Avrupa Birliği’nde kişisel verilerin korunmasında yeni yaklaşım
British Council’den Profesör Mike Hardy’nin ortaya attığı kimliğin geleceğine yönelik “kokteyl kimlikler” kavramı oldukça dikkat çekici bir tespitte bulunuyor: “Dünyamız hem sanal hem de gerçek anlamda göç ve hareketlilik nedeniyle küçülürken, insanlar ve gruplar belki de tek bir kimlikle yetinmeyerek kendilerini bıkıp usanmadan daha çok kimlik merceğinden ifade edecekler.” Peki ya hukuk bu durumda ne yapmalı?
Kimliklerin peşine düşüp gerçekliğe ait kanıt aramak bir yol olabilir mi? Tüm sanal ve çoklu kimliklerin tek bir ana kimlikte birleştiği bir sistem, kişisel verilerin işlenmesinde anahtar olarak kullanılabilir mi? Kimlik ve kişisel veri yönetimi hukuka hizmet edebilir mi?
Vodafone tarafından yayınlanan “Futureagenda: 2020 Yılında Dünya” adlı çalışma geleceğe ışık tutacak tartışmalar içerirken, British Council’den Profesör Mike Hardy’nin ortaya attığı kimliğin geleceğine yönelik “kokteyl kimlikler” kavramı oldukça dikkat çekici bir tespitte bulunuyor: “Dünyamız hem sanal hem de gerçek anlamda göç ve hareketlilik nedeniyle küçülürken, insanlar ve gruplar belki de tek bir kimlikle yetinmeyerek kendilerini bıkıp usanmadan daha çok kimlik merceğinden ifade edecekler.”[i] İnsanlar kısmi kimlikler ile kendi öz kimliklerini korurken[ii], deneyimsel kimlikler ile sanal dünyada bir başkası olma macerası yaşayacaklar. Peki ya hukuk bu durumda ne yapmalı? Kimliklerin peşine düşüp gerçekliğe ait kanıt aramak bir yol olabilir mi? Tüm sanal ve çoklu kimliklerin tek bir ana kimlikte birleştiği bir sistem, kişisel verilerin işlenmesinde anahtar olarak kullanılabilir mi? Kimlik ve kişisel veri yönetimi hukuka hizmet edebilir mi? Şeffaflaşan bir sistem, güçlenen bir denetim, kişisel verileri ellerinde tutan kurum ve kişilerin, mahremiyeti ticari emelleri için kullanmayacakları bir etik anlayışı, aynı zamanda ekonomik büyümeyi öngören bir pazar ve kendilerine ait ne varsa sanal ortamda paylaşan insanlar, tüm bunlar kişisel verilerin korunmasında bir ütopyaya mı işaret ediyorlar?
Avrupa Birliği (AB), Kasım 2010’da Komisyon tarafından yayınlanan “Avrupa Birliği’nde Kişisel Verilerin Korunmasına Yönelik Kapsamlı bir Yaklaşım”[iii] başlıklı bildiri ile hızlı teknolojik gelişmeler ve küreselleşme sonucunda kişisel verilerin korunmasında ortaya çıkan yeni imtihanlara karşı 1995 tarihli ve 95/46/EC sayılı Veri Korunması Direktifinin güncellenmesi ihtiyacına dikkat çekiyor. Esasen kişilerin mahremiyetinin en yüksek düzeyde korunmasına izin veren ancak aynı ölçüde kişisel verilerin serbest dolaşımına da imkan yaratan kapsamı ile Veri Korunması Direktifi, AB’de kişisel verilerin işlenmesi ve korunması meselesinde önemli bir adım olarak kabul ediliyor.
Ancak dünya değişiyor...
AB, Facebook, Myspace ve Twitter gibi sosyal medya sitelerinin isimlerini açıkça ifade ederek, bu platformlarda kişisel verilerin korunmasına yönelik daha gelişmiş bir hukuki yapı arayışına gidiyor. Bu tip sosyal ilişki ağlarına dayanan websiteleri, insanların kendi tercihleri, yaşantıları, ilişki ağları ve algılarına yönelik güncel ve yüklü bir bilgi deposuna dönüşürken, bu bilgilerin saklanması, toplanması ve işlenmesine yönelik tespitlerde bulunmak da aynı ölçüde güçleşiyor.
Peki AB’nin yeni hukuk yaklaşımı nasıl? AB’ye göre kişisel verilerin korunmasına yönelik hukuki çerçeve beş temel özelliğe dayanmalı: (i) yeni teknolojilerin etkisine cevap verebilecek kapsama sahip olmalı, (ii) veri korunmasının iç pazardaki etkisini dikkate alacak ve Ortak Pazarda Üye Ülkelerin uyumunu güçlendirecek bir yapıda kurulmalı, (iii) küreselleşme bağlamında uluslararası veri transferlerini geliştirebilecek kolaylıkta tasarlanmalı, (iv) AB içerisinde Veri Koruma İdarelerini güçlendirerek, veri koruma kurallarının daha etkin olarak uygulanmasını sağlayacak bir idari yapıyı öngörmeli ve (v) tüm sektör ve politika alanlarında veri korunmasının bütünleştirilmesini sağayacak etkinlikte olmalı. Komisyon bildirisinin idealize edilmiş bir yaklaşım getirmesi çok şaşırtıcı değil. Zira AB içerisinde bildirlerin hukuki bağlayıcılıklarının bulunmaması, yeni kanunların altyapısını sağlayan bir aydınlatma aracı olarak kullanılmaları sonucunu doğuruyor. Elbette reel ihtiyaçlar ve menfaatler ekseninde oylanan kanun tasarılarından çok daha derin ve bütünselci bir yaklaşım sunmaları da normal karşılanıyor. Öte yandan AB veri korunmasında başından beri hassas ve detaycı bir yaklaşımı benimsiyor. 1995 yılında kişisel verilerden konuşan AB, bugün kişisel verileri sanal ortamda güvence alabilmeyi hedefliyor. AB sosyal ağlarda verilerinin geleceğini de gözeterek, vizyoner ve sürdürülebilir bir bilişim hukuku temennisini dile getiriyor.
