Avrupa Birliği Kurumları

AB, kuvvetler ayrımı ilkesine göre kurulmuş bir devlete benzemekle birlikte, Birliğin kurumlarının kesin çizgilerle birbirinden ayrılmaması nedeniyle bir kısım yetkiler birlikte kullanılmaktadır(Küzeci, 2010: s.155).

AB ile üye devletler arasındaki hukuki ilişkiler farklı kurum ve kurallar tarafından düzenlenmektedir. AB üyesi ülkelerde kişisel verilerin korunması hukukuna, ikili ayrım yapılarak bakılması gerekir. Birincisi, kişisel verilerin korunmasına yönelik Birlik düzeyinde yapılan, ikincisi ise Birlik üyesi ülkelerin iç hukuklarında yapılan düzenlemelerdir(Küzeci, 2010: s.155).

Öte yandan, kişisel verilerin korunmasına ilişkin kuralların üye devletlerde nasıl uygulandığını izleyen ve bu hususa ilişkin denetleme yapan bağımsız veri koruma otoriteleri de bulunmaktadır(Küzeci, 2010: s.155).

Avrupa Birliği üyesi olmayan Avrupa ülkelerinden birkaçı yine de Avrupa Birliği kişisel verilerin korunması hukukundan etkilenmektedir. Şöyle ki, Avrupa Serbest Ticaret Örgütü(EFTA)’nün dört üyesinden üçü olan İzlanda, Liechhtenstein ve Norveç 95/46/EC sayılı Kişisel Verilerin Korunması Direktifini onaylandığından,

söz konusu Direktif hükümleri aynı zamanda bu ülkelerde de uygulanmaktadır(Kuner, 2007: s.4).

Avrupa Birliği’nin kurumsal yapısıyla ilgili düzenleme AB Antlaşması’nın 13 üncü maddesinde yer almaktadır. Anılan maddeye göre, Birliğin Kurumları; AB Komisyonu, AB Konseyi, Avrupa Parlamentosu, Avrupa Birliği Adalet Divanı ve Sayıştay’dır. Sayılan her bir kurum, Antlaşmalarla öngörülen amaçlara, şartlara ve usullere uygun şekilde ve bu antlaşmalarla kendisine çizdiği sınırlar içinde yetkisini kullanmaktadır(Bozkurt vd 2011: s.75).

a. Avrupa Birliği Komisyonu

AB Komisyonu, ulusal devletlerde hükümetlere denk gelmektedir ve Konsey’in aldığı kararları uygulamaktadır(Karluk, 2007: s.168). Komisyon, AB’nin yürütme organı olup kişisel verilerin korunması hukukunda merkezi bir rol oynamaktadır. Nitekim Komisyon, yasa teklif etmesine izin verilen tek AB organıdır. AB düzenlemelerinin üye devletlerde uygulanmasını gözetlemekten ve bir sorun ortaya çıktığında önlem almaktan da sorumludur(Kuner, 2007: s.2).

Öte yandan Komisyon, yasa teklifinde bulunmada ve uluslararası ilişkilerde AB’yi temsil etmede başrol oynadığından, kişisel verilerin korunması konusunda AB kurumlarının kamu sözcüsü olma eğilimindedir. Bununla birlikte, üye devletlerin de Direktif çerçevesinde kesin önlemler aldıklarında Komisyonu bilgilendirmesi beklenmektedir(Kuner, 2007: s.2).

b. Avrupa Birliği Konseyi

Eski adıyla Bakanlar Konseyi olarak bilinen ve AB’nin siyasi organı olan Konsey(Kuner, 2007: s.2), üye devletlerin temsil edildiği bir AB karar kurumudur. Bu temsil, üye devletlerin bakan düzeyindeki temsilcilerinden oluşur(Karluk, 2007: s.151). Yasama faaliyetini yaygın olarak yapan Konsey, Komisyon’un hazırladığı tasarıları yasallaştırmakta ve genellikle nitelikli çoğunlukla bu görevini gerçekleştirmektedir. Konsey’in, Komisyon’un önerilerini değiştirerek karara bağlanması ise oybirliği ile ancak mümkündür. Avrupa Parlamentosu’nun önerilerini

de karara bağlayan Konsey, ayrıca AB’nin dış politikasını belirlemektedir(Demirbulak, 2011: s.14).

Siyasi kararların alındığı bir organ olan Konsey, kişisel verilerin korunmasıyla ilgili hukuki düzenlemelerde iki şekilde doğrudan etkili olabilmektedir. İlk olarak, Avrupa Birliği yasal düzenlemeleriyle ilgili tartışmalar sırasında forum yoluyla üye devletlerin alacağı kararlarda ve siyasi nüfuzlarını etkilemede yardımcı olmaktadır. İkinci olarak, 31 inci madde Komitesi yoluyla yaptığı katkıdır. Bu komite Kişisel Verilerin Korunması Direktifi uyarınca kurulmuş olup, kişisel verilerin korunması konusunda üye devletlerden gelen sorulara yönelik danışma organı görevi yapmaktadır(Kuner, 2007: s.2).

c. Avrupa Parlamentosu

Avrupa Parlamentosu, Avrupa Birliği içinde Komisyon ve Konsey arasında paylaşılmış olan yasama ve yürütme yetkilerinin kullanılmasının demokratik yolla denetlenmesi için kurulmuştur(Karluk, 2007: s.197).

Kişisel verilerin korunması konusunda Avrupa Birliği’nde üçüncü büyük organ Avrupa Parlamentosu’dur. Üyeleri, AB üyesi devletlerin vatandaşları tarafından doğrudan seçilen ve AB’nin yasama organı olan Parlamento, AB’de kişisel verilerin korunması ile ilgili yasama faaliyetlerinde merkezi bir rol oynamaktadır(Kuner, 2007: s.7).

Avrupa Birliği’nin karar organı olan Avrupa Parlamentosu, 1976 yılından itibaren aldığı birçok kararında, Avrupa Komisyonu’na, özel yaşamın korunmasını güvence altına alması amacıyla Birliğin bazı yetkilerle donatılması yönünde öneriler getirmektedir(Tortop, 2000: s.3).

d. Avrupa Birliği Adalet Divanı

Avrupa Birliği’ni kuran Antlaşmalar(AB’yi kuran antlaşmalar üçtür. Bunlar; Avrupa Kömür ve Çelik Topluluğu Antlaşması, Avrupa Ekonomik Topluluğu Antlaşması ve Avrupa Atom Enerjisi Topluluğu Antlaşması’dır. Tekinalp ve Tekinalp, 2002: s.6)’da belirlenen hedeflere ulaşılması amacıyla öngörülen politikalara, hem Birlik organlarının hem de üye devletlerin uyması ve bu politikaları

uygulaması gerekmektedir. Şüphesiz, bu uygulamanın etkinliğini sağlamanın tek yolu ise hukuki denetimdir(Bozkurt vd 2011: s.128).

Avrupa Birliği Adalet Divanı, Avrupa bütünleşmesinin sağlanmasında “lokomotif” görevi üstlenen bir kurum olarak tanınmaktadır(Karluk, 2007: s.197). Nitekim Divan’ın, verdiği kararlar ile AB Hukukunun gelişimine katkısı o denli büyük olmuştur ki, Birliğin kurucu antlaşmalarında yapılan birçok değişiklik, Divanın kararları dikkate alınarak yapılmıştır(Akgül, 2007: s.153).

Avrupa Topluluğunun kuruluşu ile Avrupa Topluluğu Hukuku adı verilen, uluslar üstü özellikler ve nitelikler gösteren yeni bir hukuk sistemi meydana gelmiştir(Baykal 2002: s.13). Divan, kendine özgü bir hukuk düzeni olan AB Hukukunun(AB Hukukunun kendine özgü yapısına ilişkin açıklamalar için bkz. Demirbulak, 2011: s.9-26; Bozkurt vd 2011: s.159-187; Tekinalp ve Tekinalp, 2002: s.65-74 ; Ünal 2005: s.202-203.), Birliğe üye devletlerde aynı ölçüde, aynı anda ve aynı anlamı ifade edecek bir şekilde uygulanmasını denetleme ve gözetleme görevini yapmaktadır(Akgül, 2007: s.153).

Divan, Birlik hukuku çerçevesinde ortaya çıkan hukuki sorunları, Birlik hukukunu uygulayarak çözmektedir(Arat, 1989: s.15). Başlangıçta, Birlik hukukunu yorumlama yetkisini münhasıran Divan kullanmakta iken, Nice Antlaşması’ndan sonra, Divan, bu yetkiyi İlk Derece Mahkemesi ile birlikte kullanmaktadır(Bozkurt vd 2011: s.131). Lüksemburg’da yer alan Mahkeme, kişisel verilerin korunması hukuku da dahil Avrupa Birliği Hukukunun uygulanmasında son sözü söyleyen en büyük yargı organıdır(Kuner, 2007: s.7).

Mahkeme, ayrıca, AB kurumlarının işlem ve tasarruflarının Birlik hukukuna uygun olup olmadığını, bu kurumların AB antlaşmaları gereği kendilerine tanınan yetki çerçevesinde hareket edip etmediğini, hatta, üye devletlerin Birlik hukukunu ihlal edip etmediğini tespit ederek karara bağlamaktadır(Arat, 1989: s.31).

Uygulamada, Mahkemenin, kişisel verilerin korunması uyuşmazlıklarıyla iki şekilde karşılaşması mümkündür. Birincisi, üye devlet veya Komisyon tarafından, örneğin, bir üye devletin AB hukukuna ait bir düzenlemeyi uygulamadığı iddiasıyla üye devlete karşı bir dava açılabilir(Kuner, 2007: s.7). Alman Hukukunda “gözetim

davası”, İngiliz Hukukunda ise “ihlal davası” veya “Topluluk hukukuna uygun hareket edilmemesi halinde açılan dava” olarak tanımlanan “ihlal davası” (Tekinalp ve Tekinalp, 2002: s.241); Birlik üyesi devletlerin, kurucu antlaşmalardan doğan yükümlülüklerini yerine getirmemesi, diğer bir ifadeyle AB Hukukunu ihlal etmesi halinde açılan davalardır(E. Tezcan, 2001: s.105). Birlik kurucu antlaşmalarının yanında, Birlik organları tarafından çıkarılan tüzük, direktif ve karar gibi ikincil hukukun ihlali durumunda ihlal davası açılabilir(Tekinalp ve Tekinalp, 2002: s.242).

Birlik hukukunun doğal yargıcı ve bu hukuku uygulamakla yükümlü olan ulusal yargı organlarının, Birlik hukukunun ihlali sonucu zarara uğrayan bir bireyin açtığı davada büyük sorumluluk altında olduğu belirtilmektedir(E. Tezcan, 1998: s.7). Zira, ihlal davalarının bir işlevi de, Birlik üyesi bir devletin AB hukukunu ihlal etmesi halinde, diğer üye ülkelerin, AB’nin veya AB vatandaşlarının açacakları tazminat davalarına dayanak oluşturmasıdır(Akgül, 2007: s.166). Bu bağlamda, Divan önünde görülmekte olan bir ihlal davası ile ilgili olarak verilecek bir kararın, ulusal mahkemede Birlik hukukunun ihlaline ilişkin olarak açılan tazminat davasını etkilemesi söz konusu ise ulusal yargıç, Divan tarafından karar verilinceye kadar tazminat davasını askıya alır ya da ön karar(Ön karar davası, ulusal mahkeme önünde başlayan bir davanın herhangi bir aşamasında, AB hukukunun yorumu ya da geçerliliği konusunda Avrupa Birliği Adalet Divanının bir saptamada bulunduğu ve bu saptama doğrultusunda ulusal mahkemenin davayı sonuçlandırdığı, AB hukukuna özgü bir dava türüdür. (Adaoğlu 2006: s.155). Dava, üye ülkelerin ulusal mahkemelerinde açılmakta, ancak, davanın konusu olan asıl sorun için bir Birlik hukuku kuralının yorumlanmasına veya Birlik kurumlarından birisinin yapmış olduğu tasarrufun geçerliliğinin veya anlamının tespitine ihtiyaç duyulmaktadır. (Arat, 1990: s.140). Ayrıca, ön karar davaları ile ilgili ayrıntılı bilgi için bkz. Arsava, 1989) yolu ile Divana sorular sorabilir. Zaten, Divan içtihatlarında, aynı uyuşmazlığa ilişkin hem ihlal davası ile ilgili hem de ön karar yolu çerçevesinde karar vermekte sakınca görülmemektedir(E. Tezcan, 1998: s.121).

Kişisel verilerle ilgili uyuşmazlığın karşılaşılabileceği ikinci hal ise, AB üyesi devletin ulusal mahkemesi tarafından kişisel verilere ilişkin AB Hukukunun uygulanmasıyla ilgili yorum talebi üzerine Avrupa Adalet Divanı’nın bu hususta karar vermesidir(Kuner, 2007: s.7). Ön karar davası da denilen bu yolla Divan,

yalnızca kendisine yöneltilen soruyu yanıtlamakla yetinmeyip, AB hukukunun geneline uygulanabilecek prensipler de geliştirmekte, böylece, AB hukuk sisteminin bütününü etkilemektedir(Adaoğlu, 2006: s.148).

e. Avrupa Veri Koruma Denetçisi

Brüksel’de yer alan Avrupa Veri Koruma Denetçisi(AVKD); Avrupa Birliği kurumları ve organları tarafından işlenen kişisel verilerin izlenmesi ve kontrolünden sorumludur. AVKD, AB kurumlarının, kişisel verilerin korunması ile ilgili yasal düzenlemelere uymalarını izleme ve kontrol hususunda büyük öneme sahiptir(Kuner, 2007: s.8).

Siyasi etkilerden uzaklaştırılmış ve bağımsız olması nedenleriyle AVKD, kişisel verilerin korunmasına yönelik AB düzeyinde politika oluşturma hususunda büyük etkiye sahiptir. Ayrıca, AVKD, kişisel verilerin korunmasıyla ilgili Avrupa Adalet Divanı’na açılan davalardan önce müdahale eden yasal bir otorite konumundadır(Kuner, 2007: s.9).

f. 29. Madde Veri Koruma Grubu

29. Madde Veri Koruma Grubu, 95/46/EC sayılı Direktifin 29 uncu maddesi uyarınca kişisel verilerin korunması konusunda ulusal denetim otoriteleri ile Avrupa Veri Koruma Denetçisi başta olmak üzere AB kurumları arasında bilgi ve tecrübe paylaşımını gerçekleştirmek(Cammilleri and Levallois, 2007: s.16), kişisel verilerin işlenmesinde kişilerin kurumsal olarak korunmasını sağlamak amacıyla kurulmuştur(Başalp, 2004(Kişisel Verilerin Korunması ve Saklanması):s.80).

Kişisel verilerin işlenmesi konusunda bireyin korunmasına ilişkin tavsiyelerde bulunan bu çalışma grubu(Farina vd 2008: s.145), üye devletlerdeki kişisel verilerin korunması hususunda görevli kuruluşlardan bir temsilci(Kuner, 2007: s.9), Komisyondan bir temsilci ile AVKD’den bir temsilciden oluşmaktadır(Farina vd 2008: s.145).

