Kişisel verilerin korunmasıyla ilgili uluslararası bağlayıcı nitelikteki ilk belge, Türkiye’nin de kurucu üyeleri arasında yer aldığı, Strazburg merkezli Avrupa Konseyi tarafından imzaya açıldı.
Konseyin 1970’li yıllarda başlattığı çalışmaları neticesinde ortaya çıkan 108 sayılı Sözleşmenin 1981’de imzaya açıldığı 28 Ocak günü, Konseyce veri koruma hakkıyla ilgili farkındalık uyandırmak için Uluslararası Veri Koruma Günü ilan edildi.
İlk imzacıları arasında Türkiye’nin de yer aldığı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, yaşamın her alanında kişisel verilerin kullanılması, toplanması, işlenmesine karşı özel hayatı korumayı, gerçek kişilerin temel hak ve özgürlüklerini güvence altına almayı hedefledi.
Avrupa Konseyi, bir süre önce yeni bilgi ve iletişim teknolojilerinin kullanımından kaynaklanan zorluklarla başa çıkmak amacıyla Sözleşmeyi modernize etti.
Bu çerçevede Konsey, son yıllarda kişisel verilerin siyasi kampanyalar tarafından ve istatistiksel amaçlarla kullanılması ile işlenmesi, yüz tanıma yönergeleri, siber uzayda kullanıcı korumasını ve güvenliğini iyileştirme, internette ve çevrim içi medyada mahremiyet ile kişisel verilerin muhafaza edilmesi, dijital ortamda çocukların mahremiyetinin korunması gibi alanlarda çalışmalar yapıyor.
Avrupa Konseyinin karar alma organı Bakanlar Komitesinin üye devletlere, profil oluşturma bağlamında kişisel verilerin otomatik olarak işlenmesi, genetik testlerden elde edilen veriler de dahil olmak üzere, sigorta amaçlı kişisel sağlıkla ilgili verilerin işlenmesi, sosyal ağ hizmetlerinde ve arama motorlarında insan haklarının korunması gibi konularda tavsiye kararları bulunuyor.
Konsey ayrıca, ikili veya bölgesel iş birliğine ilgi duyduğunu ifade eden üye ülkelere veri koruma alanında hukuki ve teknik yardım sağlamayı amaçlayan bir dizi projesi uyguluyor.
Avrupa Birliği’nde veri koruma
Avrupa ve ötesinde 40 yılı aşkın süredir veri koruma alanındaki çalışmaları şekillendiren 108 sayılı Sözleşme, alandaki tek bağlayıcı uluslararası araç olma özelliğini korurken, AB de kendi içerisinde Sözleşmeden esinlenerek genel bir yönetmelik hazırlamak için çalışmalara 1990’larda başladı.
24 Ekim 1995’te “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi” yayınlandı ancak üye ülkelerin tümü, Direktifte yer alan kuralları iç hukuklarına aktarmadığı için başarısız olundu.
Ayrıca bazı somut olaylar da Direktifin yenilenmesi ihtiyacını doğurdu. Bunlardan en bilineni “Schrems kararı” olarak anılan, AB Adalet Divanının 6 Ekim 2015’te verdiği karar oldu.
Divan, AB yurttaşlarının kişisel verilerinin ABD’ye transferine izin veren “Safe Harbor” anlaşmasının geçersiz olduğuna hükmetti. Söz konusu dava Max Schrems isimli Avusturyalı bir hukuk öğrencisi tarafından, Snowden olayının ABD kurumlarının kişisel verilere erişmek için hukuku dolanma imkanına sahip olduğunu ortaya çıkarması üzerine açılmıştı.
Dolayısıyla AB, ülkelerin iç hukuka uygulaması sırasında farklılıkların ortaya çıkmadığı “Genel Veri Koruması Düzenlemesi” isimli yönetmeliği 24 Mayıs 2016’da kabul etti, yürürlük tarihi olarak 25 Mayıs 2018’i belirledi.
Yönetmeliğin göze çarpan en önemli özelliği, AB dışında faaliyet göstermesine karşın Birlik tüketicisini hedefleyen şirketleri de bağlamasıydı.
Yönetmelik, AB’nin veri koruma kurallarının uygulanıp uygulanmadığını denetlemek için Avrupa Veri Koruması Denetmenliği makamı oluşturdu.
AB, bu çerçevede 2020 sonu itibarıyla çoğu ulusal veri koruma otoritelerini desteklemek için olmak üzere toplam 6,3 milyon avroluk fon sağladı.
Uygulamada yeknesaklık konusu
AB söz konusu yönetmeliği kabul etse de kuralların Birlik genelinde uygulanması konusu sorun teşkil etmeyi sürdürdü.
Apple, Facebook, Google, Microsoft, Facebook gibi pek çok teknoloji şirketinin Avrupa’daki merkezlerine ev sahipliği yapan İrlanda’da faaliyet gösteren Sivil Özgürlükler Konseyi, Kasım 2021’de, AB Ombudsmanına şikayette bulundu.
Buna göre, İrlanda’nın ulusal denetleme otoritesi, AB yönetmeliğinin en zayıf halkasıydı ve veri koruma hukukunun denetimini yapmıyordu. Şikayette, AB Komisyonunun da veri koruma açısından kilit önemdeki bu ülkeyle ilgili duruma karşı sessiz kaldığı kaydedildi.
İrlanda Sivil Özgürlükler Konseyi, AB’de veri koruma kurallarının kağıt üzerinde kaldığını savundu.
Avrupa Parlamentosu da Komisyondan, İrlanda’ya karşı ihlal prosedürü başlatmasını istedi.
Üye ülkelerin görüşlerindeki farklılıklar nedeniyle çıkmaza giren diğer bir konu da Parlamento ve Konsey tarafından 2017’de kabul edilen ve genel yönetmeliğin çevrim içi iletişimi hedef alan bir parçası niteliğindeki e-Mahremiyet düzenlemesi.
Düzenleme, elektronik iletişim sektöründe özel hayata saygı, iletişimin gizliliği ve kişisel verilerin korunması başta olmak üzere temel hak ve özgürlüklerin korunmasını hedefliyor.
Öte yandan AB, yakın zamanda seçim kampanyaları için yeni kurallar belirlemişti. Buna göre, reklamın siyasi amaçla kullanıldığı ve kim tarafından finanse edildiği bilgisinin üzerinde açık şekilde belirtilmesi ve reklamlardaki kişilere ait etnik köken, dini eğilim gibi verilerin izinsiz kullanılmaması kararlaştırılmıştı.