Veri koruma konusunda incelenmesi gereken en önemli örgütün Avrupa Birliği olduğunu düşündüğümden onu daha detaylı ve ayrı bir başlıkta incelemenin faydalı olacağını düşündüm. Avrupa Birliği anayasal sözleşmelerinde kişisel verilerin korunmasını bir hak olarak tanımış, Asya – Pasifik ülkelerinde gelişen veri temelli global devleri destekleme kültürünün aksine bu devlere karşı vatandaşının haklarını önde tutmuştur. Burada global devleri çıkarmamış olmanın verdiği rahatlık, onlara karşı kendi devlerini yaratmak için zaman kazanma hamlesi ve bunlara karşı ekonomik denge yaratma içgüdüsü sıklıkla dile getirilse de sonuç itibari ile AB’nin veri korumaya bakışı en azından görünürde ekonomik değil insan hakları temelli olmuştur. 1995 tarihli direktifin kabul sürecinde özellikle Amerikalı hukukçular direktif hakkında, veri koruma yolu ile bir ticaret savaşı başlatıldığını ve yeterli koruma olmayan 3. ülkelere veri aktarımının engellenmesi ile Amerikalı devleri Avrupa Birliği ülkelerine yatırım yapmaya zorlayacağıydı. Kaldı ki geriye dönüp baktığımızda AB Veri Koruma Otoritesi’nin kestiği cezalar ve Amerikalı teknoloji devlerinin İrlanda ve Hollanda’da yaptığı yatırımlar yorumları çokta haksız çıkarmamış görünüyor.
Bu anlamda diğer örgütlerin aksine tavsiye niteliğinde değil zorlayıcı veri koruma düzenlemeleri yapılmış, veri koruma grupları ve komiteleri oluşturularak teknolojik ilerlemelerin takibi ile güncel problemlere çözümler aranmış ve Avrupa Birliği Veri Koruma Otoritesi oluşturulmuştur. Daha sonra Avrupa Temel Haklar Şartı’nda kişisel verilerin korunmasını temel bir hak olarak tanımlayan örgüt aynı bakış açısı ile 1995 yılında AB Kişisel Verilerin Korunması Direktifini kabul etmiştir. Tarihi olarak bakıldığında kabul edilme sürecinde üye ülkelerin veri koruma düzenlemeleri arasındaki derin uçurum nedeniyle Avrupa tek pazarının tehlikeye girmesi çokça temel neden olarak gösterilse de düzenlemeye göre amacı üye devletlerin bireylerin kişisel verilerin işlenmesine yönelik süreçlerde özel yaşamın gizliliği hakkını temel bir insan hakkı olarak korumak olarak ifade edilmiştir. Bu direktif ışığında verinin kaynağını bilme hakkı, yanlış verileri düzeltme hakkı, hukuk dışı işlemelere karşı başvuru hakkı, bazı konularda verilerin kullanılmasına izin vermeme hakkı ve hassas verilerin daha sıkı korunması hakkı gibi kişisel verilerin korunmasına yönelik temel haklar düzenlenmiştir. Direktifte en çok ses getiren düzenleme ise, veri işleme faaliyetlerini gerekli korumayı sağlamayan ülkelere taşıma ihtimali engellemek adına yeterli düzeyde koruma sağlamayan üçüncü ülkelere veri aktarımının engellenmesidir. Yeterli düzeyde korumanın tespiti için verinin niteliği, işlemenin amacı ve suresi, çıkış ve varış ülkesi, üçüncü ülkede geçerli hukuk kuralları ve bunların geçekten uygulandığı bir hukuk sisteminin varlığı, bu ülkede uyulan mesleki kurallar ve uygulanan güvenlik önlemleri dikkate alınmaktadır. Bazı durumlarda da istisnai olarak devletlerle yapılan sözleşmelerle bazı verilerin aktarımına olanak sağlandığı gibi, bazen de ulusüstü şirketlerin kendi içlerinde kabul ettikleri bağlayıcı şirket kuralları sayesinde şirket içi uluslararası veri aktarımı olanaklı hale gelebilmektedir.
