Avrupa Birliği'nde kişisel veriler alanındaki gelişmeler son hızıyla devam ediyor. Son dönemdeki kritik Avrupa Birliği Adalet Divanı ("ABAD") kararları sonrasında Avrupa Birliği Veri Koruma Kurulu ("EDPB") da geçtiğimiz günlerde son genel kurulunun çıktısı olarak veri sorumlusunun veri işleyen-alt veri işleyen ile ilişkilerine ve meşru menfaat hukuki sebebine ilişkin çalışmalarını yayımladı.
EDPB, bu çerçevede;
- Veri sorumlularının, veri işleyen ve/veya alt veri işleyenler ile ilişkilerindeki yükümlülüklerini inceleyen 22/2024 sayılı görüş yazısını,
- Hukuka uygun veri işlemenin dayanaklarından birisi olan veri sorumlusunun meşru menfaati hukuki sebebinin uygulanması ile ilgili 1/2024 sayılı rehberi (Kamuoyu görüşüne açıktır),
- Avrupa Genel Veri Koruma Tüzüğü'nün ("GDPR") uygulanmasına yönelik ek usul kuralları hakkında açıklamasını,
- EPDB'nin 2024–2025 yıllarına ilişkin çalışma programını kabul etti.
İlgili çıktılardan öne çıkan iki başlık olan görüş yazısı ve rehbere ilişkin detaylar aşağıdaki gibidir;
Veri İşleyen ve Alt Veri İşleyen Kullanılması Halinde Veri Sorumlularının ve Veri İşleyenlerin Yükümlülükleri Hakkında 22/2024 Sayılı Görüş
Bilindiği üzere GDPR'ın herhangi bir veri koruma otoritesinin, birden fazla AB üye devleti etkileyen veya genel uygulanabilirliği olan konular hakkında EDPB'den görüş talep edebilmektedir.
EDPB'nin veri işleyen ve alt veri işleyen ilişkilerine yönelik görüş yazısının ortaya çıkma nedeni ise Danimarka Veri Koruma Otoritesi'nin EDPB'den "veri sorumlularının, bir veya daha fazla veri işleyen ve alt veri işleyen kullanması durumunda veri işleyenlere ilişkin düzenleme getiren "Veri İşleyen" başlıklı GDPR madde 28'e göre nasıl bir değerlendirme yapılması gerektiğine" ilişkin bir görüş talep etmesi olmuştur.
EDPB tarafından yayımlanan görüş yazısında öne çıkan değerlendirmeler şu şekildedir:
- Kimlik Bilgilerinin Güncelliği. Veri sorumluları, -veri işleme sürecinin risk seviyesinden bağımsız olarak- veri işleyen ve alt veri işleyenlere ilişkin kimlik bilgilerini (i.e. ticaret unvanı, adresi, iletişim kişisi bilgisi) her zaman hazır bulundurmalı ve bunları güncel tutmalıdır.
- Güvenlik Düzeyinin Doğrulanması. Veri sorumluları, veri işleyenlerin kişisel verileri işlerken GDPR bakımından uygun güvenlik düzeyini sağladığını doğrulamakla yükümlüdür. Bu yükümlülük ilgili kişilere yönelik risk seviyesinden bağımsızdır.
- Alt Veri İşleyen Tercihi. Veri işleyenin herhangi bir alt veri işleyen önermesi durumunda veri işleyen tarafından bu alt veri işleyenin uygun güvenlik düzeyini sağladığının doğrulanması gerekmekte olup nihai karar ve sorumluluk veri sorumlusuna aittir.
- Alt Veri İşleyen Sözleşmelerinin Takibi. Veri sorumlularının, veri işleyen ile alt veri işleyen arasında kurulacak sözleşmeleri düzenli şekilde gözden geçirmesi gerekmemektedir. Ancak GDPR'ın hesap verilebilirlik ilkesi çerçevesinde bu sözleşmelerin gözden geçirilmesi gerekli ise veri sorumlusu bunları veri işleyenden talep edebilecektir.
- Yüksek Riskli Veri İşleme Faaliyetleri. Veri sorumluları, yüksek riskli veri işleme faaliyetleri bakımından veri işleyen ile alt veri işleyenlerden aldıkları bilgilerin doğruluğunu daha yüksek bir doğrulama seviyesinde incelemelidir.
- AEA Dışına Aktarımda Sorumluluk. Kişisel verilerin veri işleyen tarafından Avrupa Ekonomik Alanı dışındaki bir başka veri işleyene aktarılması söz konusu olduğunda; aktarım yapan veri işleyen, aktarıma ilişkin gerekli dokümantasyonu oluşturmakla ve bu kapsamda risk değerlendirmesi yapmakla yükümlüdür. Ancak veri sorumlusu, GDPR'ın; uygun güvenlik düzeyinin veri işleyen tarafından sağlanıp sağlanmadığına ilişkin veri sorumlusunun denetim yükümlülüğünü düzenleyen 28(1).maddesi ve kişisel veri aktarımına ilişkin genel ilkeleri düzenleyen 44.maddesi kapsamında sorumlu olmaya devam edecektir. İşbu nedenle veri sorumlusunun da aktarıma ilişkin gerekli gözden geçirme ve değerlendirme faaliyetlerini yürütmesi gerekmektedir.
