Avrupa Birliği Temel Haklar Şartı

7 Aralık 2000 tarihinde Fransa’nın Nice kentinde imzalanan AB Temel Haklar Şartı, Avrupa Birliği tarihinde ilk kez Avrupa vatandaşlarının ve AB’de yaşayan herkesin bireysel, siyasal ve ekonomik haklarını tek bir metinde bir araya getirmiştir. 1 Aralık 2009’da Lizbon Antlaşması’nın yürürlüğe girmesiyle AB Temel Haklar Şartı hukuki olarak Birlik üyeleri için bağlayıcı hale gelmiştir(Küzeci, 2010: s.159).

AİHS’nin aksine, kişisel verilerinin korunması, bireyin özel hayatı yanında ayrı bir hak olarak AB Temel Haklar Şartında düzenlenmiştir. Anayasal düzeyde ve açık bir hükümle yapılan bu düzenlenme, AİHM içtihatları tarafından cevaplanmayan birtakım yasal problemlerin çözümünü de sağlamıştır. Aynı zamanda, kişisel verilerin korunması kurallarına uyulmasının bağımsız bir organ tarafından denetlenmesi hakkı, söz konusu içtihatlar içinde temeli bulunmamaktadır. Dahası, AB Temel Haklar Şartı, bireyin özel ilişkilerini ve özel sektörü de içine alarak kişisel verilerin korunması kapsamını genişletmiştir(Claes vd 2006: s.104).

Öte yandan, kişisel verilerin korunmasına anayasal bir hak olarak AB Temel Haklar Şartı’nda yer verilmesi pozitif bir dönüşümü temsil etmektedir. Kişisel verilerin korunması, özel hayatın gizliliğinden ayrı olarak kişisel verilerin kamu ve özel sektör tarafından adil ve hukuka uygun biçimde işlenmesi konusunda somut bir hedef haline gelmiştir(Claes vd 2006: s.104).

AB Temel Haklar Şartı’nda haklar altı bölüm altında düzenlenmiştir. Bu bölümler; saygınlık, özgürlükler, eşitlik, dayanışma, vatandaş hakları ve adalettir. Şartın ikinci bölümü olan “özgürlükler” bölümünün “özel hayata ve aile hayatına saygı” başlıklı 7 nci maddesinde; “Herkes, özel hayatına, aile hayatına, konutuna ve haberleşme özgürlüğüne saygı gösterilmesini isteme hakkına sahiptir.” hükmüne yer verildikten sonra, “Kişisel verilerin korunması” başlıklı 8 inci maddesinde;

“1. Herkes, kendisini ilgilendiren kişisel verilerin korunması hakkına sahiptir. 2. Bu veriler, adil bir şekilde, belirli amaçlar için ve ilgili kişinin rızasına veya yasa ile öngörülmüş diğer meşru bir temele dayanarak tutulur. Herkes, kendisi hakkında toplanmış verilere erişme ve bunları düzelttirme hakkına sahiptir.

3. Bu kurallara uyulması, bağımsız bir makam tarafından denetlenir.” (http://ekutup.dpt.gov.tr/ab/hukuk/temelhak.pdf/10.01.2013) kuralına yer verilmiştir.

Görüldüğü üzere, AB Temel Haklar Şartı’nda, kişisel verilerin korunması hakkına AİHS’den farklı olarak özel, ayrı bir maddede yer verilmiştir. Şartın 8/1. maddesinde, kişisel verilerin korunması kapsamında “herkes” sayılarak herhangi bir sınırlamaya yer verilmemiştir. Şartın 8/2. maddesinde ise, kişisel verilerin tutulmasında belirli ölçütler sayılmıştır. Öncelikle maddede, kişisel verilerin ne şekilde ve niçin tutulması gerektiği belirtilmiş, bunun “adil bir şekilde ve “belirli amaçlar için” yapılması kuralına yer verilmiştir. Maddenin devamında da, kişisel verilerin tutulması “ilgili kişinin rızasına” veya “yasa ile öngörülmüş diğer meşru bir temele dayanması” koşuluna bağlanmıştır.

