Makale

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile hukuk dünyasına giren veri taşınabilirliği hakkı, bireylerin kişisel verileri üzerindeki hâkimiyetini artırmayı ve hizmet sağlayıcılar arasındaki geçişi kolaylaştırmayı hedeflemektedir. Ancak bu hak, mutlak ve sınırsız bir hak niteliği taşımamakta olup, mevzuatta belirtilen spesifik şartların kümülatif olarak gerçekleşmesine bağlıdır. Kanun koyucu, enformasyonel kendi kaderini belirleme hakkı ile veri sorumlularının ticari menfaatleri ve üçüncü kişilerin hakları arasında adil bir denge kurmayı amaçlamıştır. Bu bağlamda, hakkın hukuka uygun bir şekilde kullanılabilmesi için verinin niteliği, işlenme dayanağı ve işlenme yöntemi gibi çeşitli sınırların titizlikle değerlendirilmesi zorunludur. Hakkın kapsamının dar veya geniş yorumlanması, uygulamada veri sorumluları açısından ciddi uyum riskleri ve yaptırımlar doğurabileceğinden, sınırların hukuki bir perspektifle netleştirilmesi büyük önem taşımaktadır.

İlgili Kişi Tarafından Sağlanan Veriler ve Kapsamı

GDPR kapsamında veri taşınabilirliği hakkının en önemli sınırlarından biri, talebe konu verilerin bizzat ilgili kişi tarafından sağlanan veriler olması zorunluluğudur. Hükmün lafzı gereği, bireyin aktif ve bilinçli olarak formlar veya üyelik işlemleri aracılığıyla sunduğu veriler bu kapsama dâhildir. Yetkili otoritelerin kılavuzlarına göre, bireyin bir hizmeti kullanırken pasif olarak ürettiği konum kayıtları, arama geçmişi veya akıllı cihaz logları gibi gözleme dayalı veriler de sağlanan veri kavramı içinde değerlendirilmelidir. Buna karşın, veri sorumlusunun kendi algoritmaları, analiz yetenekleri ve teknolojik altyapısı kullanılarak oluşturulan türetilmiş veya çıkarıma dayalı veriler bu hakkın kapsamı dışında tutulmuştur. Bu spesifik sınırlama, işletmelerin fikri mülkiyet hakları ile ticari sırlarının korunmasını sağlamakta ve hukuk ile ticari menfaatler arasındaki hassas dengeyi korumaktadır.

Veri İşleme Şartları: Rıza, Sözleşme ve Otomatik Yollar

Veri taşınabilirliği hakkının doğabilmesi için, Tüzük kapsamında belirlenen veri işleme şartlarının kümülatif olarak bir arada bulunması hukuki bir zorunluluktur. Bu hakkın sınırlarını çizen temel şartlar şunlardır:

• Talebe konu olan verilerin GDPR anlamında kişisel veri niteliğini taşıması ve ilgili kişiyi doğrudan ilgilendirmesi.
• Veri işleme faaliyetinin temelinin ilgilinin açık rızasına veya taraf olduğu bir sözleşmenin ifasına dayanması.
• İşleme sürecinin tamamen veya kısmen otomatik araçlar vasıtasıyla yürütülmesi.

Veri sorumlusunun meşru menfaati veya kanuni zorunluluk gibi diğer hukuka uygunluk sebeplerine dayanılarak işlenen veriler bu hakkın mutlak kapsamı dışındadır. Ayrıca, kâğıt üzerinde tutulan fiziki kayıtlar da otomatik işleme kriterini sağlamadığından, bu kayıtlar için doğrudan taşıma talebinde bulunulamaz ve süreç yalnızca genel erişim hakkı çerçevesinde değerlendirilebilir.

Üçüncü Kişilerin Hak ve Özgürlüklerinin Korunması

Veri taşınabilirliği hakkının kullanılmasındaki en kritik sınırlamalardan bir diğeri, bu kullanımın diğer kimselerin hak ve özgürlüklerini kötü etkilememesi kuralıdır. Pratikte, taşınması talep edilen bir veri seti genellikle birden fazla kişiye ait bilgileri veya üçüncü kişilerin mahremiyetini ilgilendiren detayları barındırabilmektedir. Örneğin, bir sosyal medya hesabının veya mesajlaşma geçmişinin taşınması durumunda, iletişimde bulunulan diğer bireylerin özel hayatın gizliliği ve hakları tehlikeye girebilir. Hukuki uygulamada, üçüncü şahıslara ait verilerin yalnızca taşıma talebinde bulunan kişinin münhasır kontrolünde kalması ve şahsi amaçlarla kullanılması şartıyla taşınabileceği kabul edilmektedir. Ayrıca, bu kısıtlama sadece mahremiyetle sınırlı olmayıp, veri sorumlularının yazılım veya algoritmalarını koruyan telif hakları ve ticari sırları gibi unsurların da haksız ifşasını engellemeyi amaçlayan güçlü bir hukuki bariyer niteliğindedir.

Veri Taşınabilirliğinin Uygulanamayacağı İstisnai Durumlar

Tüzük, veri taşınabilirliği hakkının genel sınırlarına ek olarak, spesifik kamu hukuku alanlarını ilgilendiren mutlak bir istisna öngörmüştür. Madde metni uyarınca, veri işleme faaliyetinin kamu yararına gerçekleştirilen bir görevin ifası veya veri sorumlusuna verilen resmi bir yetkinin kullanılması amacıyla yapıldığı durumlarda bu hak kesinlikle uygulanamaz. Bu sınırlama, özellikle vergilendirme, suçların önlenmesi, sosyal hizmetler veya halk sağlığı gibi devletin veya yetkilendirilmiş kurumların münhasır ilgi alanına giren veri işlemlerini korumayı hedefler. Kamu otoritelerinin işleyişini ve kamu hizmetlerinin sürekliliğini teminat altına alan bu hüküm sayesinde, kamu hukuku rejimine tabi kurumların özel sektöre yönelik tasarlanan veri aktarım yükümlülüklerinden muaf tutulması ve idari faaliyetlerin aksamasının önüne geçilmesi sağlanmıştır.