Kişisel Verilerin Aşırı Gereksiz ve Meşru Olmayan Amaçlar İçin Kullanılması Konusunda Avrupa İnsan Hakları Mahkemesi Yaklaşımı
AİHM, hak ihlaline yönelik iddialara ilişkin olarak mahkemece yapılan denetimlerde öncelikle özel hayata bir müdahalenin mevcut olup olmadığı incelemekte, müdahale olduğu tespit edildiğinde, bu müdahalenin haklı olup olmadığına bakılmaktadır.
Kişisel verilerin aşırı ve meşru olmayan amaçlar için kullanılması konusunu Avrupa İnsan Hakları Mahkemesi (AİHM) kararları dikkate alınarak değerlendirmekte fayda vardır. AİHM, Avrupa İnsan Hakları Sözleşmesinin 8. Maddesi kapsamında kişisel verilerin korunmasına yönelik birkaç karakteristik detaylı yaklaşım sergilemiştir. AİHM veri korumasına ilişkin kararlarında özel hayatın korunması hakkı ve haberleşme özgürlüğü kapsamında yeni teknolojik gelişmeleri dikkate alarak 8. maddeyi yorumlamıştır. Bu maddeyi yorumlarken haberleşmenin mi, yoksa özel hayatın mı temel hak olduğuna yönelik değerlendirmeden özellikle kaçınmıştır. Mahkemenin veri korumanın 8. madde kapsamında olduğuna ilişkin birkaç tespiti olmuştur (lundvall v Sweden 100473/83, Amann v Switserland, Rotarou v Romania 28341/95 ). Mahkeme kamu hakimiyetiyle sistematik olarak kişisel verilerin depolanması durumunda 8. maddenin ihlali sonucu oluşabileceğine karar vermiştir. Mahkeme aynı zamanda kişisel verilerin kayıt altına alınması ve kullanılması üzerinde kişilerin kontrol hakkı olduğunu da kabul etmiştir. Mahkeme bireylerin kişisel dosyalara erişme hakkı olduğunu (Gaskin v. the United Kingdom, Application No. 10454/83) (Antony and Margaret McMichael v. United Kingdom, Application No. 16424/90) (Guerra v Italy, McGinley & Egan v. United Kingdom, Applications nos. 21825/93 and 23414/94,), transeksuellerin kimliklerini düzeltme hakkı olduğunu (Leander v. Sweden, Application No. 9248/81) kararlarında vurgulamıştır. Dahası mahkeme kişisel verilerin korunmasında hukukun üstünlüğünü sağlamak, yetkinin kötüye kullanılmasını önlemek için özellikle bağımsız bir denetim ve gözetim otoritesine ihtiyaç olduğunu vurgulamıştır. (Klass v. Germany, Leander v. Sweden, , Rotaru v. Romania,) Peck, Perry, PG VD Jh davalarında mahkeme veri korumada amaca yönelik kullanmanın gayesinin öngörülemeyen kullanımların önlenmesi olduğunu ifade etmiştir. (Peck v. the United Kingdom, Perry v. the United Kingdom) Amann ve Segerstedt Wiberg davalarında mahkeme devlet otoritelerinin sadece somut şüphe durumunda şüphelenilen durumla ilgili veri toplayabileceğine hükmetmiştir.[1]
İnsan Hakları mahkemesi ilk kararlarından itibaren bireyin özel yaşamıyla ilgili bilgi toplanılmasını ve gizli bilgi kütüğünde saklanmasını ve bu tür bilgilerin ilgililere verilmesini Sözleşmenin 8. maddesi kapsamında değerlendirmiştir. (Leander, 48, Aman, Rotou 43,Sve Marper 67, Khelli 55) Mahkemeye göre güvenlik güçleri tarafından belirli kişiler hakkında sistematik olarak veri toplanması ve depolanması (Segerstedt-Wiber ve Diğerleri 72 Cemalettin Canlı 43), bu veriler açık alanda toplanmış olsa bile (Peck 59 PG ve J.H 57-59) veya bu bilgiler kişinin sadece mesleki veya kamusal faaliyetleriyle ilgili olsa bile (Rotaru 43-44) söz konusu bilginin kişinin uzak geçmişiyle ilgili olması halinde de kişilerin özel yaşantılarına müdahale oluşturacağına hükmetmiştir.(Cemalettin Canlı 43) Kişinin özel aracına yerleştirilecek cihaz vasıtasıyla GPS sistemi aracılığı ile kişinin ne zaman nerede olduğunun tespiti (Uzun-Almanya 51-53) kişinin özel yaşamına saygı hakkının ihlalini oluşturur. Kişinin kendi geçmişiyle ilgili bilgiye erişimi özel yaşamın bir parçasıdır (Odievr- Fransa).