AB Temel Haklar Şartı, bireyin tıbbi tedavi alırken, evde, iş yerinde, bir polis karakolunda veya Internet üzerinde alışveriş yaparken, herkesin yaşamın her alanında kişisel verilerin korunmasını isteme hakkına sahip olduğunu vurgulamaktadır(EU Focus 2012, s.1).

5. 95/46/EC Sayılı Kişisel Verilerin Korunması Direktifi

a. Genel Olarak

1970’li yıllardan başlamak üzere Avrupa Konseyi ile Avrupa Parlamentosu arasında kişisel verilerin korunması konusunda uzun süren görüşmeler olmuştur. 1974 yılından itibaren Parlamento, Avrupa’da elektronik veri işlem faaliyetleri alanında meydana gelen teknik gelişmeler karşısında bireyin korunmasının gerekliliğine işaret ederek birtakım kararlar almış ve Ortak Pazar içerisinde ekonomik faaliyetlerin uyumlu şekilde devam etmesi için veri işlem alanında da ortak bir gelişimin şart olduğuna dikkatleri çekmiştir(Şimşek, 2008: s.41).

Avrupa Birliği’ne üye bütün devletler, Avrupa Konseyi’nin bir üyesi olarak, 1981 yılında kabul edilen 108 sayılı Avrupa Konseyi Sözleşmesi’ni onayladıklarından, Avrupa Birliği içinde ayrı bir düzenleme yapılmasına gerek görülmemiştir. Ancak Birliğe üye devletlerin hem iç hukuklarında farklı düzenlemelere yer verilmeye devam edilmiş hem de kişisel verilerin korunması alanında etkili bir koruma sağlanamamıştır(Atak, 2010: s.4). İşte, kişisel verilerin korunmasına ilişkin ulusal hukuk sistemlerindeki önemli farklılıkların bulunması ve etkili bir korumanın sağlanamaması, Avrupa Birliği içerisinde bir uyumlaştırmanın gerekli olduğunu ortaya koymuş(Küzeci, 2010: s.164), Avrupa Birliği de, bireyin kişisel verileriyle ilgili temel haklarının üye devletlerde eş düzeyde korunması ve kişisel verilerin Birlik içerisinde serbest şekilde dolaşımının sağlanması amacıyla çalışmalarını hızlandırmıştır(Privacy and Human Rights, 2004: s.10).

Avrupa Komisyonu, 1990 yılında kişisel verilerin korunması konusunda Direktif Tasarısını sunmuş, 1992 yılında Parlamentonun bir dizi esaslı değişiklik önerisi üzerine Komisyon bu önerileri dikkate alarak değişiklik yapmış, sonuçta 24 Ekim 1995’te “Direktif” kabul edilmiştir(Şimşek, 2008: s.41).

Kişisel Verilerin Korunması Direktifinin hazırlanmasının temelinde yatan düşünce mal, kişi, hizmet ve sermayenin serbest dolaşımı ile bireyin özel hayatının gizliliğinin korunmasını birleştirmektir. Bu düşüncenin özünde; kişisel verilerin serbest dolaşımı olmaksızın mal, kişi, hizmet ve sermayenin serbest dolaşımının mümkün olamayacağı ve bu konudaki ulusal düzenlemelerdeki farklılığın, söz

konusu 4 başlığın serbest hareketine engel olabileceğidir(Room, 2007: s.15). Avrupa Birliğinin başlıca görevlerinden birisi Avrupa içinde ortak bir pazarın oluşturulması olduğundan, 95/46/EC sayılı Direktif bu konuyla yakından ilgilenmiştir(Beyleveld vd 2004: s.93).

