Veri Koruma Ortamı

171

artış gösteren terörizm, yasadışı göç, insan ve göçmen kaçakçılığı gibi sınır aşan suçlarla mücadelede gerek suçun başlamadan önlenmesi gerek suçluların hızlı ve etkin bir şekilde tespiti noktasında kritik bir fonksiyon üstlenmektedir.

172

ilgilidir.⁴⁸⁸ Nitekim Tüzükle beraber, verilerin belirli kurallarla yönetilen ayrı veri tabanlarında depolanmasını öngören “depo-temelli (silo-based)” yaklaşımdan verilerin belirli amaçlar için işlenmesini ve işleme faaliyetinin gereken minimum düzeyle sınırlı tutulmasını öngören “amaç sınırlama” (purpose limitation) yaklaşımına geçilmiştir.⁴⁸⁹ Bu yaklaşım, entegre veri yönetimi konsepti (Integrated Data Managament Concept-IDMC) olarak adlandırılan kişisel mahremiyete dayalı güçlendirilmiş sağlam bir veri koruma rejimini garanti altına almaktadır.⁴⁹⁰ IDMC ise hukuka uygunluk, verilerin doğruluğu ve güvenliği, amaç sınırlaması gibi genel veri koruma ilkeleri ile verilerin saklanması için zaman sınırlaması, özel veri koruma (data protection by design) uygulaması, önceden danışma, kayıt tutma ve belgeleme gibi koruyucu tedbirlere dayanmaktadır.⁴⁹¹

Tüzükte belirlenen genel veri koruma ilkeleri aşağıdaki gibidir:

 Kişisel veriler, adil ve yasalara uygun olarak işlenmelidir.

 Kişisel veriler, belirlenmiş, açık ve meşru amaçlara yönelik olarak toplanacak ve bu amaçlara uygun olmayan bir şekilde işlenmeyecektir.

 Kişisel veriler, işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır.

 Kişiler verileri, doğru ve güncel tutulmalı; işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımlar atılmalıdır.

488 Europol Konvansiyonunda 36 yerde, Europol Konsey Kararında 85 yerde, Europol Tüzüğünde ise 225 yerde

“kişisel veri” kelimesi kullanılmıştır.

489 CIRLIG, Carmen-Cristina, s.7. Ayrıntılı bilgi için bkz. COUDERT, Fanny, 2017.

490 DREWER, Daniel & MILADINOVA, Vesela, 2017, s.304.

491 Europol Data Protection Officer, Freedom and Security: Fighting Serious Crime and Terrorism- Defending European Values, E-Broshure, 2017, 3. Integrated Data Management Concept (IDMC).

173

 Kişisel veriler, veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulmalıdır.

 Kişisel veriler, verilerin güvenliğini sağlayacak şekilde işlenmelidir.⁴⁹²

Suç mağduru veya tanıkları, 18 yaşın altındaki küçükler, ırksal veya etnik köken ve genetik veriler gibi belirli kategorideki kişisel verilerin işlenmesi ve paylaşılmasına ancak Europol’un yetkisi dâhilindeki suçlarla mücadele ve bu suçların önlenmesi için kesinlikle gerekli ve orantılıysa izin verilecektir.⁴⁹³ Zaman sınırlaması çerçevesinde, Europol, verileri sınırlı bir süre için saklayacak olup verilerin saklanması ile ilgili haklı bir karar alınmadıkça veriler üç yıl sonra otomatik olarak silinecektir.⁴⁹⁴ Veri işlemenin hukukiliğini doğrulama, kendi kendini izleme, veri bütünlüğü ve güvenliğini sağlama amacıyla Europol, kişisel verilerin toplanması, değiştirilmesi, erişilmesi, ifşa edilmesi, birleştirilmesi veya silinmesine ilişkin kayıtları tutmakla yükümlüdür.⁴⁹⁵ Bu kayıt ve belgeler, gerekli olmadıkça üç yıl sonra silinmektedir. Özel veri koruma çerçevesinde, Europol, veri işlemenin Tüzük hükümlerine uygun olacak ve ilgili veri sahiplerini koruyacak şekilde olmasına yönelik uygun teknik ve kurumsal tedbirleri uygulamakla yükümlüdür.⁴⁹⁶ Kişisel veri ihlali durumunda Europol, Avrupa Veri Koruma Denetmeni ile ilgili üye devletin yetkili otoriteleri ve belirli koşullar altında kişilere bildirmekle yükümlüdür.⁴⁹⁷

Öte yandan, kişisel verilerin korunmasıyla ilgili en önemli düzenlemelerden biri de kişilere tanınan haklardır. Buna göre, herhangi bir veri sahibi, kendisiyle ilgili kişisel