Bunun yanında 2002 tarihli Elektronik İletişim Sektöründe Gizliliğin korunması ve kişisel verilerin işlenme süreçlerine ilişkin direktif kabul edilmiş, bu direktifte üye devletlerin ulusal güvenlik ve suçluluğun önlenmesi gibi sebeplerle cep ve sabit telefon, kısa mesaj, faks, e-posta, İnternet ya da başka herhangi bir araç üzerinden yapılan iletişimin trafik ve yer verilerini tutabilmelerine imkân tanınmıştır. Bir diğer ilgili düzenleme 2004 tarihli İletişim Trafik Verilerinin Saklanması Direktifidir. Bu direktifte iletişimin kaynağını tespit ve takip için gerekli veriler, iletişimin suresini, zamanını ve tarihini belirlemek için gerekli olan veriler, kullanıcını iletişim araçlarını belirlemek için gerekli olan veriler, mobil iletişim aracının yerini belirlemek için gerekli olan verilerin altı aydan yirmi dört aya kadar hizmet sağlayıcılar tarafından saklanabileceğini düzenlemektedir. Bu veriler iletişimde bulunan kişilerin adı, soyadı, IP adresi, bağlı bulunduğu baz istasyonu, telefon numarası, iletişimi gerçekleştirdiği saat ve tarih gibi veriler olmakla birlikte kesinlikle iletişimin içeriğine ilişkin veriler olmamalıdır. Kişinin iletişim trafiği ve dolaylı konum bilgisinin özel şirketler tarafından kanuni zorunluluk kapsamında tutulması hususunun kişisel verilerin korunması hukukunun ruhu ile ne kadar uyuştuğunun yorumunu size bırakıyorum.
E-ticaret, bulut teknolojileri, sosyal medya ve akıllı telefonların hayatımızda kapladığı alan genişledikçe verilerimizin karşılaştığı tehlikeler artmış ve yeni bir düzenleme ihtiyacı doğmuştur. 2018’de yürürlüğe giren ve GDPR ismi ile tanıdığımız Avrupa Birliği Genel Veri Koruma Tüzüğü ise yukarıda bahsettiğimiz 1995 tarihli Kişisel Verilerin Korunması Direktifi’nin böylelikle yerini almıştır. Yeni düzenleme ile birlikte kişisel verilerin AB’de aynı düzeyde korunacağı ve böylelikle AB dijital tek pazarının inşa edilebilmesi amaçlanmaktaydı. Bu kapsamda koruma alanı genişletilmiş AB sınırları içerisinde veri işleyenler veya AB dışında AB vatandaşlarının verilerini işleyenlerin bu tüzüğe uygun hareket etmesi gerektiği düzenlenmiş ve AB sınırlarını aşan bir sistem öngörülmüştür. ABAD kararı ile tanınan ve ileride detaylı inceleyeceğimiz unutulma ve silinme hakkı ile verinin taşınabilmesi hakkı kanuni bir hak olarak tanınmıştır. Bunun yanında diğer bir önemli husus ise sadece veriyi alan ana sorumlu değil, onu saklayan bulut hizmet sağlayıcısından onunla ayrı işlem yapan dijital reklam şirketine detaylı bir sorumluluk durumu düzenlenmiştir. Ayrıca yine bu düzenleme ile özellikle bireylerin temel haklarına etki edebilecek teknolojik yeniliklerde veri koruma etki değerlendirmesi yapılma zorunluluğu getirilmiştir. Bunun yanında uygulama alanına değinmenin faydalı olacağını düşünüyorum. Bu tüzük, eğer veri işleyen veya verileri alan AB’de bulunuyorsa, eğer veri işleme faaliyetleri AB sınırları içesinde yapılıyorsa veya AB’de yerleşik kişilere mal veya hizmet sunuluyorsa uygulama alanı bulmaktadır.
Bunların yanında veri aktarımı dendiğinde akla gelen hususlardan biri de PNR (Yolcu İsim Kayıtları)’dır. Çıkış ya da varış yeri ABD olan ya da ABD üzerinden yapılan uçuşlarda, hava yolu taşıma şirketinin ABD idari makamlarına bu uçuşlarda bulunan yolcuların kişisel bilgilerine elektronik ortamda ulaşma olanağı tanınması 11 Eylül sonrası güvenlik nedeniyle zorunlu hale getirilmiştir. AB ile ABD arasında yapılan anlaşma uyarınca bu kapsamdaki kişisel veriler ABD’ye aktarılmaktadır. Bu sözleşme Avrupa Birliği Adalet Divanı’na kişisel verilerin korunmadığı iddia edilerek dava açılmıştır. ABAD ise, sözleşmeyi imzalayan tarafın yetkisizliği nedeniyle sözleşmeyi hukuku uygun bulmamışsa da sözleşmenin içeriği, ABD’de hangi idari birimlerle paylaşılacağı, muhtemel terör tehdidi söylemi ile yolcuların ilgili tüm verilerinin aktarılmasının gereklilik, ölçülülük gibi temel ilkelere aykırılığına ve genel anlamda kişisel verilerin korunmasına yönelik tehditlere karşı bir yorum yapmamıştır.