b. Direktifin Amacı

Kişisel verilerin korunması konusunda çıkarılan en etkili özel koruma düzenlemesinin, 24 Ekim 1995 tarih ve 95/46/EC sayılı, “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi” (Direktif) olduğu belirtilebilir. Direktif’in amacı, 1 nci maddesinde, “kişisel verilerin işlenmesi bakımından, bireylerin temel hak ve özgürlüklerinin korunması ve üye devletlerce verilerin serbest dolaşımını engelleyecek düzenlemeler yapılmasının önüne geçilmesi” şeklinde ifade edilmektedir(http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? uri=CELEX:31995L0046:en:NOT/18.12.2012). Bu haliyle Direktif, Ortak Pazarın başarılması devam ederken aynı zamanda insan haklarının korunması ve kişisel verilerin sınır ötesi transferinin sürdürülmesinde önemli bir uyumlaştırma önlemidir. Dolayısıyla, Direktif için, Ortak Pazarın başarılması ile bireylerin temel hak ve özgürlüklerinin korunması amacı eşit önemdedir(Room, 2007: s.13).

Kişisel verilerin işlenmesi açısından, diğer hak ve özgürlükleri korumayı da amaçlayan Direktif’te, kişisel verilerin işlenmesi kısıtlandığından, amaç daha da sınırlı olarak belirlenmiştir(Beyleveld vd 2004: s.28). Direktif’in temel amacı, kişisel verilerin korunması konusunda açık ve istikrar arzeden hukuki bir çerçeve oluşturarak AB ülkelerinin genelinde bireylerin aynı temel haklara sahip olmasını(Weightman, 1995: s.152), üye devletler arasındaki kişisel verilerin korunmasına yönelik farklılıkların ortadan kaldırılmasını sağlamaktır(Küzeci, 2010: s.164). Ayrıca, kişisel verilerin korunmasına ilişkin ulusal mevzuatın uyumlaştırılarak kişisel verilerin tüm Avrupa Birliği ülkelerinde aynı düzeyde ve benzer ilkeler çerçevesinde korunması ve bu yolla kişisel verilerin üye ülkeler içerisinde herhangi bir güvenlik riski söz konusu olmaksızın serbest dolaşımını sağlamak da amaçları arasındadır(Aksoy, 2010: s.7). Nitekim Direktif, bu amaç doğrultusunda bilgi toplumunun ve hizmet sektörünün gelişmesini kolaylaştıracak ve

aynı zamanda kişisel verilerin işlenmesinde gerçek kişilerin korunması için en üst düzeyde bir koruma sağlayacaktır(Başalp, 2004(Kişisel Verilerin Korunması ve Saklanması):s. 27).

Direktif, kişisel verilerin, ancak veri süjesinin açık rızası ya da açık bir yasa hükmü olması durumlarında hukuka uygun olacağını savunan Alman yaklaşımı, Fransa’da hakim olan hassas veri konsepti, veri işlemesinden sorumlu olanların kayıt altına alınmasını öngören İngiliz konsepti ile İrlanda ve Hollanda gibi bazı Avrupa ülkelerinde geliştirilmiş olan davranış kurallarının oluşturulması yaklaşımlarını bütünleyici biçimde birleştirmektedir(Gür, 2010: s.27).

c. Direktifin Özellikleri

Kişisel Verilerin Korunması Sözleşmesiyle kıyasladığında, Direktif ile getirilen en önemli ilerleme elle işlenen kişisel verilerin de kanun kapsamı içine alınarak korunmasıdır. 108 sayılı Sözleşmede, Sözleşme üye devletlere kişisel verilerin elle işlenmesine yönelik düzenleme yapma konusunda seçenek sunarak bunu zorunlu kılmamıştı(Room, 2007: s.16).

Direktif, bireyin başta özel yaşamının gizliliği olmak üzere temel hak ve özgürlüklerinin korunmasını kolaylaştıran koşulların meydana getirilmesi amacıyla asgari kabul edilebilir koruma çerçevesinde üye devletler arasında kişisel verilerin kullanımının serbest dolaşımını sağlamaktadır(Beyleveld vd 2004: s.93). Direktif’in, kişi temel hak ve özgürlüklerinin korunmasını sağlamayı amaçlayan hükümleri, esas itibarıyla, verilerin toplanma ve işlenmesine ilişkin ilkeler ile veri sahiplerinin haklarını ele almaktadır(Aksoy, 2010: s.102).

