistemi (EES) ve Avrupa Seyahat Bilgi ve Yetkilendirme Sistemi (ETIAS) gibi büyük ölçekli veri tabanları, bu çerçeve altında entegre edilmiştir. Bu entegrasyon, sınır geçişlerinin izlenmesinden vize değerlendirmelerine kadar geniş bir yelpazede veri eşleştirmesi yapılmasına olanak tanır. Hukuki açıdan bakıldığında, bu kadar geniş çaplı bir veri ağının oluşturulması, kişisel verilerin işlenmesi ilkeleri olan amaçla sınırlılık, gereklilik ve orantılılık ilkelerinin titizlikle uygulanmasını zorunlu kılar. Zira farklı amaçlarla toplanan biyometrik ve biyografik verilerin tek bir ortak sistem üzerinden çapraz sorgulamalara tabi tutulması, veri yönetimi süreçlerinde yetki aşımlarına zemin hazırlayabilecek potansiyel riskler barındırmaktadır.

Schengen Bilgi Sistemi ve Eurodac'ta Veri İşleme Faaliyetleri

Sınır denetimlerinde en kritik rolü oynayan Schengen Bilgi Sistemi, belirli bir kişi hakkında uyarı oluşturulmasını ve sınır geçişlerinde bu uyarıların değerlendirilmesini sağlayan bir altyapıya sahiptir. SIS içerisinde biyometrik verilerin işlenmesi, özellikle yüz tanıma teknolojileri ve parmak izi eşleştirmeleriyle otomatik bir kimlik tespit süreci yaratmaktadır. Öte yandan, sığınmacıların ve düzensiz göçmenlerin parmak izlerinin kaydedildiği Eurodac sistemi, aslen Dublin Tüzüğü uyarınca başvuruyu incelemekle sorumlu üye devleti belirleme idari amacını taşımaktadır. Ancak güncel hukuki düzenlemeler, Eurodac verilerinin terör ve ağır suçların önlenmesi amacıyla kolluk kuvvetlerinin ve Europol'ün erişimine açılmasına izin vermiştir. Bu durum, idari amaçlarla toplanan verilerin kolluk faaliyetleri kapsamında kullanılması anlamına gelmekte olup, GDPR ve kolluk direktifleri arasındaki gri alanları belirginleştirmektedir.

GDPR Kapsamında Veri Güvenliği ve İlgili Kişi Hakları

GDPR'ın katı düzenlemeleri, kural olarak AB sınırları içinde işlenen her türlü kişisel veriye uygulanmaktadır. Ancak sınır kontrolleri, terörle mücadele ve kamu düzeni gibi ulusal güvenlik mülahazaları devreye girdiğinde, GDPR hükümlerinin uygulanabilirliğine çeşitli istisnalar getirilmektedir. AB Hukuku uyarınca, sınır ve göç sistemlerinde kişisel verileri işlenen üçüncü ülke vatandaşlarının kullanabileceği temel hukuki haklar şunlardır:

  • Sistemde kendisi hakkında veri bulunup bulunmadığına erişme hakkı,
  • Hatalı, eksik veya hukuka aykırı işlenen verilerin düzeltilmesini talep etme hakkı,
  • Hukuka aykırı kaydedilen verilerin silinmesini isteme hakkı,
  • Bağımsız veri koruma otoritelerine şikayette bulunma hakkı.

Buna karşın, uygulamada güvenlik eksenli sınır politikaları, söz konusu kişilerin aydınlatılma yükümlülüğü çerçevesinde yeterli bilgiye ulaşmasını veya hak arama yollarını etkin bir biçimde kullanmasını ciddi şekilde zorlaştırmaktadır.

Sınır güvenlik ajanslarının ve üye devletlerin ulusal makamlarının ortak veri sorumlusu olarak hareket ettiği entegre sistemlerde, veri ihlallerinin tespiti ve sorumlulukların paylaşımı karmaşık bir hukuki uyuşmazlık alanına dönüşmektedir. Avrupa Veri Koruma Denetçisi (EDPS) gibi bağımsız denetim kurumlarının yayınladığı denetim raporları, özellikle risk analizi ve profilleme amacıyla gerçekleştirilen veri işleme faaliyetlerinde GDPR ihlalleri doğabileceği konusunda uyarılar içermektedir. Sonuç itibarıyla, AB sınır yönetiminde dijital egemenliğin sağlanması hedeflenirken, şeffaflık, hesap verebilirlik ve temel hakların korunması prensiplerinden taviz verilmemesi gerekmektedir. Hukuki başvuru mekanizmalarına ve adalete erişimin güçlendirilmesi, sınır sistemlerindeki veri işleme meşruiyetinin yegane teminatı olacaktır.

4 dk okuma Yayınlanma: Güncelleme: