Genel Veri Koruma Tüzüğü (GDPR) Madde 23 Kapsamındaki Kısıtlamalara İlişkin 10/2020 Yönergeleri 13 EKİM 2021’DE KABUL EDİLMİŞTİR.
Avrupa Veri Koruma Kurulu (The European Data Protection Board-EDPB), aşağıdaki yönergeleri kabul etmiştir:
1. GİRİŞ
- Bu belge, GDPR Madde 23’ün uygulanmasına ilişkin rehberlik sağlamayı amaçlamaktadır. Bu yönergeler; kısıtlamaların uygulanma kriterlerinin, gözlenmesi gereken değerlendirmelerin, kısıtlama kaldırıldıktan sonra veri sahiplerinin haklarını nasıl kullanabileceklerinin ve GDPR Madde 23 ihlallerinin sonuçlarının kapsamlı bir analizini sağlar.
- Kişisel verilerin işlenmesiyle ilgili olarak gerçek kişilerin korunması temel bir haktır. Avrupa Birliği’nin İşleyişine İlişkin Antlaşma’nın 16(2). maddesi; Avrupa Parlamentosu’nu ve Konsey’i, kişisel verilerin korunması ve kişisel verilerin serbest dolaşımına ilişkin kuralları belirlemekle zorunlu kılar. GDPR, gerçek kişilerin hak ve özgürlüklerini ve özellikle veri koruma haklarını korur. GDPR’de belirtilen hak ve ilkelere bağlı kalmadan veri koruması sağlanamaz. Tüm bu hak ve yükümlülükler, veri koruma temel hakkının özünde yer almaktadır ve uygulanmaları genel kural olmalıdır. Özellikle, veri koruma temel hakkına herhangi bir sınırlama durumunda, Avrupa Birliği Temel Haklar Bildirgesi’nin 52. maddesine uyulmalıdır.
- GDPR’nin 23. maddesi bu zeminde okunmalı ve yorumlanmalıdır. Bu hükme “kısıtlamalar” ismi verilmiştir. Birlik veya Üye Devlet hukukunda; veri sahiplerinin hakları ve kontrolörlerin yükümlülükleri ile ilgili bazı hükümlerin uygulanması, orada listelenen durumlarda kısıtlanabilir. Kısıtlamalar, GDPR’de yer alan hakların kullanılmasına ve yükümlülüklerin uygulanmasına izin veren genel kuralın bir istisnası olarak görülmelidir. Bu nedenle; kısıtlamalar dar yorumlanmalı, yalnızca özel olarak sağlanan koşullarda ve sadece belirli koşullar karşılandığında uygulanmalıdır.
- İstisnai durumlarda dahi kişisel verilerin korunması bütünüyle kısıtlanamaz. GDPR’nin 23. maddesi uyarınca, Birlik’in bağlı olduğu demokrasinin kapsayıcı değerleri, hukuk kuralı ve temel haklar, tüm acil durum önlemlerinde desteklenmelidir: Üye Devletler tarafından alınan herhangi bir önlem; hukukun genel ilkelerine, temel hak ve özgürlüklerin özüne saygılı olmalıdır; geri alınamaz olmalıdır ve veri kontrolörleri ve veri işlemcileri veri koruma kurallarına uymaya devam etmelidir.
- Birlik veya Üye Devlet hukukunun, veri sahiplerinin hakları veya kontrolörlerin yükümlülükleri (ortak kontrolörler dahil) üzerinde kısıtlamalara izin verdiği tüm durumlarda, GDPR Madde 5(2)’de belirtilen hesap verebilirlik ilkesinin halen geçerli olduğu not edilmelidir. Bunun anlamı şudur: kontrolör; veri sahiplerine, AB veri koruma çerçevesinde uyumlu olduğunu (onların verilerinin işlenme ilkeleri de dahil) göstermekle sorumludur.