Mahkeme karalarında özel yaşama ilişkin kişisel verilerin korunması konusuyla ilgili örnekler aşağıdadır. Kişinin taşıdığı ad, kimliğini saptama ve bir aileyle bağlantı kurmanın bir aracı olduğundan kişinin özel ve aile yaşamını ilgilendirir (Burghartz 24). Soybağıyla ilgili sorunlar, kişinin kimliği ile ilgili olduğundan özel yaşamını ilgilendirir ( Rasmmussen 33, Kruskoviç 20). Cinsiyet değişikliklerine ilişkin hususlar özel yaşamı ilgilendirir. (Rees 42, Cossey 38-39), Etnik kimlik bireyin özel yaşamını ilgilendirir. (S e Marper 66). Cinsel ilişki ve cinsel yönelim, bireyin özel yaşantısının en mahrem yönünü oluşturur (Laskey, Jeggard ve Brown 36), kişinin kendi kökeni hakkında bilgi talep etmesi ve kamu makamlarının elindeki bilgiye ulaşması özel yaşama saygı hakkının bir parçasıdır (Odievre-Fransa), suçun işlenmesiyle ilgili olarak bilgi edinilmesi maksadıyla kamu makamları tarafından bireye ve faaliyetlerine ilişkin, ses yazı ve görüntülerin tespit edilmesi özel yaşama saygı hakkına müdahale oluşturmaktadır. Klass ve Diğerleri – Almanya 48,49 )[2]
Kişisel Verilerin Aşırı Gereksiz ve Meşru Olmayan Amaçlar İçin Kullanılması
AİHM’sinin aşırı, gereksiz ve meşru olmayan amaçlar için veri kullanımlarını hak ihlali olarak gören yaklaşımı Avrupa Birliği 1995/46/EC VKD 6/1/c ve 7/c fıkraların mevcut düzenlemelerle uyumludur. Mahkeme hak ihlaline yönelik iddialara ilişkin olarak mahkemece yapılan denetimlerde öncelikle özel hayata bir müdahalenin mevcut olup olmadığı incelenmekte, müdahale olduğu tespit edildiğinde, bu müdahalenin haklı olup olmadığına bakılmaktadır. Haklı olup olmadığı yönündeki incelemenin ilk basamağı, müdahalenin hukuka uygun yapılıp yapılmadığıdır. Hukuka uygun ise müdahalenin demokratik toplumda gerekli olup olmadığı incelenmektedir. Bu basamaktan sonra müdahalenin sosyal ihtiyaçları karşılama ve meşru amaçları gerçekleşecek orantıda olup olmadığı da denetlenmektedir.
