Anasayfa/ Makale/ Kişisel Verilerin Korunmasında Uluslararası...

Makale

Bilişim çağında kişisel verilerin korunması, uluslararası sözleşmeler ve Avrupa İnsan Hakları Mahkemesi içtihatları etrafında şekillenmektedir. Bu metinde, uluslararası hukukun prensipleri ile AİHM'in özel yaşamın gizliliğine müdahalede aradığı kanunilik, meşru amaç ve demokratik toplumda gereklilik kriterleri hukuki açıdan incelenmektedir.

Kişisel Verilerin Korunmasında Uluslararası Normlar ve AİHM Kriterleri

UNUTULMA HAKKI AİHM (AVRUPA İNSAN HAKLARI MAHKEMESİ)

Günümüzde teknolojinin eşi benzeri görülmemiş bir hızla ilerlemesi, gerçek ve tüzel kişilerin faaliyetlerinde veri akışını hızlandırırken, kişisel verilerin hukuka aykırı olarak işlenmesi ve ihlal edilmesi risklerini de zirveye taşımıştır. Bilişim hukuku alanında uzmanlaşmış bir avukat olarak belirtmek isterim ki, teknolojik imkanlar ulusal sınırları aşan nitelikte olduğundan, salt iç hukuk düzenlemeleri mahremiyetin tesisi için yeterli olamamaktadır. Bu gerçeklik, konunun küresel bir düzlemde ele alınmasını zorunlu kılmış ve neticesinde uluslararası kuruluşların bağlayıcı olan ve olmayan regülasyonları yürürlüğe girmesine yol açmıştır. Özellikle Ekonomik İşbirliği ve Kalkınma Örgütü ilkelerinden başlayıp Avrupa Konseyi, Avrupa Birliği ve Birleşmiş Milletler nezdinde oluşturulan standartlar, devletlerin veri koruma rejimlerinin yapıtaşlarını oluşturmaktadır. Elbette bu uluslararası hukuki zeminin en önemli güvence mekanizmalarından biri, şüphesiz Avrupa İnsan Hakları Mahkemesi ve onun ortaya koyduğu katı içtihatlardır. Mahkeme, kişisel verilerin korunmasını, bireyin özerkliğini ve özel yaşamın gizliliği hakkını merkeze alarak değerlendirmekte; taraf devletlerin olası hukuksuz müdahalelerine karşı kesin hukuki sınırlar çizmektedir.

Uluslararası Hukukta Kişisel Veri Güvencelerinin Temel Prensipleri

Kişisel veri hukukunun küresel anlamda ilk yansımaları, aslen ekonomik amaçlarla bir araya gelen uluslararası kuruluşların 1980 tarihli Rehber İlkeleri ile ortaya çıkmıştır. Ticari hayatta rekabeti korurken birey temel hak ve hürriyetlerini gözetmeyi hedefleyen bu belgeler, hukuki bir bağlayıcılığı olmamasına rağmen, veri işleme faaliyetlerinde temel alınacak asgari güvenceleri belirlemiştir. Bu metinlerde vücut bulan; veri toplamanın sınırlı olması, verilerin belirli amaçlar doğrultusunda toplanması ve bu amaçla uyumlu şekilde kullanılması prensipleri, adeta modern veri koruma rejiminin anayasası niteliğindedir. Birleşmiş Milletler de devletlerin asgari düzeyde riayet etmesi gereken doğruluk ve amacın belirliliği ilkelerini tavsiye niteliğinde yayımlamıştır. Avrupa Birliği nezdinde yürürlüğe sokulan veri koruma direktifleri ve akabinde Avrupa Adalet Divanı'nın verdiği emsal nitelikteki kararlar, kişinin hukuki varlığı üzerinde ağır sonuçlar doğurabilecek verilerin silinmesini öngören unutulma hakkı konseptini hukuki uygulamamıza dahil etmiştir.

