Avrupa Birliği ve Kişisel Verilerin Korunması

Avrupa Birliği’nin, öngördüğü amaçların gerçekleştirilmesine hizmet eden dört aracı bulunmaktadır. Bunlar; malların, kişilerin, hizmetlerin ve sermayenin serbest dolaşımıdır(Ünal, 2005: s.202). Bu amaçların gerçekleştirilmesinde kişisel verilerin toplanması ve işlenmesi bir zorunluluktur. Bu nedenle, Avrupa Birliği’nde kişisel verilerin korunmasına yönelik getirilen kurallar, enformasyon teknolojisinin gelişimiyle birlikte AB içinde ortak pazarın gereklerini dikkate almak ve serbest veri trafiğini temel haklara uygun işletmek amacıyla konulmuştur(Başalp, 2004(Kişisel Verilerin Korunması ve Saklanması):s.24).

Avrupa Birliği, özel hayatın gizliliği hakkını ve kişisel verilerin hukuka uygun biçimde toplanıp işlenmesini, malların, kişilerin, hizmetlerin ve sermayenin serbest dolaşımını amaçlayan hedefleri kapsamında ve Avrupa Birliği Hukukunun insan hakları hukukuna yaklaşımını temel alarak değerlendirmektedir(Er, 2007: s.83).

Avrupa Birliği Adalet Divanı’nın içtihadıyla Avrupa Birliği Hukukunun koruma çatısı altına giren kişisel verilerin korunması konusu, 95/46/EC sayılı Direktif ile 1997 tarihli Telekomünikasyon Sektöründe Kişisel Verilerin İşlenmesine ve Gizliliğin Korunmasına Dair Yönerge gibi ilerleyen yıllarda yapılan düzenlemelerle Avrupa Birliği müktesebatındaki yerini almıştır(Kuner, 2007: s.1-2).

Avrupa Birliği kişisel verilerin korunması hukuku, yalnızca Avrupa’daki şirketler için değil, küresel ekonomide iş yapan her bir şirket için temel öneme sahiptir. Zira, Avrupa Birliği, dünyadaki mallar ve hizmet için en büyük pazarlardan birisi olup; kişisel verilerin korunması hukuku, şirketlerin başarısı önünde başlıca

sorun gibi gözükebilir. Böylece, kişisel verilerin korunmasına ilişkin düzenlemeler şirketlerin kâr marjları üzerinde etki doğurabilir(Kuner, 2007: s.1-2).

Avrupa Birliği Adalet Divanı da, AİHS’nin 8. maddesine dayanarak veri koruması hakkını içtihat yoluyla oluşturarak tanımıştır. Mahkeme, önemli bir kararında, sağlık verilerinin gizliliğini özel hayatın korunması kavramı içinde değerlendirmiş ve AİHS’nin 8. maddesinde yer alan özel hayatın korunmasının, topluluk hukuk düzeni uyarınca korunan bir temel hak olduğunu vurgulamıştır(Başalp, 2004(Kişisel Verilerin Korunması ve Saklanması):s.24).

“Kişisel verilerin korunmasının anavatanı” olarak nitelendirilen Avrupa’da, kişisel verilerin korunması konusunda hem AB hem de ulusal hukuk sistemleri düzeyinde önemli biçimde gelişmiş bir mevzuat yer almaktadır(Küzeci, 2010: s.154). 1 Aralık 2009’da Lizbon Antlaşması’nın onaylanmasından sonra AB’de kişisel verilerin korunması daha da önem kazanmıştır. Çünkü, Avrupa Birliği Temel Haklar Şartı’nda kişisel verilerin korunması ayrı bir hüküm altında düzenlenmiştir.

AB veri koruma modelinin en önemli farklılığı “zorlayıcılığı”dır. Birlik üyesi devletlerin hepsinde kişisel verilerin korunmasını teminat altına alan kuralların uygulanmasını gözeten ve sağlayan birimler bulunmaktadır(Küzeci, 2010: s.166).

Teknoloji ve bilgi pazarı alanında meydana gelen gelişmeler nedeniyle devletin bireyin kişisel verilerine sınırsız şekilde müdahale edebilmesi olanağının artması karşısında bireyin korunması düşüncesi kişisel verilerin korunmasının devletler üstü alanda da gerekli olduğunu ortaya çıkarmıştır(Şimşek, 2008: s.38). Avrupa İç Pazarı kişilerin, hizmetlerin, malların ve sermayenin serbest dolaşımı özgürlüğünün korunmasını amaç edindiğinden, Birlik düzeyinde üye devletler arasında kişisel verilerin korunmasının eşit düzeyde olmasının sağlanması ve sorunsuz olarak işlev görmesi istenmiştir(Şimşek, 2008: s.39).