Şartların tamamına uygun bir müdahale durumunda hak ihlali oluşmamaktadır. Mahkemece hak ihlaline yönelik iddialara ilişkin olarak yapılan denetimlerde konuya ilişkin kararlarda, ne zaman veri korumasına ilişkin tedbirlerin demokratik toplumda gerekli olduğuna yönelik tespitler çok nadirdir. Mahkeme daha çok ihlal edici eylem için yasal bir zemin olup olmadığına bakmıştır. Bahse konu yasal gerekliliğin ihlal edildiği durumlarda, diğer gereklilikleri incelememiştir ( P.G. and J.H.,). Hukuka uygunluk denetimi ile demokratik toplumda gereklilik denetimi birbirinden farklıdır. Eğer mahremiyetin korunmasına ilişkin bir sınırlama kanunda mevcut ise de yasal bir temeli var ise de, bu sınırlamanın demokratik toplumda gerekli de olması beklenmektedir. Demokratik toplumda gereklilik denetimi politik bir denetimdir. Bu denetim değerler ve menfaatler arasındaki dengeyi sağlamaktadır. Bu denetimde ortaya çıkan soru, veri korumada getirilen sınırlama veya ihlal meşru bir gereklilik için mi yapılmıştır? sorusuna cevap vermektedir. Demokratik toplumda gereklilik denetiminin karşılanmış olması da veri korumaya getirilen sınırlamada yeterli değildir. Zira AİHS 8.9.10.11. maddelerinde yapılan denetimde iki kriter daha vardır.
Bunlar sosyal ihtiyaçları karşılama ve meşru amaçları gerçekleştirecek orantıda olması kriterleridir. Fakat bu kriterlerde sosyal ihtiyaçları karşılama kriteri daha çok 10. maddede düzenlenen hak için uygulanmaktadır, 8. madde için uygulama alanı dardır. Mahkeme orantılılık denetiminde kişisel verilere yapılan müdahalenin ağırlığını dikkate alınmaktadır. Orantılılık ilkesinin uygulamasında sınırlamanın orantılı olup olmadığı belirlenirken durumun özelliğine bakılmaktadır. Mahkeme orantılılığı değerlendirirken alınan tedbirin doğasına (kötü kullanıma olanak sağlayıp sağlamayacağı, olumsuz sonuçları vb.) bakmaktadır. Başka tedbirlerle aynı sonuca ulaşılıp ulaşılamayacağı ve bu kadar sert tedbir almaya gerek olup olmadığına bakılmaktadır. Denetim bütün bu sayılan kriterleri geçerse hak ihlaline karar verilmeyecektir. Orantılılık denetimine ilişkin katı bir uygulama 10. Madde ihlaline yönelik (Campbell v. United Kingdom, Application No. 13590/88, ) davasında gizli denetimlerde, avukata yazılan mektuplara el konulması ve telefon kayıtlarının tutulmasında gündeme gelmiştir. Gerçekte AİHM kararlarında kişisel verilerin işlenmesi konusunda aşırılık, gereklilik ve meşruluk denetimlerine ilişkin diğer kararlarla mukayese edildiğinde çok az karar vardır. Bunun en önemli sebebi hukuka uygunluk denetimine mahkemenin ağırlık vermesidir.
Klass, Leander, Amann, P.G. and J.H. and Perry davalarında görüldüğü üzere mahkeme denetimde kişisel verilere ilişkin alanı geleneksel yaklaşımla paralel çok kısıtlı bir mahremiyet alanı olarak görmektedir. Kişisel verilerin korunmasına ilişkin güncel yaklaşımlar mahkemenin koruma alanının içine alınmamıştır. Leander Davasında kişinin kişisel verilerine ulaşma hakkına getirilen sınırlamayı ihlal olarak görmemiştir. Antony and Margaret McMichael v. United Kingdom davasında da benzer bir durum oluşmuştur. Mahkeme kararında açıkça 8. maddenin kişisel verilere ulaşmak için bir hak vermediği anlamına gelmeyeceğini kararında da belirtmiştir. Bunun aksi olarak mahkemece kolluk ve güvenlik kuvvetleri tarafından kişisel verilere girilebileceğine ilişkin düzenlemeler açıkça kabul edilmektedir.