- AB veya ulusal yasa koyucu GDPR Madde 23’e dayalı kısıtlamalar getirdiğinde, Avrupa Birliği Temel Haklar Bildirgesi’nin 52(1). maddesinde belirtilen gereklilikleri karşıladığından emin olmalı ve kısıtlamaların kesinlikle gerekli olanlarla sınırlandırılması için orantılılık değerlendirmesi yapmalıdır.
2. KISITLAMALARIN ANLAMI
- Kısıtlamalar terimi GDPR’de tanımlanmamıştır. GDPR Madde 23 ve Gerekçe 73 sadece kısıtlamaların hangi koşullar altında uygulanabileceğini listeler.
- Bu yönergede kısıtlamalar terimi, yükümlülüklerin ve hakların herhangi bir şekilde sınırlandırılması olarak tanımlanacaktır. (GDPR’nin 12’den 22’ye kadar olan maddelerinde ve 34. maddesinde, ayrıca GDPR Madde 23 uyarınca 5. maddenin ilgili hükümleri kapsamında). Bireysel bir hakkın kısıtlanması, önemli amaçları korumalıdır. Örneğin, başkalarının hak ve özgürlüklerinin korunması veya Birliğin veya bir Üye Devletin genel kamu yararı amacı gibi. Bu nedenle, veri sahiplerinin haklarına ilişkin kısıtlamalar, yalnızca listelenen menfaatler tehlikede olduğunda ortaya çıkabilir ve bu kısıtlamalar bu tür çıkarları korumayı amaçlar.
- Sonuç olarak, kısıtlamanın gerekçelerinin açık olması gerekir. Yasal olması için: kısıtlamalar yasal bir şekilde sağlanmalı; veri sahiplerinin sınırlı sayıdaki haklarına ve/veya GDPR Madde 23’te listelenen kontrolör yükümlülüklerine ilişkin olmalı; söz konusu temel haklar ve özgürlüklerin özüne saygı duymalı; demokratik bir toplumda gerekli ve orantılı bir önlem olmalı ve aşağıda açıklandığı gibi GDPR Madde 23(1)’de belirtilen gerekçelerden birini korumalı.
- Ayrıca, GDPR Gerekçe 73’de belirtildiği gibi; kısıtlamalar, Avrupa Birliği Temel Haklar Bildirgesi ve Avrupa İnsan Hakları Sözleşmesi’nde belirtilen gerekliliklerle uyumlu olmalıdır.
- 23. maddede atıfta bulunulan kısıtlamalara ek olarak; GDPR ayrıca aşağıdaki belirli işleme durumları ile ilgili hükümler ortaya koymaktadır: Üye Devletlerin, veri sahiplerinin haklarını etkileyen muafiyetler veya istisnalar gibi (örneğin GDPR Madde 85 veya 89) konularda kanunla özel hükümler sunabilmesi. Ancak bu yönergeler bu durumları ele almamaktadır.
- Madde 12’den 22’ye ve 34. maddede öngörülen yükümlülük ve hakların kapsamının sınırlandırılması farklı biçimler alabilir ancak hiçbir zaman tüm hakların genel olarak askıya alınması noktasına ulaşamaz. GDPR’nin 23. maddesi kapsamında kısıtlamalar getiren tedbirler; aynı zamanda, bir hakkın kullanılmasının geciktiğini, bir hakkın kısmen kullanıldığını veya belirli veri kategorileri ile sınırlandırıldığını veya bir hakkın bağımsız bir denetim makamı aracılığıyla dolaylı olarak kullanılabileceğini öngörebilir.
3. GDPR MADDE 23(1) GEREKLİLİKLERİ
- GDPR Madde 23(1), aşağıda ayrıntıları verilen bir dizi gereksinimi listeler. Bir tedbirin hukuken güvenilir olması için tüm bu gereksinimlerin karşılanması gerekir.