492 Europol Tüzüğü, madde 28(1).

493 Europol Tüzüğü, madde 30(1).

494 Europol Tüzüğü, madde 31(1), 31(2).

495 Europol Tüzüğü, madde 40(1).

496 Europol Tüzüğü, madde 33.

497 Europol Tüzüğü, madde 34(1).

174

verilerin Europol tarafından işlenip işlenmediği hakkında bilgi edinme hakkına sahiptir.⁴⁹⁸ Yine, veri sahiplerinin kendileriyle ilgili kişisel veriler hakkında düzeltme, silme ve kısıtlama hakları bulunmaktadır.⁴⁹⁹ Öte yandan, herhangi bir veri sahibi, Europol tarafından kendisiyle ilgili kişisel verilerin Tüzük hükümlerine uygun olmadığı iddiasıyla Avrupa Veri Koruma Denetmenine şikâyette bulunabilmektedir.⁵⁰⁰ Avrupa Veri Koruma Denetmeni’nin şikâyete ilişkin veri sahibi aleyhine verdiği karara karşı veri sahibi tarafından söz konusu uyuşmazlık Adalet Divanı’na taşınabilmektedir.⁵⁰¹ Europol’ün faaliyetlerinin adli denetime tabi olmaması yönündeki eleştiriler böylece Tüzükle beraber giderilmeye çalışılmıştır. Adalet Divanı’nın Europol tarafından imzalanan bir sözleşmedeki sorumluluğu doğrultusunda ve Europol birimlerinin veya çalışanlarının görevlerini yerine getirirken verdiği zararların tazminine ilişkin uyuşmazlıklarda yargılama yetkisine sahip olduğu hüküm altına alınmıştır.⁵⁰² Ayrıca, hukuka aykırı veri işleme eylemi sonucu mağdur olan ve zarar gören herhangi bir kişi, Europol’den veya zarara yol açan eylemin meydana geldiği üye devletten maruz kaldığı zarar için tazminat alma hakkına sahip olup aynı zamanda bu mağduriyeti nedeniyle Adalet Divanı veya ilgili üye devletin yetkili mahkemesi nezdinde Europol aleyhine dava açabilecektir.⁵⁰³

Tüzükte, Europol’ün veri koruma kurallarının özerk bir yapıya sahip olması gerektiği, ancak bu kuralların aynı zamanda Birlik içerisinde polis işbirliği alanında uygulanabilir ilgili diğer veri koruma enstrümanlarıyla da uyumlu olması gerektiği belirtilmekte; diğer veri

498 Europol Tüzüğü, madde 36(1).

499 Europol Tüzüğü, madde 37.

500 Europol Tüzüğü, madde 47(1).

501 Europol Tüzüğü, madde 48.

502 Europol Tüzüğü, madde 49(2), 49(4).

503 Europol Tüzüğü, madde 50(1).

175

koruma enstrümanları olarak da 2016/680 sayılı AB Veri Koruma Tüzüğü ve Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 28 Ocak 1981 tarihli ve 108 sayılı Avrupa Konseyi Sözleşmesi ile Avrupa Konseyi Bakanlar Komitesi’nin poliste kişisel verilerin kullanımına ilişkin 17 Eylül 1987 tarihli ve R (87) 15 sayılı Tavsiye Kararı sayılmaktadır.⁵⁰⁴

Kişisel verilerin korunmasıyla ilgili tüm bu hükümler, güçlü bir kurumsal korumayı da beraberinde getirmiştir. Bu kurumsal yapılanmalar şu şekildedir: Europol Veri Koruma Görevlisi, Ulusal Denetim Otoriteleri, Avrupa Veri Koruma Denetmeni, Ortak Parlamento İnceleme Grubu, İşbirliği Kurulu.

Europol Konsey Kararı’nın yeniliklerinden biri olan Veri Koruma Görevlisi, Europol Tüzüğü’nde de yer almıştır. Dört yıllık bir dönem için atanan, tamamen bağımsız şekilde faaliyet gösteren Veri Koruma Görevlisinin en temel görevi Europol çerçevesinde yapılan veri işleme faaliyetlerinin Tüzük hükümlerine uygun olmasını sağlamaktır.⁵⁰⁵ Tüzük doğrultusunda her üye devlet, bir ulusal denetleme otoritesi kuracak olup bu otoriteler, ilgili üye devlet tarafından kişisel verilerin Europol’e aktarımına, Europol’den alınmasına ve herhangi bir iletişime izin verilmesi ve bu tür aktarım, geri alım, iletişimin veri sahiplerinin haklarını ihlal edip etmediğini izleme görevine sahiptir.⁵⁰⁶