Oldukça geniş bir kişisel veri tanımlaması yapması nedeniyle açıkça söylemek gerekir ki Direktif, bireyin fiziksel ve ruhsal bütünlüğünün korunmasına odaklanmıştır(Beyleveld vd 2004: s.28). Bununla birlikte, Direktif’in koruma konusu yalnızca gerçek kişiler olup, tüzel kişiler açısından Direktif’in hukuki etkisi bulunmamaktadır. Buna karşın, üye Devletler tüzel kişileri de kendileri bakımından Direktif kapsamı içine almalarında bir engel bulunmamaktadır(Şimşek, 2008: s.42).

Öte yandan, Direktif hükümleri ancak belirli ve belirlenebilir bir gerçek kişi hakkında uygulanabilir. Bundan dolayı, ilgili kişinin kimliğinin belirlenemediği anonim veriler açısından Direktif uygulanamaz. Ayrıca Direktif, gerek otomatik şekilde gerekse otomatik olamayan şekilde yapılan veri işlem faaliyetleri için uygulama olanağına sahiptir(Şimşek, 2008: s.43).

Direktif, bireyin rızası olduğu veya önemli bir kamu yararının bulunduğu durumlar haricinde, bireyin ırk veya etnik kökenine, siyasi görüşüne, dini veya felsefi inançlarına, sendika üyeliğine, sağlık ya da cinsel yaşamına ilişkin kişisel verilerin tutulmasını yasaklamıştır(Weightman, 1995: s.153).

Direktif, üye devletlerin hukuk düzenlerinde uygulanması gereken kişisel verilerin korunmasına ilişkin prensipler oluşturmuştur(Beyleveld vd 2004: s.102). Direktif’te, kişisel verilerin işlenmesine ilişkin olarak, OECD ilkeleri ile büyük ölçüde benzerlik gösteren beş temel ilke öngörülmüştür. Buna göre; kişisel veriler adil ve hukuka uygun olarak işlenmeli, belirli ve meşru amaçlarla sınırlı olmak üzere toplanmalı ve işlenmeli, elde edilme amacına uygun şekilde ve yeterli miktarda toplanmalı, düzenli şekilde güncellenerek doğru ve gerçeğe uygun olarak tutulmalı, veri sahibinin kimliğinin belirlenmesine izin verecek şekilde verinin saklanması amacı için gereken süreyle sınırlı olarak saklanmalıdır(Aksoy, 2010: s.102).

Avrupa Birliği 15 Aralık 1997 yılında, 1995 sayılı Direktifi tamamlayıcı 97/66/EC sayılı “Haberleşmenin Gizliliği Direktifi”ni çıkardı. Bu direktif, telefon, dijital televizyon, cep telefonu ağları ile diğer iletişim araçlarını içeren özel bir koruma sistemi öngörmüştür(Privacy and Human Rights, 2004: s.11).

25 Haziran 2002’de ise 2002/58 sayılı “Özel Yaşamın Gizliliği ve Elektronik Haberleşme Direktifi” AB tarafından kabul edildi. 2002/58 sayılı Direktif, 95/46/EC sayılı Direktifi elektronik iletişim alanında tamamlayıcı özelliği bulunmakta olup, tüzel kişilerin bu alandaki haklarını koruması yönüyle de 1997 tarihli Direktif’ten farklılaşmaktadır(Başalp, 2004(Kişisel Verilerin Korunması ve Saklanması):s.24). Direktif, elektronik komünikasyon sektöründeki kişisel verilerin işlenmesini düzenlemek amacıyla 95/46 sayılı Direktifte değişiklik yapmış, elektronik haberleşme hizmetlerinde, örneğin spam maillerinde ve cookylerin veya spy-ware’in kullanımındaki problemlerin çözümlenmesini sağlanmıştır(Farina vd 2008: s.145).

Ayrıca, bu Direktifin birçok olumlu sonucu olmuştur. Örneğin, her türlü kişisel verinin işlenmesinde tüketicilerin özel hayatlarının gizliliği hakkının korunması ve kontrol amacıyla yeni tanımlamalar ve korumalar getirilmiştir(Privacy and Human Rights, 2004: s.12).