3.1 TEMEL HAK VE ÖZGÜRLÜKLERİN ÖZÜNE SAYGI
14) Veri koruma hukukunun temel amaçlarından biri, veri sahiplerinin onları ilgilendiren kişisel veriler üzerindeki kontrolünü artırmaktır. Herhangi bir kısıtlama, kısıtlanan hakkın özüne saygı duyacaktır. Bu, temel bir kuralı geçersiz kılacak ölçüde kapsamlı ve müdahaleci kısıtlamaların haklı gösterilemeyeceği anlamına gelir. Her durumda, Avrupa Birliği Temel Haklar Bildirgesi’nde yer aldığı üzere, veri sahiplerinin haklarının tüm veya belirli veri işleme operasyonları veya belirli kontrolörler bakımından genel olarak hariç tutulması, kişisel verilerin korunmasına ilişkin temel hakkın özüne saygı duymamak olacaktır. Hakkın özünden taviz verilmesi halinde, kısıtlama hukuka aykırı sayılır ve genel çıkar amacına hizmet edip etmediğini veya gereklilik ve orantılılık kriterlerini karşılayıp karşılamadığını daha fazla değerlendirmeye gerek kalmaz.
15) Bu kontrolü garanti altına almak için veri sahiplerinin veri koruma hakkı kapsamında birtakım hakları bulunmaktadır ve kontrolörün veri sahibine karşı birtakım yükümlülükleri vardır. GDPR Madde 23 bu zeminde okunmalı ve yorumlanmalıdır.
3.2 KISITLAMALARI VE ÖNGÖRÜLEBİLİR OLMA İHTİYACINI ORTAYA KOYAN YASAL ÖNLEMLER (GEREKÇE 41 VE CJEU İÇTİHAT HUKUKU)
16) Bir yasal önlemin gerekliliği, kontrolörlerin sadece GDPR Madde 23 tarafından sağlanan bir kısıtlamaya (ki bu kısıtlamanın sınırı Birlik veya Üye Devlet kanununda belirtildiği kadardır) güvenebilmelerini gerektirir. İlgili yasal önlem olmadan, kontrolörler GDPR Madde 23’de listelenen gerekçelere doğrudan dayanamazlar. GDPR Gerekçe 41 şunları belirtir: “Bu düzenlemenin yasal bir temele atıfta bulunduğu durumlarda, Üye Devletin anayasal düzeni uyarınca gerekliliklere önyargısız yaklaşan bir parlamento tarafından mutlaka kabul edilen bir yasama eylemini gerektirmez. Ancak, böyle bir yasal dayanak veya yasal önlem açık ve kesin olmalıdır ve uygulanması, Avrupa Birliği Adalet Divanı ve Avrupa İnsan Hakları Mahkemesi içtihatlarına uygun olarak, kendisine tabi olan kişilerce öngörülebilir olmalıdır.”
17) Avrupa Birliği Temel Haklar Bildirgesi’nin 52(1) maddesine göre, hak ve özgürlüklerin kullanılmasına ilişkin herhangi bir sınırlama kanunla sağlanmalıdır. Bu, Avrupa İnsan Hakları Sözleşmesi’nin 8(2) maddesindeki “kanuna uygun olarak” ifadesini hatırlatmaktadır. Bu ifade sadece iç hukuka uygun demek değildir; aynı zamanda, eylemin niteliğine önyargısız yaklaşan hukukun üstünlüğüyle uyumlu ve hukuk kalitesiyle ilgilidir. Özellikle iç hukuk terimleri, bireylere koşulların yeterli bir göstergesini verebilmek ve kontrolörlerin bu tür kısıtlamalara başvurmaya yetkili olduğu koşulları belirtmekte yeterince açık olmalıdır. Üye Devletler tarafından uygulanabilecek herhangi bir kısıtlama için aynı katı standart uygulanmalıdır. GDPR, Avrupa Birliği Adalet Divanı (CJEU) ve Avrupa İnsan Hakları Mahkemesi’nin (AİHM) içtihat hukukuna uygun olarak, veri sahibi haklarının veya kontrolörün yükümlülüklerinin kapsamını kısıtlayacak yasal tedbirlerin alınmasının veri sahipleri için öngörülebilir olması elzemdir.