Bu grubun görevleri; Direktif’in iç hukuka aktarılması nedeniyle ortaya çıkan sorunları topluluk bazında aynı düzeyde uygulamayı sağlamak amacıyla incelemek, Direktif hükümlerinin aynı düzeyde uygulanmasında veri koruması kontrol birimleri

ile işbirliğini sağlamak, kişisel verilerin işlenmesine ve özel alanın korunmasına etki edebilecek topluluk önlemlerinde danışma organı olarak Komisyona görüş bildirmek, kamuya ve özellikle topluluk organlarına kişisel veriler konusunda tavsiyelerde bulunmak, toplulukta ve üçüncü ülkelerdeki veri koruma düzeyi hakkında Komisyona görüş bildirmek, topluluk düzeyinde kişisel veriler konusunda benimsenen davranış kuralları ile ilgili olarak görüş bildirmektir(Başalp, 2004(Kişisel Verilerin Korunması ve Saklanması):s.82).

29. Madde Veri Koruma Grubu, yılda birkaç kez toplanan, bağımsız bir tavsiye organıdır. Avrupa Birliği’nde kişisel verilerin korunması hakkındaki düzenlemelere yönelik yayınladığı yasal düşüncenin aydınlatılması açısından oldukça etki doğuran(Kuner, 2007: s.9), ulusal mahkemeler tarafından ve ulusal kişisel verilerin korunması otoriteleri tarafından sıklıkla kullanılan(Farina vd 2008: s.145) yorumlayıcı dokümanlarla çok önemli bir fonksiyonu yerine getirmektedir(Kuner, 2007: s.9). Bununla birlikte, Veri Koruma Grubu’nun tavsiye niteliğinde bir organ olması nedeniyle, grubun çalışma dokümanlarının yasal olarak bağlayıcılığı bulunmamaktadır. Potansiyel etkisine karşın, grubun toplantıları kamuya kapalı olup, gündemi de yayımlanmamaktadır(Farina vd 2008: s.145).

g. 31. Madde Komitesi

Avrupa Birliği’ne Üye devletlerin hükümet temsilcilerinden oluşan Komite, 95/46/EC sayılı Direktif ile kurulmuştur. Komitenin üyeleri ulusal hükümet temsilcilerinden oluşmakta ve genelde kişisel verilerin korunması konularıyla ilgili ulusal bakanlıklardan gelmektedir(Kuner, 2007: s.10).

Komite, AB üyesi olmayan ülkelerin kişisel verilerle ilgili kanunlarının yeterliliği ve veri transferi konusunda yapılan sözleşme hükümlerinin uygunluğuna ilişkin tedbir önlemlerinde oy kullanmaktadır(Kuner, 2007: s.10).

h. Diğer Kurumlar

Yukarıda belirtilen Avrupa Birliği kurumlarından başka birkaç AB Kurumu da kişisel verilerin korunması konularında söz sahibidir. Örneğin, Avrupa Ombudsmanı,

AB vatandaşları ile Avrupa Komisyonu arasındaki kişisel verilerin korunmasından kaynaklanan uyuşmazlıklara ilişkin karar yayınlamaktadır(Kuner, 2007: s.12).

Bir diğer kurum ise, 2005’te kurulan ve kısa adı ENISA olan “European Network and Information Security Agency” (Avrupa Network ve Bilgi Güvenliği Kurumu) dur. ENISA’nın görevi, Avrupa’daki güvenlik olaylarıyla ilgili verilerin toplanması ve değerlendirilmesi, risk yönetiminin ve risk değerlendirme metotlarının ilerletilmesidir. Bilgi güvenliğinin, kişisel verilerin korunması konusunda çok önemli bir unsur olması nedeniyle, ENISA’nın, kişisel verilerin korunmasına ilişkin alanda gittikçe önem kazanacağı belirtilmektedir(Kuner, 2007: s.12).