AB Genel Veri Koruma Tüzüğü’ndeki Temel İlkeler

Farklı düzenleme biçimleri şeklinde kabul edilmelerine rağmen temel olarak bakıldığında hem 95/46/EC sayılı Direktif hem de Veri Koruma Tüzüğü aynı amaca hizmet etmektedir. Bu temel amaç; veri işleme ve üye ülkeler arasında verinin serbest dolaşımı faaliyetleri sırasında gerçek kişilerin temel hak ve özgürlüklerinin korunmasıdır. Bu amaca ulaşılmasını temin etmek üzere Tüzük’te bir dizi temel prensibe yer verilmiştir. Tüzük’ün prensipler başlıklı ikinci bölümünde yer alan 5’inci maddesinde verinin işlenmesi sırasında uyulması gereken temel prensipler ifade edilmektedir. Buna göre;

 Hukukilik, dürüstlük ve şeffaflık ilkesi: Kişisel verilerin hukuka uygun, dürüstlük

kurallarına uygun ve veri öznesine karşı şeffaf işlenmesi gerekmektedir (5/1/a),  Amaçla sınırlılık ilkesi: Kişisel verilerin belirli, açık ve meşru amaçlarla

toplanması gerekmektedir (5/1/b),

 Veri minimizasyonu prensibi: Kişisel veriler işleme için gerekli olduğu kadar,

87

 Doğruluk prensibi: Kişisel verilerin doğru olarak, gerekli hallerde ve güncel

tutulması gerekmektedir (5/1/d),

 Veri saklamanın sınırlandırılması prensibi:Kişisel verinin işlenmesi amacı için gerekli olandan daha uzun süre tutulmaması gerekmektedir (5/1/e),

 Bütünlük ve gizlilik prensibi: Veri işlemenin güvenli olması gerekmektedir (5/1/f),

 Hesap verebilirlik prensibi: Veri kontrolörü yukarıda sayılan tüm temel

prensiplerden sorumludur (5/2).

AB veri koruma çevrelerinin yeni düzenlemelerle oluşturmaya çalıştığı hukuki çerçevenin, bazı önemli hususların yalnızca düzenlemelerle çözülmesinin imkânsız görülmesi dolayısıyla Silikon Vadisinin “sınır tanımaz yenilikçiliği” ile ortaya koyduğu teknolojik meydan okuma karşısında oldukça cılız kaldığına ve bu veri mücadelesinde AB yaklaşımının giderek daha zorlu bir açmaza girdiğine ilişkin

değerlendirmeler de yapılmaktadır.132

Düzenlemeler eliyle çözülmesi zorlu görülen alanların başında rıza konusu gelmektedir. Yeni teknolojiler karşısında, örneğin akıllı şehirlerde veya akıllı ulaştırma sistemlerinde kullanılan ve genel bir kural olarak toplanan lokasyon verilerinin işlenmesi konusunda, makul bir ön izinle veri sahibinin rızasının nasıl alınacağı hususunun tartışmaya açık olduğu ifade edilmektedir.

Büyük veri ve ondan anlamlı sonuçlar elde etmek üzere kullanılan analizler genelde şeffaf olmayan ve değişken çıkarımlarda bulunmakta iken söz konusu teknolojinin “amaçla sınırlılık” ve “veri minimizasyonu” ilkeleri karşısında nasıl uygulanacağının tartışmalı olduğu ifade edilmektedir. Bu durumun ise, sıradan kullanıcılarda verilerinin kontrolünü ellerinde bulundurmadıkları hissine sebep olacağı öngörülmektedir. Ayrıca, Schrems Kararı’nın ardından Snowden sonrası dünyada, bulut bilişim altyapısını kullanan büyük veri uygulamaları bakımından, verilerin dünyanın herhangi bir yerindeki altyapıya bağımlılığı, AB veri koruma bakış açısıyla oldukça uyumsuz görülmektedir.