18) Her ne kadar herhangi bir yasal önlem her durumda izlenen amaca uyarlanmalı ve öngörülebilirlik kriterini karşılamalıysa da, GDPR Madde 23 kapsamındaki kısıtlamaların her zaman zamanla veya belirli bir dönemle sınırlanması gerekmemektedir.
a) Bazı durumlarda, kısıtlama özel olarak bir zaman dilimine bağlı değildir, çünkü yasama tedbiriyle güvence altına alınacak kısıtlamanın kendisi zamanla sınırlı değildir. Zorunluluk ve orantılılık ilkesi ışığında, bu tür yasal önlemler, demokratik bir toplumda temelli veya kalıcı olarak devam eden bir durumda koruma altına alınması gereken bir kısıtlama gerekçesi ile ilgilidir. Örneğin, Madde 12’den 22’ye ve Madde 34’de belirtilen, yargı bağımsızlığının korunmasını ve yargı kovuşturmalarını güvence altına almak için yükümlülük ve hakların kapsamını kısıtlamak, demokratik bir toplumda devam eden bir amacı yerine getirmek olarak kabul edilebilir ve bu nedenle zamanla sınırlı olmayabilir.
b) Diğer durumlarda, koruma altına alınması gereken kısıtlamanın gerekçesi kendi içinde zamanla sınırlıdır ve bu nedenle yasal önlem, öngörülebilirlik kriterini sağlayabilmek için bir süre sınırlaması sağlamalıdır. Örneğin; halk sağlığını korumak için bir olağanüstü hal durumunda kısıtlamalar uygulandığında; EDPB, kesin olarak sınırlı olmayan bir süre için uygulanan bu tür kısıtlamaların geriye dönük olarak uygulandığı veya tanımlanmamış koşullara tabi olduğu durumlar da dahil olmak üzere öngörülebilirlik kriterini karşılamadığını dikkate almaktadır.
19) Öngörülen kısıtlamalar ile izlenen amaç arasındaki bu bağlantı, ilgili yasal önlem veya ek belgelerle açıkça ortaya konmalı ve gösterilmelidir. Örneğin; yalnızca bir pandeminin varlığı, veri sahiplerinin haklarına herhangi bir kısıtlama getirmek için yeterli bir neden değildir; aksine, herhangi bir kısıtlama, Birliğin veya bir Üye Devletin genel kamu çıkarının koruma altına alınması amacına açıkça katkıda bulunmalıdır.
3.3 KISITLAMALAR İÇİN GEREKÇELER
20) Kısıtlamalar için yasal bir önlem alınabilmesi ve somut bir olayda kısıtlama uygulanabilmesi için, GDPR Madde 23(1)’de belirtilen aşağıdaki koşullardan bir veya birkaçının karşılanması gerekir. Bu liste kapsamlıdır; yani kısıtlamalar, aşağıda listelenenlerden başka hiçbir koşulda gerçekleştirilemez.
21) Öngörülen kısıtlamalar ile izlenen amaç arasındaki bağlantı yasal önlemde açıkça belirtilmelidir.
3.3.1 ULUSAL GÜVENLİK, SAVUNMA VE KAMU GÜVENLİĞİ
22) Veri sahibi haklarına yönelik bir kısıtlama, GDPR Madde 23(1)(a), (b) ve (c)’de belirtildiği üzere, Üye Devletlerin korunması amacıyla ulusal veya kamu güvenliğine ve/veya savunmasına neden olabilir.
23) Ayrıca, kamu güvenliği, özellikle doğal veya insan yapımı felaketlere karşı insan hayatının korunmasını içerir.