Mahkeme 8. madde kapsamında olabilecek kişisel veriler ile bu madde kapsamında olmayan kişisel veriler arasında bir ayrım yapmıştır. Özel hayatı etkileyen kişisel veriler olduğu gibi, özel hayatı etkilemeyen kişisel verilerde vardır. (Pierre Herbecq and the Association Ligue des droits de’homme v Belgium., Pierre Herbecq and the Association Ligue des droits de l ’homme v Belgium, Applications No. 32200/96 and 32201/96) Örnek kararda başvurucu film endüstrisinde denetim amaçlarıyla kişisel verilerin işleneceğine ilişkin bir düzenleme olmadığını ileri sürerek özel hayatın ihlal edildiğini iddia ederek başvuruda bulunmuştur. Mahkeme talebi kabul edilmez bulmuştur. Gerekçesi ise çekimlerdeki görüntülerin özel hayata ilişkin olmayıp, kamuya açık alanlarda olması gösterilmiştir. Veri Koruma fikrinin merkezinde taşıyıcısı belirli veya belirlenebilir olan kişisel veriler vardır. Veri Korumasına ilişkin düzenlemeler, verileri, mahremiyetle ilgili olanlar ve olmayanlar şeklinde ayırmamaktadır.
Diğer taraftan veri koruma sistemi özel nitelikte hassas verilerin olduğunu da kabul etmektedir. Veri koruma düzenlemeleri bütün kişisel verilerin alelade isim adres vb. olanlar da dahil kötüye kullanılabileceğini, veri koruma sisteminin amacının tüm verilerin korunması olduğunu düzenlemiştir. Bu düzenlemeler şüphesiz ortak aklın ürünüdür. Bu durumda alelade verilerin hangi sınırda korunacağı tartışılabilir, fakat bu verilerinde korunacağı hususunda mutabakat vardır. Özel nitelikli verilerin işlenmesinin yasaklanması, bu kapsamda örneğin Yahudi kişilerle ilgili verilerin işlenmesinin yasaklanması pozitif bir düzenlemedir. Bu gruba ait basit alelade bir isim listesini kendilerini hedef seçenlere karşı korunmaları gerektiğine ilişkin hiç bir şüphe yoktur. Özellikle teknik personel internette veri korumaya ilişkin düzenlemeleri dikkate almaksızın veya fazla bürokratik bularak rahatlıkla verileri işlemektedirler.
Amann, Rotaru and P.G. and J.H., davalarında AİHM 8. madde anlamında mahremiyetin geniş bir tanımını Leander davasına da atıf yaparak veri koruma prensipleri ile mahkeme kararları arasındaki farkları ortaya koymuştur. Amann davasında kişisel verilerin depolanmasının 8. madde ile ilgili olduğunu, özel hayatın sınırlayıcı şekilde tanımlanmaması gerektiğini, özel hayatın kişilerin diğer insanlarla ilişki kurma ve geliştirmeyi de içerdiğini, iş hayatının doğasına ilişkin ve profesyonel aktiviteler için özel hayatın dışında tutulacağına ilişkin hiçbir sebep olmadığını, belirtmiştir. Fakat bu davalara ilişkin kararlara ihtiyatlı yaklaşılmalıdır. Verilerin nereye kadar korunacağı ve nerden sonra korunmayacağı konusu üzerinde hala çalışılmaktadır. Veriler özel alanla ilgili olmadıklarında, sistematik olarak resim ve ses olarak kaydedilmediklerinde veya belirli bir veri taşıyıcısı hedef seçilerek kaydedilmediklerinde veri taşıyıcısının makul sebeplerle verinin işleneceğini bildiğinde mahremiyet korumasından çıkarılmaktadırlar. Bu kapsamda sokaklardaki kameralar, telefon şirketinin telefon görüşmelerine ilişkin ücretlendirme ve istatistik anlamındaki veri depolaması (P.G. and J.H. v. the United Kingdom) 8. Madde anlamında ihlal olarak gözükmemektedir. Özetle mahkemece bütün verilerin korunmadığı görülmektedir.