Tartışmalar doğrultusunda geleneksel rıza kavramının ve veri işleme konusunda tam anlamıyla bir kontrol yeteneğinin ötesinde bireyin rızası veya

88

işlemenin gerekçeleri bulunmasına rağmen kısıtlamayı veya yasaklamayı mümkün

hale getiren bir modelin hayata geçirilmesi gerektiği ifade edilmektedir.133

4.2.4.3. Avrupa Birliği’nde veri korumaya ilişkin diğer düzenlemeler

AB’de kişisel verilerin korunması alanında temel düzenlemeyi oluşturan Veri Koruma Tüzüğü dışında, sektörel bazda birtakım düzenlemelerin hayata geçirildiği de görülmektedir. 2002/58 sayılı Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunmasına İlişkin Direktif, Telekomünikasyon Sektöründe Kişisel Verilerin Korunmasına Yönelik 2002/58 sayılı Direktifi değiştiren 2006/24 sayılı Kamu Elektronik Haberleşme Hizmetlerinin Sağlanması veya Kamu Haberleşme Ağları Çerçevesinde Üretilen veya İşlenen Verilerin Saklanmasına İlişkin Direktif, bilgi sistemlerinin güvenliği ile ilgili olarak 31 Mart 1992 tarihinde alınan Konsey Kararı ve Avrupa Komisyonu'nun 2007/228 sayılı Veri Korumanın Mahremiyet Artırıcı Teknolojilerle Desteklenmesi Hakkında Bildirisi veri koruma ile ilgili düzenlemeler kapsamında sayılmaktadır.

4.2.5. Amerika Birleşik Devletleri

ABD’de veri koruma mevzuatı bakımından bütüncül ve yeknesak bir yaklaşım yerine sektörel düzenlemeler ve ilgili hukuk kurallarından oluşan düzenlemelerin

uygulanması yoluna gidildiği görülmektedir. Dolayısıylaveri koruma alanında AB ile

kıyaslanacak tek, kapsamlı ve çerçeve nitelikte bir veri koruma mevzuatı bulunmamakta, bunun yerine mahremiyete ilişkin düzenlemeler ihtiyaç duyuldukça çıkarılmaktadır. Nitekim ABD, 1981 yılında OECD Rehber İlkelerini imzalayan taraflardan biri olmasına rağmen, bu kuralları halen iç hukukuna yansıtmamıştır.

Gerek Başkan Clinton ve yardımcısı Al Gore’un, “Küresel Elektronik Ticaret Çerçevesi”nde özel sektör ve şirketlerin internet teknolojisi karşısında kendi kurallarını koymalarını açıkça tavsiye etmeleri, gerekse Başkan Obama Yönetiminin hızla büyüyen dijital veri hacminden en iyi şekilde yararlanmayı hedefleyen 2012'de başlattığı "Büyük Veri Araştırma ve Geliştirme Girişimi" ABD’nin kişisel verilerin korunmasına temel haklar penceresinden daha çok veri ekonomisi ve müşteri hakları

89

penceresinden baktığını ortaya koymaktadır. ABD’de uygulanmakta olan yasal düzenlemeler şu şekildedir:

i. Federal anayasa ve özel hayatın gizliliğine ilişkin temel içtihatlar: ABD

Anayasasında açıkça özel hayatın gizliliğine veya mahremiyete ilişkin bir düzenleme bulunmamaktadır. Bu kapsamda, kişisel verilerin korunması ve özel hayatın gizliliği hakkı yargı kararlarıyla getirilen içtihadî kurallar ile ortaya konulmaktadır.

