ABAD C-169/23 KARARI: GDPR M.14/5-C VE DENETİM MAKAMININ YETKİ KAPSAMI

Okuma Süresi: 2 Dakika

ABAD C-169/23 KARARI: GDPR M.14/5-C VE DENETİM MAKAMININ YETKİ KAPSAMI

GENEL OLARAK

Avrupa Birliği Adalet Divanı’nın (ABAD) 28 Kasım 2024 tarihinde verdiği C-169/23 sayılı kararda; kişisel verilerin veri öznesinden alınmadığı hallerde uygulanacak Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) m.14/5-c istinasının uygulama alanı ve GDPR m.55, 57, 58, 77, 78’de düzenlenen denetim makamının inceleme kapsamının ne olduğu incelenmiştir.

SOMUT OLAY

Uyuşmazlık, Budapeşte Devlet Ofisi[1] (düzenleyici makam) ile UC adlı gerçek kişi arasında gerçekleşmiştir. Macaristan’da yürürlükte olan 60/2021 Kararname uyarınca, COVID-19’a karşı aşılanmış veya hastalığı geçirmiş kişilere bağışıklık sertifikası düzenleme yetkisi düzenleyici makama aittir.[2] UC’ye, aşılanmış olması nedeniyle bağışıklık sertifikası düzenlenmiştir.

UC, ulusal otoriteye[3] başvurarak düzenleyici makamın bağışıklık sertifikası hakkında işlemenin amacı veya yasal dayanağını belirtmediğini, kişisel verileri koruyucu bildirimde bulunmadığını ve ilgili kişilerin haklarını nasıl kullanacaklarını göstermediğini iddia etmiştir Düzenleyici makam ise amacın Kararname m.2’de yer aldığını ve yasal dayanağın GDPR m.6/1-e ve 9/2-i olduğunu belirtmiştir. Ayrıca, sertifika düzenlemek için gerekli verilerin başka bir kurumdan alındığını ifade etmiş ve GDPR m.14/5-c istisnası kapsamında bilgi paylaşma zorunluluklarının bulunmadığını savunmuştur.

Ulusal otorite, düzenleyici makamın itirazını kabul ederek işlemin GDPR m.14/5-c kapsamında olduğuna karar vermiş ve UC’nin talebini reddetmiştir. UC, bu karara karşı üst mahkemeye[4] başvurmuştur. Üst mahkeme ise GDPR m.14/5-c’nin sadece verilerin başka bir kurumdan alınması durumunda uygulanabileceğini belirtmiş ve düzenleyici makamın görevlerini yerine getirirken verileri kendisinin ürettiğine karar vererek istisnanın uygulanamayacağı sonucuna varmıştır. Şikayetçi lehine verilen bu karara karşı ulusal otorite, Yüksek Mahkeme’ye[5] olağanüstü itiraz yoluna başvurmuştur. Yüksek Mahkeme, GDPR m.14/1, 14/5-c, 32, 77 kapsamında ön karar (preliminary ruling) alınması için ABAD’a başvurmuştur.[6]

ABAD’IN OLAYA YAKLAŞIMI

ABAD temel olarak şu iki soruyu incelemiştir: (i) GDPR m.14/5-c’de yer alan istisnanın veri işleyen tarafından oluşturulan verilere uygulanıp uygulanmayacağını, (ii) Şikayetçinin, denetim makamından GDPR m.14/5-c uyarınca, üye devlet hukukunun veri sahibinin yasal menfaatlerini korumak için uygun tedbirleri sağlayıp sağlamadığını incelemesini talep etme hakkının olup olmadığı ve bu tedbirlerin GDPR m.32 kapsamında yorumlanıp yorumlanmayacağı.

İlk soru bakımından yapılan inceleme sonucunda, maddede herhangi bir yer almadığı ve veri işleyenin verileri ilgili kişiden elde etmemesinin yeterli olduğu belirtilmiştir. Verilerin, veri işleyen tarafından oluşturulmuş olması veya başka bir kişiden elde edilmesi önemli değildir. Her iki durumda da GDPR m.14/5-c uygulama alanı bulabilecektir.

İkinci soruda ise ABAD, şikayet prosedürü kapsamında GDPR m.14/5-c ve m.77/1 birlikte değerlendirildiğinde, denetim makamının, veri sorumlusunun tabi olduğu üye devlet hukukunda veri sahibinin yasal menfaatlerini korumak için uygun tedbirlerin alınıp alınmadığını inceleme yetkisine sahip olduğunu belirtmiştir. Ancak bu inceleme, GDPR m.32 uyarınca veri işleme güvenliği kapsamında değildir. [7]

KARARIN ETKİSİ

Bu karar, GDPR m.14/5-c’nin yorumlanması açısından önemli bir içtihat oluşturmuştur. ABAD, veri işleyenlerin kişisel verileri nasıl elde ettiklerinden bağımsız olarak, ilgili madde kapsamında bildirim yükümlülüğünün istisnalarını geniş yorumlamıştır. Ayrıca, denetim makamlarının yetki sınırlarını netleştirerek, veri sahiplerinin haklarını koruma mekanizmasını güçlendirmiştir. Böylelikle, ilgili kişilerin GDPR m.14/5-c kapsamında yerel düzenlemelerin yeterliliğine dair şikayette bulunmalarının önü açılmıştır.

Yazarın “ALGORİTMA HATASI SONUCU BAŞKASINA AİT BİLGİLERE ERİŞİM HAKKINDA KVKK KARARI” isimli yazı için bağlantıdan ulaşabilirsiniz.

19. Sayı’mızdaki konuk yazarlar Soner Canko ve Av. Burcu TÜMERtarafından yazılan “Açık Bankacılık Uygulamaları; Dünyada ve Türkiye’de Mevzuat Gelişmeleri”isimli yazıyı bağlantıdan okuyabilirsiniz.

[1] Budapest Főváros Kormányhvatala (Budapest Metropoltan Government Office)

[2] Info Curia Case-Law, https://curia.europa.eu/juris/document/document.jsf?text=&docid=292739&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=10702385 parag. 2 (Erişim tarihi: 01.12.2024).

[3] Nemzet Adatvédelm és Informácószabadság Hatóság (National Authority for Data Protection and Freedom of Information, Hungary)

[4] Főváros Törvényszék, (Budapest High Court, Hungary)

[5] Kúra (Supreme Court, Hungary)

[6] Data Guidance, “EU: CJEU publishes judgment on right to information in case of indirect personal data collection”, EU: CJEU publishes judgment on right to information in case of indirect personal data collection | News | DataGuidance (Erişim tarihi: 01.12.2024).

[7] Info Curia Case-Law, https://curia.europa.eu/juris/document/document.jsf?text=&docid=292739&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=10702385, parag. 74 (Erişim tarihi: 01.12.2024).