Kanunlar yayınlandığında belki de en büyük problem kanundaki ifadelerin ne anlama geldiğini anlayamayan insanların çokluğudur. Halbuki toplumu ilgilendiren bu metinlerin daha doğru anlaşılması, insanların haklarını bilmesinde ve bu haklarla ilgili farkılandıklarının artmasında büyük önem arz eder.
Bu yazımızda, kişisel verilerin korunması anlamında en temel kavram olan “kişisel veri”yi bu kavrama ilişkin olarak verilmiş 20 Aralık 2017 tarihindeki en güncel Avrupa Birliği Adalet Divanı kararı ışığında tanımlayacağız (Peter Nowak v Data Protection Commissioner, C-434/16).
Karara sebep olan olayda, İrlanda’da yaşayan Peter Nowak bir stajyerken girdiği bazı sınavları geçmiş fakat, kitapların açık tutulduğu ve adayların açık olan kaynaklardan istediği gibi yararlanabildiği bir sınavda ise başarısız olmuştur. Dört kez daha başarısız olmasından sonra ise sınav sonucuna itiraz etmiş, itirazının reddedilmesi üzerine ise İrlanda Yeminli Muhasebeciler Kurumu’na, hakkında tutulan tüm kişisel verilere ilişkin olarak veri erişim talebinde bulunmuştur.
Veri erişim talebi ile karşılaşan İrlanda Yeminli Muhasebeciler Kurumu talebe karşılık birkaç belge gönderdiyse de sınav belgesini İrlanda Veri Koruma Kanunu uyarınca kişisel veri içermediği sebebiyle göndermemiştir.
Veri erişim talebi KVKK madde 11’de düzenlenen “İlgili Kişinin Hakları” ile benzeşmektedir. KVKK’da yer alan söz konusu haklardan biri, ilgili kişinin kişisel verileri işlenmiş ise bunlara ilişkin bilgi talep etme hakkıdır. Bu kapsamda verilecek bilgi temel olarak kişilerin hangi verilerinin işlendiğine dair olacaktır ancak veri erişim hakkının önemli bir farkı ise “mümkün olduğunda verinin bulunduğu bilginin kopyasının verilmesi ve veri alım kaynağının sunulmasıdır”.
Veri erişim talebi ile karşılaşan İrlanda Yeminli Muhasebeciler Kurumu talebe karşılık birkaç belge gönderdiyse de sınav belgesini İrlanda Veri Koruma Kanunu uyarınca kişisel veri içermediği sebebiyle göndermemiştir. Veri Koruma Komiseri ile bu hususa itiraz etme niyetiyle iletişime geçen Peter Nowak kişisel veri koruması amaçları bakımından sınav belgesinin kişisel veri içermediği yönündeki görüşü Veri Koruma Komiseri’nden de almıştır.
Peter Nowak iletişimin bir adım ötesine geçip bu hususu yasal bir şikâyete dönüştürmüşse de Veri Koruma Komiseri önemli bir ihlal tespit edilmediği görüşünü tekrar etmiş ve şikâyeti sırf zarar verme veya tazyik amaçlı şikâyet olarak nitelendirerek reddetmiş ve incelemeye almamıştır. Daha sonra, sınav belgesinin kişisel veri tanımına girmemesi nedeniyle davasının temelsiz olduğu ve aynı sebeple incelemeye alınmış bir şikâyetin var olmaması sebebiyle itiraz ettiği çeşitli mahkemelerce de ret kararıyla karşılaşmıştır.
Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. (95/46 Direktifi Madde 2(a), KVKK 3/1-(d)) Nitekim profesyonel bir sınavdaki aday, sınav belgesindeki kapak sayfasında bulunan adıyla doğrudan veya aday numarası ile dolaylı olarak belirlenebilir.
Tüm bu süreçlerin sonunda karar verecek olan Temyiz Mahkemesi bir adayın sınav belgesinde verdiği cevapların, KVKK’ya çerçeve niteliğinde olan, 95/46 EC sayılı Avrupa Birliği Direktifi (“95/46 Direktifi”) kapsamında kişisel veri olup olmadığını Avrupa Birliği Adalet Divanı nezdinde sorgulamıştır.
Avrupa Birliği Adalet Divanı ilgili kararında kişisel verinin tanımlanmasına ilişkin olarak son derece temel ve detaylı görüşlere yer vermiştir. İlgili görüşler kısaca aşağıdaki gibidir;
Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. (95/46 Direktifi Madde 2(a), KVKK 3/1-(d)) Nitekim profesyonel bir sınavdaki aday, sınav belgesindeki kapak sayfasında bulunan adıyla doğrudan veya aday numarası ile dolaylı olarak belirlenebilir.