AB’nin yeni yaklaşımı verilerin korunmasında bazı hedefler de belirliyor. Buna göre, yeni hukuki yapı bireylerin haklarını güçlendirecek ve yeni teknoloji kulalnımının bireysel özgürlüklerin ve ortak pazarın rekabetçi ortamının üzerindeki etkilerini dikkate alacak. Yeni sistem şeffaflık ilkesine dayanarak veri işlenmesinde kişilerin açık ve detaylı bir şekilde bilgilendirilmesini öngörecek. Kişiler kendi verileri üzerinde daha etkin bir denetim hakkına sahip olacak ve diledikleri takdirde unutulma hakkını kullanabilecekler. Veri minimizasyonu prensibi güçlendirilecek. Özellikle sosyal medya açısından önem taşıyan bu prensip ile unutulma hakkı kişinin verilerini dilediği takdirde silinmesini talep etmesini sağlayacak. Veri taşınabilirliği, kişilerin verileri bir uygulamadan diğerine taşımalarına olanak verecek. Bu noktada hukuk, kişilerin veri haklarına yönelik bilinçlenmesini de destekleyecek. Başta gençler olmak üzere, internet ortamında sosyal iletişim ağlarında kendilerine ait verileri çoğu zaman sonuçlarını düşünmeyerek paylaşan herkesin veri korunması hakkında bilgilendirilmesi, bütçe sağlanırsa AB fonları ile gerçekleştirilecek. Veri işleme kişilerin kendi rızaları ile mümkün olabilecek. Rıza verme sürecinde kişileri koruyan ve kollayan bir yaklaşım kabul edilecek. Hassas bilgilerin korunması, özellikle kişilerin etnik kökenleri, siyasi görüşleri, dini ve felsefi inançları, sahip oldukları üyeliklerin listesi, genetik gibi sağlıkla ilgili veya cinsel tercihlerine yönelik bilgileri halihazırda zaten koruma altında ancak teknolojik gelişmeler ışığnda bu verilerin hassasiyeti güvence altına alınacak. Uluslar-üstü hukukun en büyük sorunu kurallara uymayanlara yönelik yaptırımları hayata geçirebilme yeteneğine sahip olamamaktan kaynaklanırken, AB kendi üst mahkemesi olan Avrupa Toplulukları Adalet Divanı ile bu alanda ayrıcalıklı bir yere sahip.
Sosyal medyada kişilesel verilerin korunmasına yönelik tehditler, kullanıcı profili oluşturma araçları, sistemin sağladığı veri biriktirme yeteneği ile sosyal iletişim ağında yer alan kişilerin verilerini saklayabilen platformlar, veri paylaşımına ve özellikle fotoğraflar ile görsel materyallerin biriktirilmesine imkan veren uygulamalar, yüz tanıma, teşhis, içerik temelli görsel arama ve kişilerin birbirlerini takip etmelerini sağlayan “tagging” uygulamalarından kaynaklanıyor. İnsanalr bu özellikleri üye oldukları ağın marifetleri olarak nitelendirirken, kendi kişisel deneyimlerini olabildiğince çok kanıta dayanarak, çoğu zaman fotoğraflar ile belgeleme yoluna gidiyorlar. Var olmak istiyorlar veya var olduklarının altını çizmek. Sosyal medya insanların varlık taleplerine cevap veriyor, onları sonsuz bir kisisel veri denizine davet ediyor. Bu davet çoğu zaman kişisel verilerden, mahremiyet ve haklardan hiç bahsetmiyor. AB ise bu hakları unutturmamak için veri korunmasında yeni bir dönem başlatmak istiyor.
Boğaziçi Üniversitesi Yard. Doç. Dr. Aslı Deniz Helvacıoğlu Kuyucu
Boğaziçi Üniversitesi - asli.helvacioglu@boun.edu.tr
[i] T. Jones ve C. Dewing (2010) “FutureAgenda 2020 Yılında Dünya”, Vodafone, Istanbul
[ii] R. Rannenberg, D. Resyer ve A. Deuker (2009) “The Future of Identity in the Information Society”, Springer, New York.
[iii] Avrupa Komisyonu (2010) Avrupa Parlamentosu, Konsey, Ekonomik ve Sosyal Komite ve Bölgeler Komistesinden Bildiri: Avrupa Birliği’nde Kişisel Verilerin Korunmasına Yönelik Kapsamlı bir Yaklaşım, COM(2010) 609 final, Brüksel.