Tüzüğün getirdiği yeniliklerden biri olarak, Europol’ün faaliyetleri, Avrupa Veri Koruma Denetmeni⁵⁰⁷ tarafından denetlenmesinin önü açılmıştır. Avrupa Veri Koruma

504 Europol Tüzüğü, Dibace Bölümü, Paragraf 40.

505 Europol Tüzüğü, madde 41.

506 Europol Tüzüğü, madde 42(1).

507 Avrupa Veri Koruma Denetmeni, Aralık 2000 tarihli kişisel verilerin Topluluk kurumları tarafından işlenmesi hususunda bireylerin korunmasına ilişkin Avrupa Parlamentosu ve Konsey Tüzüğü kapsamında Avrupa Parlamentosu ve Konsey tarafından 5 yıllığına atanan ve Birlik çapında faaliyet gösteren Birlik

176

Denetmeni’nin kişisel verilerin Europol tarafından işlenmesi noktasında, bireylerin temel hak ve özgürlüklerini koruyan Tüzük hükümlerinin uygulanmasını izleme ve garanti altına alma ile kişisel verilerin işlenmesiyle ilgili tüm konularda Europol’e tavsiyelerde bulunma yetkisine sahip olduğu ve Europol’ün faaliyetlerinin denetimi hakkında yıllık rapor hazırlayacağı öngörülmüştür.⁵⁰⁸ Yine, veri korumaya ilişkin getirilen bir başka yenilik, her bir üye devletin ulusal denetleme otoritelerinden bir temsilci ile Avrupa Veri Koruma Denetmeni’nden oluşan ve danışma fonksiyonuna sahip bir İşbirliği Kurulu kurulması hakkındadır.⁵⁰⁹ Gerektiği hallerde ve her halükarda yılda en az iki kez olmak üzere bir araya gelmesi öngörülen İşbirliği Kurulu, Europol’ün veri koruma denetimine ilişkin genel politikaları ve stratejileri tartışmak, Tüzüğün uygulanması ve yorumlanmasındaki zorluklar ile genel denetim problemlerini incelemek vb. görevlere sahiptir.⁵¹⁰

Bir diğer yenilik ise, ABİHA 88. madde⁵¹¹ hükmü doğrultusunda kurulan Ortak Parlamento İnceleme Grubu’dur.⁵¹² Avrupa Parlamentosu ve ulusal parlamento üyelerinin

yetkilisidir. Europol Veri Koruma Görevlisi ise, sadece Europol faaliyetlerini denetleyen Europol çalışanları arasından atanan, ancak bağımsız olarak faaliyet gösteren bir yetkilidir.

508 Europol Tüzüğü, madde 43(1), 43(5).

509 Europol Tüzüğü, madde 45(1).

510 Europol Tüzüğü, madde 45(3), 45(5).

511 ABİHA, madde 88(2), “Avrupa Parlamentosu ve Konsey, olağan yasama usulü uyarınca hareket ederek, tüzükler vasıtasıyla, Europol’ün yapısını, işleyişini, eylem alanını ve görevlerini tespit eder. … Söz konusu tüzükler, Europol’ün faaliyetlerinin, Avrupa Parlamentosu ve ulusal parlamentolar tarafından denetlenmesine ilişkin kuralları da belirler.”

512 Parlamento incelemesi ile parlamento kontrolü arasında yakın bir ilişki bulunmakla beraber ikisi temelde birbirlerinden farklı denetleme mekanizmalarıdır. Parlamento kontrolü, yönetim otoritesi hakkında atama, eleştirme, feshetme, güven oylaması gibi sert denetim araçları vasıtasıyla yapılırken parlamento incelemesi, daha çok yönetim otoritesinin faaliyetleri hakkında soru sorma, tartışma, tavsiye kararı alma gibi yumuşak denetim araçları vasıtasıyla yapılmaktadır. Ayrıntılı bilgi için bkz. COOPER, Ian, “A New Form of Democratic Oversight in the EU: The Joint Parliamentary Scrutiny Group for Europol”, Perspectives on Federalism, Cilt:

10, Sayı: 3, 2018, s.189.

177

bir araya gelmesiyle oluşan ve demokratik gözetim yapması istenen bahse konu grubun amacının Europol’ün görevlerini yerine getirme konusundaki faaliyetlerini, bu faaliyetlerin gerçek kişilerin temel hak ve özgürlükleri üzerindeki etkisi de dâhil olmak üzere siyasi olarak izlemek olduğu hüküm altına alınmıştır.⁵¹³

2.7. EUROPOL’ÜN STRATEJİK VE OPERASYONEL ANALİZ