Sınavı yapan kişinin sınav belgesini kontrol edip işaretlediği sırada adayı belirleyebilmesinin bir önemi yoktur. Bir bilginin kişisel veri statüsünde olabilmesi için ilgili kişiyi belirleyebilecek tüm bilgilerin tek bir kişinin elinde olmasına gerek bulunmamaktadır. (Patrick Breyer v Bundesrepublik Deutschland, 19 Ekim 2016, C‑582/14, 43. paragraf) Nitekim olayda da sınavı kontrol eden kişi bu bilgiye kontrol anında sahip olmayabilirse de sınavı yapan kurum ilgili kişiye yönelik tüm bilgilere sahiptir.
Adayın sınavda verdiği yazılı cevapların ve sınav yapanın cevaplara yönelik herhangi bir yorumunun 95/46 Direktifi kapsamında kişisel veri olup olamayacağının belirlenmesi önem taşımaktadır. Nitekim 95/46 Direktifi’nin kapsamı son derece geniş olup ve direktif ile tanımlanan kişisel veri de çok çeşitlidir. (College van burgemeester en wethouders van Rotterdam v M. E. E. Rijkeboer, 7 Mayıs 2009, C-553/07, 29. paragraf)
Kişisel veri tanımında bulunan “her türlü bilgi” sadece özel hayata ilişkin ya da hassas veri olarak sınırlandırılmamıştır; tam tersine sadece objektif olan görüşler değil fakat aynı zamanda sübjektif olan görüşler veya değerlendirmeler de ilgili kişiye ilişkin ise kişisel veridir.
Sınav belgesindeki cevaplar adayın sınav konusu kapsamındaki bilgisini ve yeterliliğini yansıtır ve hatta bazen zekasını, düşünme şeklini ve yargılama yetisini gösterir. Yazılı olan cevaplar ayrıca el yazısını da gösterir. Bu bilgilerin toplanma amacı adayın profesyonel yeteneklerini ve mesleğine uygunluğunu değerlendirmektir. Son olarak ise bilgilerin kullanılması ilgili kişinin hak ve çıkarları üzerinde kesinlikle sonuç doğuracaktır.
Dolayısıyla sınav belgesinde yer alan adayın cevapları kişisel veri niteliğindedir ve ayrıca sınavı yapan tarafından adayın cevaplarına ilişkin yapılmış yorumlar da adayın cevapları hakkında sınavı yapanın görüşlerini ve değerlendirmelerini ortaya koymaktadır. Dolayısıyla tıpkı adayda olduğu gibi bu görüş ve değerlendirmeler aynı nitelikte kişisel veridir.
Veri sahibinin sahip olduğu kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme hakkı ise adayı Peter Nowak’ın yanlış yaptığı cevaplarını değiştirerek doğrulaması anlamına gelmeyecektir. Zira sınavda yer alan yanlış cevaplar adayın o andaki bilgi ve yeterlilik seviyesini gösterir olduklarından dolayı kendi içlerinde zaten doğru niteliktedirler. Dolayısıyla burada eksik veya yanlış bir işleme söz konusu değildir.
Nitekim herhangi bir bilginin kişisel veri niteliğinde olması, kişisel verilerin korunması kapsamında ilgili kanunlarda öngörülen yükümlülüklerin uygulanmasını gerekli kılmaktadır. Bu yükümlülükler kapsamında, söz konusu olay bakımından sınav belgesinde yer alan cevaplar sınav işlemleri haricinde adayın meşru çıkarları sebebiyle açık rızası olmadan kullanılamayacak olup aynı zamanda bu sınavı gerçekleştiren kurumun da sınava ilişkin bilgilere yetkisiz erişim sağlanmasını engellemesi ve güvenli muhafazayı sağlaması gerekecektir.
Görüldüğü üzere kişisel veri sadece veri sahibinin adı soyadı, vatandaşlık numarası gibi onlara ait olduğu aşikâr olan verilerden ibaret değildir. İnternet servis sağlayıcısı adresleri (Scarlet Extended SA v. Societe Belge Des Auteurs, Compositeurs Et Editeurs SCRL, 24 Kasım 2011, C-70/10), çalışma süreleri ve günlük çalışma/dinlenme süreleri (Worten-Equipamentos para o Lar SA V. ACT, 30 Mayıs 2013, C-342/12), video kamera ile bir kişinin kaydedilen görüntüsü (Rynes v. Úřad pro ochranu osobnich údajů, 11 Aralık 2014, C-212/13), kişinin ismi verilmeden bir basın toplantısında verilen bilgiler (Nikolaou v. Commission, 12 Eylül 2007, T-259/03) ve hatta başkaca bilgilerle birleştirilmesi mümkün olduğunda değişken olan dinamik IP (Patrick Breyer v Bundesrepublik Deutschland, 19 Ekim 2016) bilgileri dahi kişisel veri olmaktadır. Dolayısıyla kişisel veri tabirinin geniş bir kapsamda olduğu her zaman dikkate alınmak zorundadır.
Av. Anıl Can ALPYILMAZ