ii. Kongre tarafından gerçekleştirilen düzenlemeler: Bu düzenlemeler, yasama

tarafından kamu kurum ve kuruluşlarının veri toplama ve kullanımları için getirilen kurallardan oluşmaktadır. Bu kapsamda, “Bilgi Edinme Özgürlüğü Hakkında Kanun”, “Mahremiyet Kanunu”, “Kablolu, Elektronik ve Sözlü İletişimin Tespiti Hakkında Kanun” ve Bilgisayar Eşlemesi ve Mahremiyet Kanunu” gibi düzenlemeler yer almaktadır. Bu kanunlarla getirilmekte olan kişisel verilerin korunmasına ilişkin hükümlerin sınırlı bir etki alanı bulunduğu ifade edilmektedir. Zira veri toplama, depolama ve kullanma gibi hukuki önemi haiz işlemlere dair getirilen sınırlamalar yalnızca kamu kurum ve kuruluşlarını bağlamakta, ancak söz konusu kanunlar etkin bir uygulama mekanizması

öngörmediğinden bireyler haklarının korunmasını doğrudan talep

edememektedir. Yargı mekanizmasına müracaat ise kişisel verilerin korunmasına ilişkin sürecin maliyetli ve uzun sürmesine neden olarak caydırıcı bir etki yaratmaktadır. Ayrıca, söz konusu kanunlarda getirilen geniş istisna hükümleri

ABD’deki mevcut sistemin yetersiz kalmasına neden olmaktadır.134

iii. Sektörel düzeyde mahremiyet kuralları: Kamunun tek başına pek çok özel

kuruluştan daha fazla kişisel veriyi elinde bulundurduğuna ilişkin algı özellikle 21’inci yüzyılda ortaya çıkan gelişmelerle birlikte değişmektedir. Günümüzde bir yandan kamu ile özel sektör arasındaki sınırlar bulanıklaşırken diğer yandan özel sektörün sahip olduğu veri hacmi ve işleme kapasitesi her anlamda kamu kurum ve kuruluşlarını gölgede bırakmaktadır. Nitekim BİT altyapısına erişimin kolaylığı ve büyük veri yöntemleri sayesinde dağınık veri tabanlarındaki verilerin kolayca eşleştirilebilmesi, analiz edilmesi ve transferi konusunda ortaya çıkan

90

gelişmeler ABD’de sektörlere özgü düzenlemeler yapılması eğilimini güçlendirmiştir. Sektörel anlamda başlıca kanunlar arasında; “Elektronik İletişimin Mahremiyeti Hakkında Kanun”, “Video Mahremiyetini Koruma Kanunu”, “Ailenin Eğitim Hakları ve Mahremiyeti Hakkında Kanun”,

“Telekomünikasyon Kanunu”, “Çocukların Çevrimiçi Mahremiyetinin

Korunması Hakkında Kanun”, “Adil Kredi Rapor Edilmesi Hakkında Kanun” ve “Telefon Kullanıcılarının Korunması Hakkında Kanun” yer almaktadır.

ABD’de belirli bir sektörel alanı hedef alan, birden fazla düzenleme yaklaşımı sonuç olarak belirsiz, tutarsız ve genelde rasyonel olmayan bir kişisel veri koruması çerçevesi ortaya çıkarmıştır. Örneğin; AB’de ve Türkiye’de hassas kişisel veri olarak kabul edilen sağlık verileri, ABD’de video film kiralanması hakkındaki verilere

nazaran daha düşük bir korumaya sahip bulunmaktadır.135

ABD’nin kişisel veriler konusundaki genel yaklaşımı, büyük BİT firmalarının AB pazarındaki etkinliği de dikkate alındığında, AB’nin endişelerini artırmaktadır. Zira doktrinde yeni AB Veri Koruma Tüzüğü ile Brüksel’den Washington’a, ya veri mahremiyeti eğilimlerini değiştirmek ya da kıymetli AB veri pazarını kaybetmek arasında bir seçim yapmak durumunda olduklarına ilişkin üstü kapalı bir diplomatik mesajın verildiği ifade edilmektedir.136

Söz konusu gelişmeler, ABD mevzuatında köklü bir değişimi getirmese bile özellikle Amerikalı büyük BİT firmalarının tüketicilerinin kişisel verilerine ilişkin tavrını gözden geçirmesine sebep olacaktır.