Avrupa Birliği’nde kişisel verilere ilişkin olarak yapılan düzenlemelerin Direktif şeklinde yapıldığı görülmektedir. Avrupa Birliği’nde bu konuyu düzenleyen esas olarak iki temel Direktif bulunmaktadır. Bunlardan birincisi, Avrupa Parlamentosu ve Konseyinin 24 Ekim 1995 tarihli “Kişisel Verilerin İşlenmesi

Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiğine İlişkin Direktif”(95/46/EC), diğeri ise Avrupa Parlamentosu ve Konseyinin 12 Temmuz 2002 tarihli “Elektronik Komünikasyon Alanında Kişisel Verilerin İşlenmesi Hakkındaki Direktif”(Elektronik Komünikasyon Direktifi 2002/58/AT). Bununla birlikte, Avrupa Birliği üyesi Hollanda, Portekiz, İspanya gibi ülkelerin Anayasalarında kişisel verilerin korunmasına bir temel hak olarak yer verildiği, bazı ülkelerde ise kişisel verilerin korunması hakkının yasalarla düzenlendiği görülmektedir(Şimşek, 2008: s.41).

Kişisel verilerin korunmasını oldukça önemli bir konu olarak gören AB, kişisel verilerin korunmasına ilişkin en geniş ve yaygın korumaya sahiptir. Kişisel verilere erişime ilişkin düzenlemeler Avrupa Birliği’nde şeffaflığın en temel unsur olduğu konusundaki anlayışı yansıtmaktadır. Hem üye devletler hem de AB kurumları kişisel verilerin korunmasına ilişkin düzenlemelere konu olmaktadır. Ayrıca, bu düzenlemeler, ABD’deki özel hayatın gizliliği konusundaki düzenlemelerden oldukça geniştir. AB, kişisel verilerin işlenmesi konusunda özel kuruluşlar ile kamu organlarına yönelik düzenleme yapmakta iken ABD’de kişisel verilerin korunmasına ilişkin düzenlemeler yalnızca bazı sektörlerdeki kayıtlar, tüketici kredi kayıtları, sağlık hizmeti sunucusunun tuttuğu kayıtlarla sınırlıdır(Farina vd 2008: s.8). AB’deki kişisel verilerin korunması konusundaki düzeyin ABD’dekinden oldukça büyük olması, AB ile ABD arasındaki tarihi, kültürel ve siyasi karakteristik farklılıklarını da yansıtmaktadır(Farina vd 2008: s.9).

AB, kişisel verilerin korunması konusunda geniş ve yaygın bir koruma sunmaktadır(Farina vd 2008: s.136). Hem üye devletler hem de AB’deki kurumlar kişisel verilerin korunmasına ilişkin düzenlemelere tabidir ve bu düzenlemelere ilişkin hükümler ABD’deki özel hayatın gizliliğine ilişkin düzenlemelerden daha geniştir. AB, kişisel verileri işleyen bütün özel kuruluşlara ve kamu kurumlarına yönelik düzenleme yaparken, ABD genel bir kişisel verilerin korunması düzenlemesine sahip değildir(Farina vd 2008: s.137).

Avrupa Birliği’nde kişisel verilerin korunması modelinin başlıca anlayışı “uygulanabilirlik”tir(Öqvist, 2009: s.113). Bu modeldeki veri öznesi açık kurallarla düzenlenmiş haklara sahiptir. Avrupa Birliği üyesi her bir ülke, söz konusu kuralların

uygulanmasını takip eden kişisel verilerin korunması denetçisine veya kurumuna sahiptir(Privacy and Human Rights, 2004: s.10).

Avrupa’nın, kişisel verilerin korunmasına ilişkin ilgisinin, Almanya’da kişisel verilerin acımasızca kötüye kullanılması sonucu milyonlarca Yahudi’nin toplama kamplarına gönderilmesinden kaynaklandığı belirtilmekte ise de(Farina vd 2008: s.137), AB’deki kişisel verilerin korunmasına getirilen yaygın koruma Avrupa’daki özel hayatın gizliliği konusundaki geçmişe dayanan bir geleneği yansıtmaktadır. Nitekim AB üyesi devletlerin çoğunun anayasalarında açık bir şekilde özel hayatın gizliliğinin korunması hakkıyla ilgili düzenlemelere yer verilmiş ve Avrupa Birliği Temel Haklar Şartı’nın 8 inci maddesinde de, herkesin özel, aile yaşamına ve haberleşmesine saygı gösterilmesi hakkına sahip olduğu belirtilmiştir(Farina vd 2008: s.137).