Makale
Avrupa İnsan Hakları Sözleşmesi'nde açıkça yer almamasına rağmen kişisel verilerin korunması, mahkeme içtihatları aracılığıyla özel hayatın gizliliği hakkı kapsamında çok sıkı bir koruma altındadır. Bu makale, mahkeme kararları ışığında kişisel verilerin toplanması ve işlenmesine yönelik temel hukuki yaklaşımları incelemektedir.
AİHS Bağlamında Kişisel Verilerin Korunması
Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesi temel olarak özel ve aile hayatına saygı hakkını düzenlemektedir. Bu maddede kişisel verilerin korunması hususunda açık ve doğrudan bir ifade yer almamasına rağmen, Avrupa İnsan Hakları Mahkemesi gelişen ihtiyaçlar doğrultusunda bu alanı özel hayatın gizliliği kapsamında değerlendirerek çok önemli içtihatlar geliştirmiştir. Mahkemenin yaklaşımına göre, bireylerin kişisel verilerinin korunması, 8. madde ile güvence altına alınan haklardan etkin bir biçimde yararlanabilmenin en temel şartlarından biridir. Kişilerin bilgisi dâhilinde olsun veya olmasın, haklarında kişisel verilerin toplanması ve depolanması, her koşulda özel hayatın gizliliği hakkıyla doğrudan bağlantılıdır. Dolayısıyla, modern toplumda devletlerin, bireylerin temel haklarını ihlal etmeden veri işleme faaliyetlerini yürütmesi büyük bir hassasiyet gerektirmektedir. Bilişim hukuku uygulamaları açısından, taraf devletlerin mevzuatlarını mahkemenin ortaya koyduğu bu genişletici ve korumacı yoruma uygun şekilde düzenlemeleri, hukuka aykırı veri kullanımını engellemek adına yasal güvenceler sağlamaları zorunludur.
AİHM İçtihatlarında Kişisel Veri ve Kapsamı
Avrupa Konseyi bünyesinde hazırlanan ve mahkemenin de kararlarında sıklıkla atıf yaptığı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, kişisel veriyi kimliği belirli veya belirlenebilir bir gerçek kişi hakkındaki tüm bilgiler olarak tanımlamıştır. Bu doğrultuda Avrupa İnsan Hakları Mahkemesi; kişilerin parmak izleri, hücre örnekleri ve DNA profilleri, fotoğrafları, posta adresleri, banka verileri ve hatta konum takibini sağlayan GPS verilerini kişisel veri niteliğinde kabul ederek 8. madde koruması altına almıştır. Mahkemenin istikrar kazanmış kararlarına göre, resmî makamlar tarafından bir kişinin verilerinin toplanması, depolanması ve kullanılması fiillerinin tamamının bir arada gerçekleşmesi şart değildir. Bu fiillerden yalnızca birinin dahi yapılması, devletin yükümlülüklerinin ihlali sonucunu doğurabilecek niteliktedir. Örneğin, güvenlik güçleri tarafından belirli kişiler üzerinde sistematik olarak veri toplanması ve saklanması, fiili olarak gizli gözetim yöntemleri kullanılmasa bile özel hayata müdahale teşkil etmektedir.
Hassas Nitelikli Veriler ve Tıbbi Kayıtlar
Mahkeme içtihatları ve ilgili sözleşmeler gereğince, hassas nitelikteki kişisel veriler çok daha katı bir hukuki koruma rejimine tabidir. Kişilerin ırksal kökenleri, siyasi düşünceleri, dini inançları, sağlık bilgileri, cinsel hayatları ve ceza mahkûmiyetlerine ilişkin veriler, ancak ulusal hukukta yeterli güvenceler sağlandığı takdirde otomatik işleme tabi tutulabilmektedir. Bilişim hukuku açısından bilhassa tıbbi verilerin mahremiyeti, hastanın tedavi olabilmesi ve tıp mesleğine duyulan güvenin sarsılmaması için hayati öneme sahiptir. Y. Y. / Rusya davasında mahkeme, bir hastaya ait muayene sonuçlarının rıza olmaksızın resmi kurumlara iletilmesini özel hayatın gizliliğinin ihlali olarak değerlendirmiştir. Aksi yöndeki bir uygulamanın, tıbbi yardıma ihtiyacı olan bireyleri gerekli tedaviyi almaktan alıkoyabileceği ve bu durumun kamu sağlığını tehlikeye atacağı kararda açıkça ifade edilmiştir.
Veri İşleme Faaliyetlerinde Devletin Yükümlülükleri
AİHM önüne gelen uyuşmazlıklarda, resmi makamlar tarafından toplanan verileri incelerken mahkeme; verilerin toplanma bağlamını, niteliğini, işlenme şeklini ve ortaya çıkan sonuçları bir bütün olarak ele almaktadır. Bu noktada devletlerin, kişisel verilerin yasa dışı ve amaca aykırı biçimde kullanılmasını önlemek için uygun yasal tedbirleri alma pozitif yükümlülüğü bulunmaktadır. Otomatik veri işleme süreçlerinin hukuka uygun kabul edilebilmesi için şu temel şartların sağlanması zorunludur:
- Verilerin adil, hukuka uygun olarak elde edilmesi ve yalnızca bu doğrultuda işlenmesi.
- Toplama işlemlerinin belirli ve meşru amaçlar için gerçekleştirilmesi.
- Verilerin kaydedilme amacına uygun, ölçülü olması ve gereksiz derecede aşırı olmaması.
- Doğru bilgileri yansıtması ve amaca ulaşmak için gereken süreden daha uzun süre saklanmaması.
Avrupa İnsan Hakları Mahkemesi, S. Ve Marper / Birleşik Krallık davasında beraat eden kişilere ait DNA ve parmak izi kayıtlarının makul olmayan sürelerle saklanmasını, kamu ve özel çıkarlar arasında adil dengenin kurulamadığı gerekçesiyle orantısız bir müdahale olarak nitelendirmiş ve hakkın ihlal edildiğine hükmetmiştir.