Veri Sorumlusunun Meşru Menfaatinin Uygulanma Kriterleri Hakkında 1/2024 Sayılı Rehber
EDPB ayrıca, veri sorumlusunun meşru menfaatlerine dayanarak kişisel veri işleme süreçlerine ilişkin birtakım kriterlerin yer aldığı 1/2024 sayılı rehberi de kabul etti.
EDPB tarafından kabul edilen bu rehber kapsamında, veri sorumlularının hukuka uygun bir kişisel veri işleme faaliyeti yürütmeleri için yasal bir dayanak olan "meşru menfaat" hukuki sebebinin kriterleri analiz edilmiştir.
EDPB; rehberde, meşru menfaatin son çare olarak veya diğer dayanakların uygulanmadığı durumlarda dayanılan bir hukuki sebep olarak kullanılmaması gerektiğinin altını çizmiştir.
Rehber'de, hangi durumlarda veri sorumlusunun "meşru menfaat" hukuki sebebine dayanabileceğine ilişkin kriterler değerlendirilmiş ve aşağıda yer alan bu kriterlerin kümülatif şekilde, kişisel veri işleme faaliyeti öncesinde var olması gerektiği belirtilmiştir:
- Veri sorumlusu veya üçüncü bir tarafın veri işleme faaliyetinde meşru bir menfaatinin olması gerekmektedir. Bu kapsamda EDPB tarafından, yalnızca hukuka uygun, açık ve net bir şekilde ifade edilen, gerçek ve mevcut menfaatlerin meşru olarak kabul edilebileceği vurgulanmıştır. Örnek olarak; kişisel verisi işlenen ilgili kişinin veri sorumlusunun müşterisi olduğu durumlarda bu kriterin sağlanma ihtimalinin kuvvetli olduğu belirtilmiştir.
- Kişisel verilerin işlenmesinin bu meşru menfaati korumak için gerekli olması gerekmektedir. Bu kapsamda EDPB; amaçlanan menfaatleri elde etmek için makul, aynı derecede etkili, ancak daha az müdahaleci alternatifler varsa, veri işlemenin "gerekli" olarak kabul edilmeyebileceğini belirtmiştir. EDPB'ye göre bu kriterin varlığı yani veri işlemenin gerekli olup olmadığı; GDPR kapsamındaki veri minimizasyonu ilkesi ile birlikte değerlendirilmelidir.
- Denge testinin gözetilmesi gerekmektedir. Buna göre kişisel verisi işlenen ilgili kişilerin menfaatleri veya temel hak ve özgürlükleri ile veri sorumlusunun ya da üçüncü tarafın meşru menfaatleri dengede olmalıdır. EDPB tarafından vurgulandığı üzere, veri sorumlusunun bu denge testini uygularken, ilgili kişilerin menfaatlerini ve veri işlemenin ilgili kişiler üzerindeki etkisini değerlendirmesi; ilgili kişiler üzerinde bu veri işleme faaliyetinin sebep olacağı etkileri sınırlamak için ek güvencelerin olup olmadığını dikkate alması gerekmektedir.
Ayrıca, rehber kapsamında veri sorumlusunun meşru menfaatinin pratikte nasıl değerlendirilmesi gerektiğine ilişkin somut örnekler de yer almaktadır. Şöyle ki, rehberde dolandırıcılığın önlenmesi, doğrudan pazarlama ve bilgi güvenliği gibi çeşitli özel bağlamlarda bu kriterler değerlendirilmekte; GDPR kapsamında veri sorumlusunun meşru menfaati ve ilgili kişilerin birtakım hakları arasındaki ilişki de açıklanmaktadır.
EDPB, yukarıdaki kriterleri belirlerken aynı zamanda ABAD'ın bu konuda 4 Ekim 2024 tarihinde verdiği C-621/22 sayılı kararını dikkate almıştır. ABAD, bir bankanın veri sorumlusu olduğu bu kararında; veri sorumlusunun meşru menfaatinin illaki mevzuatta düzenlenmesine gerek olmadığı, kimi durumlarda salt ticari menfaatlerin dahi "meşru menfaat" kapsamında sayılabileceğine karar vermişti. Ancak ABAD, her koşulda bu meşru menfaatin "hukuka uygun" olması gerektiğini de vurgulamıştı. Kararın tam metnine buradan ulaşabilirsiniz.
1/2024 sayılı işbu rehber 20 Kasım 2024'e kadar kamuoyu görüşüne açık olacaktır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