Uluslararası metinlerde ve yargı kararlarında sıkça vurgulanan başlıca prensipler şunlardır:

  • Verilerin yalnızca dürüst ve kanuna uygun yollarla elde edilmesi
  • Hangi amaca hizmet edeceği açıkça belirlenmeden kesinlikle kayıt altına alınmaması
  • Sadece ilgili amaca hizmet edecek yeterlilikteki verilerin saklanması
  • Amacın ortadan kalkmasıyla birlikte verilerin hukuka uygun biçimde imha edilmesi veya isimsizleştirilmesi
  • Veri süjesi olan bireylerin bu veriler üzerinde değişiklik ve itiraz yetkisini özgürce kullanabilmesi

108 Sayılı Avrupa Konseyi Sözleşmesi ve Veri Transferi

Uluslararası arenada ilk kez hukuki bağlayıcılığa sahip belge olma niteliği taşıyan 28 Ocak 1981 tarihli Kişisel Verilerin Otomatik İşlenmesine İlişkin Avrupa Konseyi Sözleşmesi, doğrudan devletlere pozitif yükümlülükler yüklemiştir. Bilişim avukatları olarak uyuşmazlıklarda sıklıkla atıf yaptığımız bu sözleşme, kişisel verilerin meşru ve yasal yollardan elde edilmesini, açık amaçlara hizmet etmesini ve gereksiz verilerin derhal silinmesini şart koşmaktadır. Ayrıca, hassas nitelikteki kişisel veriler olan; sağlık, cinsel yönelim, ırk ve siyasi görüş bildiren verilerin çok daha katı bir otomatik işlem yasağına ve özel güvencelere tabi tutulması gerektiği vurgulanmıştır. İlerleyen yıllarda Avrupa Birliği'nin benimsediği mevzuat da sınır ötesi kişisel veri transferi bağlamında kurallar koyarak, ancak kendi mevzuatındaki güvencelere denk koruma sağlayan ülkelere veri aktarımına icazet vermiştir. Olası uyuşmazlıklar halinde ise, devletlerin ulusal güvenlik ve terörle mücadele refleksiyle hareket ettiği durumlarda dahi kişilerin temel haklarının ve iletişim mahremiyetinin hiçbir koşulda hukuksuz biçimde ihlal edilemeyeceği açıkça ortaya konmuştur.

AİHM İçtihatları ve Özel Yaşama Müdahale Kriterleri

Avrupa İnsan Hakları Sözleşmesi'nin kalbini oluşturan maddeler, kişisel verileri doğrudan zikretmese de özel ve aile hayatına saygı hakkı başlığı altında son derece etkin bir koruma şemsiyesi yaratmıştır. Mahkeme, devlete ait makamların veri işleme fiillerini incelerken üç basamaklı katı bir test uygular. Hukuki perspektifle incelediğimizde, öncelikle uygulamanın bir müdahale teşkil edip etmediğine bakılır. İletişimin denetlenmesi veya adli bilgilerin izinsiz kaydı gibi bir durum varsa, ilk aranan şart kanunilik ölçütü olmaktadır. İstikrar kazanmış emsal kararlarda açıkça vurgulandığı üzere, istihbarat ve güvenlik güçlerinin faaliyetleri dahi mutlak surette açık, ulaşılabilir ve bireylerin karşı karşıya kalacağı hukuki sonuçları öngörebilmelerine olanak sağlayan detaylı kanuni düzenlemelere dayanmak zorundadır. Yeterli açıklık ve kesinlikten yoksun şekilde hazırlanan yüzeysel kanunlar, devletin takdir yetkisini aşmasına sebep olarak doğrudan mahremiyet ihlallerinin temel zeminini oluşturmaktadır.

Avrupa İnsan Hakları Mahkemesi'nin uyguladığı ikinci test, söz konusu sınırlamanın haklı gösterilebileceği meşru bir amacın varlığına ilişkindir. Ulusal güvenlik, suç işlenmesinin önlenmesi veya genel sağlığın korunması gibi temel kamusal savunma gerekçeleri mahkeme nezdinde geçerli bir sınırlandırma nedeni sayılabilir. Örneğin bombalı saldırı gibi ağır tehditleri engellemek için toplanan istihbari bilgilerin işlenmesi ulusal güvenliğin tesisi ile bağdaştırılıp hukuka uygun bulunabilirken, demokratik itiraz hakkını kullanan barışçıl bireylerin fişlenmesi asla meşru bir eylem olarak nitelendirilmemektedir. Dikkate alınması gereken son ve en hassas kriter ise yapılan idari fiilin demokratik bir toplumda gerekli ve orantılı olması zorunluluğudur. Bu ilkeye göre, güvenlik bahanesiyle dahi olsa tedbirler en az zarar veren yol olmalıdır. Sanıklar davalarından beraat etmiş olmasına rağmen kendilerine ait parmak izi ve DNA profillerinin süresiz olarak adli veri bankalarında depolanması, bireyin hak öznesi olma vasfına aykırı, orantısız ve hukuka açıkça aykırı bir ihlal şeklinde mahkum edilmiştir.

5 dk okuma Yayınlanma: Güncelleme: