I. Giriş
Ocak ayının başında Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’nin yayımlanması üzerine verilerin yurt dışına aktarımı konusu Türkiye’de hukuk ve siber güvenlik alanlarında popüler bir konu haline gelmiştir. Bu yazımızda, verilerin üçüncü ülkelere aktarımı ile ilgili olarak, Avrupa Birliği Adalet Divanı bünyesinde yer alan Genel Mahkeme’nin (“Genel Mahkeme”) geçtiğimiz ay duyurulan Bindl v Commission kararını[1] inceleyeceğiz.
II. İlgili Kişinin İddiaları ve Talepleri
Almanya vatandaşı bir gerçek kişi olan Bindl, 2021 ve 2022 yılında Avrupa Komisyonu (“Komisyon”) ile ilişikli olan Conference on the Future of Europe’un internet sitesine giriş yapmıştır. Bindl, GoGreen adlı etkinliğe katılmak üzere, internet sitesine Komisyon’un AB oturum açma kimlik doğrulama hizmeti (EU Login, önceki adıyla ECAS) üzerinden “Facebook ile giriş yap” seçeneğini kullanarak giriş yapmıştır. İlgili kişinin iddiaları, internet sitesini kullandığı sırada IP adresi ile tarayıcı ve terminal bilgileri de dahil olmak üzere kişisel verilerinin ABD’ye aktarıldığı yönündedir.
Bindl, ilk olarak kişisel verilerinin ilgili internet sitesinde kullanılan içerik dağıtım ağı (content delivery network) Amazon Cloudfront’un işleticisi olan Amazon Web Services’a aktarıldığını ileri sürmüştür.
İkinci iddiası ise GoGreen etkinliğine Facebook hesabı ile giriş yaptığında verilerinin Meta Platforms Inc’a aktarıldığı yönündedir.
İlgili kişinin iddialarına göre, ABD yeterli bir veri koruma düzeyine sahip değildir ve hatta bu veri aktarımları, kişisel verilerine ABD güvenlik ve istihbarat hizmetleri tarafından erişilebilmesi gibi bir risk oluşturmaktadır. Komisyon, bu aktarımları meşru kılabilecek herhangi bir uygun güvence[2] (appropriate safeguard) sunmamıştır.
Bindl, bu aktarımlar sonucunda maruz kaldığını iddia ettiği manevi zarar nedeniyle Komisyon’un 400 € manevi tazminat ödemesini talep etmektedir.
Taleplerinin ikinci kısmını ise; kişisel verilerinin aktarımının iptal edilmesi, yönelttiği bilgi talebine ilişkin olarak Komisyon’un görüşünü hukuka aykırı şekilde açıklamadığı yönünde karar verilmesi ve bilgiye erişim hakkının ihlali nedeniyle Komisyon’un kendisine 800 € manevi tazminat ödemesi oluşturmaktadır.
III. Avrupa Birliği Adalet Divanı’nın Değerlendirmeleri ve Karar
Genel Mahkeme, ikinci gruptaki talepleri[3] ve Amazon Cloudfront ile ilgili iddiayı[4] reddetmiştir.
İlgili kişinin GoGreen etkinliğine Eu Login üzerinden “Facebook ile giriş yap” seçeneğiyle kaydolması bakımından ise durum farklıdır. Genel Mahkeme’nin değerlendirmelerine göre ilgili kişinin IP adresinin ABD’de yerleşik bir teşebbüs olan Meta Platforms’a aktarılması Komisyon’a atfedilmelidir ve aktarım tarihinde (30 Mart 2022) ABD’nin verilerin korunması bakımından yeterli seviyeyi sağladığını kabul eden bir Komisyon kararı bulunmamaktadır.
Genel Mahkeme’nin kararına göre Komisyon, veri korumaya ilişkin standart madde (standard data protection clause) veya sözleşme maddesi (contractual clause) gibi bir uygun güvencenin[5] söz konusu olduğunu da iddia etmemiş ve ispat etmemiştir. Bu durumda, ilgili sayfada “Facebook ile giriş yap” köprüsünün görüntülenmesinin tamamen Facebook platformunun genel hüküm ve koşullarına tabi olduğu ve dolayısıyla Komisyon’un, kişisel verilerin bir AB kurumu, organı, ofisi veya ajansı tarafından üçüncü bir ülkeye aktarılması için AB hukuku tarafından belirlenen koşullara uymadığı belirtilmiştir.
Bireylere haklar tanıyan bir hukuk kuralının Komisyon tarafından yeterince ciddi bir şekilde ihlal edildiği sonucuna varan Genel Mahkeme; ilgili kişinin, kişisel verilerinin, özellikle de IP adresinin işlenmesine ilişkin olarak kendisini belirsizlik içinde bulması nedeniyle manevi zarara uğradığını, ayrıca Komisyon tarafından gerçekleştirilen ihlal ile ilgili kişinin maruz kaldığı manevi zarar arasında yeterli derecede doğrudan bir illiyet bağı bulunduğunu tespit etmiştir. Bu değerlendirmeler ışığında Avrupa Birliği’nin sözleşme dışı sorumluluğunun doğmasına ilişkin koşullar karşılandığından, Genel Mahkeme, Komisyon’un ilgili kişiye talep ettiği 400 € manevi tazminatı ödemesine hükmetmiştir.[6]
IV. AB ile ABD Arasındaki Genel Durum
AB’den ABD’ye yapılan veri aktarımlarıyla ilgili dönüm noktası Büyük Daire’nin 16 Temmuz 2020 tarihli Schrems II[7] kararı olmuştur. Daha öncesinde AB ile ABD arasında veri aktarımını düzenleyen “Privacy Shield”[8] anlaşması varken Schrems II kararında Genel Mahkeme, ABD’nin verileri Avrupa’nın istediği düzeyde koruyamadığını belirterek bu anlaşmayı geçersiz kılmıştır. Bu karar, ABD ile veri aktarımını düzenleyen geçerli bir yeterlilik kararı (adequacy decision) olmadığı anlamına geldiğinden ve sonrasında da (Temmuz 2023’e kadar) bir yeterlilik kararı alınmadığından ABD’ye veri aktarımı yapmak isteyen şirket ve kurumların ek güvenlik tedbirleri almaları gerektiği ortaya çıkmıştır. Daha sonra, 4 Haziran 2021 tarihinde EU Standard Contractual Clauses[9] (SCC) Komisyon tarafından yayımlamıştır ve daha eski tarihli standart sözleşme maddeleri 27 Aralık 2022 tarihi itibarıyla üçüncü ülkelere veri aktarımlarında kullanılamaz hale gelmiştir. Bindl kararındaki aktarım da AB ile ABD arasında bir anlaşma veya yeterlilik kararı bulunmayan bu döneme denk gelmiştir. 2022 yılında yeni bir transatlantik çerçeve için anlaşma çalışmaları başlamış olup, sürecin sonunda 10 Temmuz 2023 tarihinde EU-U.S. Data Privacy Framework için yeterlilik kararı verilmiştir.[10]
V. Değerlendirme ve Sonuç
Sonuç olarak, üçüncü ülkelere güvenli şekilde veri aktarımı yapılabilmesi için ilk olarak aktarım yapılması olası ülkelerin veri güvenliği açısından uygunluk kriterlerini sağlayıp sağlamadığı, dolayısıyla bir yeterlilik kararı kapsamında bulunup bulunmadığı kontrol edilmelidir. Yeterlilik kararı bulunmayan ülkeler söz konusu olduğunda ise Komisyon tarafından kabul edilen standart sözleşme hükümleri, Avrupa Veri Koruma Denetçisi’nin onayına tabi sözleşme hükümleri, ilgili ülkenin veri koruma otoritesine bildirilen bağlayıcı şirket kuralları gibi yasal araçlar ve güvence sağlayan ek tedbirler (verinin şifrelenmesi, anonimleştirilmesi gibi teknik önlemler) önem kazanmaktadır. Bu noktada Türkiye Cumhuriyeti’nin de uygunluk kararı bulunmayan üçüncü ülkeler kapsamında olduğuna dikkat çekmekte fayda vardır.
Karar sonucunda verilen tazminat miktar olarak çok yüksek olmasa da karar, sonucu itibarıyla kişisel verilerin korunması alanında sadece özel şirketlerin değil devlet kurumlarının da uygun güvenceler çerçevesinde hareket etmesi gerekliliğini ön plana çıkarması bakımından önem arz etmektedir. İdarenin kişisel verilerin korunması mevzuatına göstermesi gereken özenin, bireylerin haklarının idare karşısında etkin işleyecek yargı mekanizmalarıyla korunması gerekliliğinin ve mahkemelerce bu yönde verilen tazminat kararlarının önemi doğrultusunda kararı faydalı bulmakla birlikte, karar bir bakıma ilginçtir. Zira ilgili kişi bir Facebook hesabı açarak ve herhangi bir site üzerinde Facebook ile giriş yap seçeneğini kullanarak zaten Facebook platformunun genel hüküm ve koşullarına bağlı veri aktarımlarına maruz kalmaktadır, dolayısıyla manevi zararına neden olduğunu iddia ettiği Meta Platforms’a veri aktarımı, (ve iddiaları gerçeği yansıtıyorsa verilerine ABD güvenlik ve istihbarat güçlerince erişilebilmesi riski) Komisyon’a bağlı bir internet sitesine hiç girmese dahi ilgili kişinin kendi tercihiyle bu platformun kullanıcısı olması nedeniyle zaten gerçekleşmektedir.
Benzer şekilde Türk hukukunda da 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun hükümleri ile genel hükümler birlikte incelendiğinde kişisel verilerin mevzuata uygun şekilde korunmaması durumunda zararın tazmini için hukuki bir altyapı mevcut olup, kişisel verilerin korunması ile kişilik haklarının korunması arasındaki sıkı ilişki dikkate alındığında illiyet bağının mevcut olduğu durumlarda manevi tazminat talep edilmesi mümkündür. Ancak, mevcut durumda bu tür taleplerin özellikle idari işlemlerle ilgili olarak yaygın kullanılmadığı ve kamuoyunda önemli bir yankı uyandırmadığı görülmektedir, bu durumun yargılama süreçlerinin uzunluğu ve süreç sonunda elde edilebilmesi olası manevi tazminat miktarının düşüklüğü ile ilişkili olabileceğini söylemek yanlış olmayacaktır.
Av. İdil Aşkın
[1] Court of Justice of the European Union, T-354/22, Bindl v Commission
[2] (EU) 2018/1725 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü’nün V Bölümünde düzenlenmektedir.
[3] Genel Mahkeme; veri aktarımının iptaline ilişkin talebi kabul edilemez bulmuş, Komisyon’un eylemsiz kaldığının tespitine ilişkin talebin karara bağlanmasına yer olmadığına karar vermiş ve bilgiye erişim hakkı ihlalinden doğan bir manevi zararın mevcut olmadığını değerlendirerek tazminat talebini reddetmiştir.
[4] Amazon Web Services ile Komisyon arasındaki anlaşma uyarınca verilerin Avrupa’da kalması gerekmektedir. Bağlantıların birinde yakınlık ilkesi uyarınca verinin Almanya’daki bir sunucuya aktarıldığı tespit edilmiştir. Diğer bağlantı sırasında ise ilgili kişinin, teknik bir ayar nedeniyle ABD’deymiş gibi görünmesi sebebiyle yönlendirme (routing) mekanizmasınca ABD’ye yönlendirildiği anlaşılmıştır, durumun ilgili kişinin kendisinden kaynaklanması sebebiyle ilgili iddia reddedilmiştir.
[5] Standart maddeler ve sözleşme maddeleri (EU) 2018/1725 sayılı Tüzüğün, sırasıyla, 48(2) ve 48(3) hükümlerinde düzenlenmektedir.
[6] Genel Mahkeme’nin kararına karşı, tebliğden itibaren iki ay on gün içinde, hukuka ilişkin hususlarla sınırlı olmak üzere temyiz başvurusunda bulunulabileceği belirtilmiştir.
[7] Court of Justice of the European Union, C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems
[8] Onay süreci 12 Temmuz 2016’da tamamlanmış, Temmuz 2020’de Schrems II kararıyla geçerliliğini yitirmiştir.
[9] (EU) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü Uyarınca Kişisel Verilerin Üçüncü Ülkelere Aktarılmasına İlişkin Standart Sözleşme Maddeleri’ne Dair 4 Haziran 2021 tarihli ve (EU) 2021/914 sayılı Komisyon Uygulama Kararı
[10] Karar, Avusturyalı bir hukukçu olan Max Schrems tarafından kurulan NOYB – European Center for Digital Rights adlı sivil toplum örgütü tarafından eleştirilere konu olmuştur ve yargıya taşınacağı belirtilmiştir. Dolayısıyla çeşitli kaynaklarda bir Schrems III kararının gelmesinin muhtemel olduğu yönünde paylaşımlar yapılmaktadır.