3.3.2 KAMU GÜVENLİĞİNE YÖNELİK TEHDİTLERE KARŞI KORUMA VE ÖNLEMEYİ DE İÇEREN, SUÇLARIN ÖNLENMESİ, SORUŞTURULMASI, TESPİTİ VE KOVUŞTURULMASI VEYA CEZAİ YAPTIRIMLARIN İNFAZI
24) Bazı durumlarda, soruşturma altındaki veri sahiplerine bilgi verilmesi, soruşturmanın başarısını tehlikeye atabilir. Bu nedenle GDPR Madde 23(1)(d) uyarınca, bilgi edinme hakkının veya diğer veri sahibi haklarının kısıtlanması gerekli olabilir. Bu, örneğin kara para aklamanın önlenmesi veya adli tıp laboratuvarlarının faaliyetleri çerçevesiyle alakalıdır.
25) Bununla birlikte, CIEU içtihat hukuku uyarınca, atlanan bilgiler, yürütülmekte olan soruşturmayı tehlikeye atması artık mümkün değilse bir kereliğine sağlanacaktır. Bu şu anlama gelir: veri sahibine mümkün olan en kısa sürede kişiye özel; erişim, düzeltme vb. gibi farklı hakların belirtildiği bir veri koruma bildirimi verilmelidir.
26) Ayrıca, kamu güvenliğinin korunması amacı, özellikle doğal veya insan kaynaklı afetlere karşılık olarak insan yaşamının korunmasını içerir.
3.3.3 GENEL KAMU YARARININ DİĞER ÖNEMLİ AMAÇLARI
27) GDPR Madde 23(1)(e), Birliğin veya bir Üye Devletin genel kamu çıkarının diğer önemli hedefleri olarak, parasal, bütçesel, vergilendirme konuları, halk sağlığı ve sosyal güvenlik konularından bahseder. Örneğin, genel kamu yararı nedeniyle tutulan kamu kayıtlarının saklanması veya arşivlenen kişisel verilerin eski totaliter devlet rejimlerindeki siyasi davranışla ilgili özel bilgiler sağlamak amacıyla daha fazla işlenmesi ile ilgili olabilir. Ancak, bilgi sağlamanın bir sonucu olarak ortaya çıkan maliyetler ve dolayısıyla kamu bütçeleri üzerindeki mali yük, veri sahiplerinin haklarının kısıtlanmasında kamu çıkarını haklı çıkarmak için yeterli değildir.
Örneğin; Doğrudan Vergi İdaresi, Vergi İdaresi tarafından yürütülen bir soruşturma altında bulunan veri sahibinin erişim hakkına, bu erişimin devam eden soruşturmayı tehlikeye atacağı ölçüde kısıtlamalar getirebilir. Ancak bu kısıtlama, spesifik soruşturma için gerekli olan süre ile sınırlı olmalıdır ve Vergi Dairesi soruşturmayı kapatır kapatmaz kaldırılmalıdır. Veri sahibi gecikmeksizin kontrolörün kararındaki gerekçeler ve erişim hakkını tekrar kullanabileceği tarih hakkında bilgilendirilmelidir. Ayrıca, ulusal hukukta öngörülmüşse, bağımsız bir otoritenin işlemin yasallığını kontrol edebilmesi için dolaylı erişim gibi uygun güvenceler sağlanmalıdır.
28) Kanunun erişilebilirliğinin genel kamu yararı amacını sağlamak için; bir kamu idaresi, takma adlı kişisel bilgilerin işlenmesine itiraz etme hakkına, taraflarca talep edilen ve ihtilafta teklif edilen tutarlar ve ayrıca tahsis edilen tutarlarda, temyizde verilen mahkeme kararlarında fiziksel yaralanmalarının tazmini olarak mağdurlara verilen tutarlarda kısıtlamalar getirebilir. Bu tür kısıtlamalar, GDPR Madde 23(2)’deki koşulların sağlanması ve özellikle aşağıdaki gibi güvencelerin uygulanması yoluyla gerçekleşebilir: tazminat tutarlarının yaklaştırılması, tarafların ad ve soyadlarının silinmesi ve işlenen kişisel verilerin takma adlaştırılması.
3.3.4 YARGI BAĞIMSIZLIĞININ VE YARGI İŞLEMLERİNİN KORUNMASI
29) GDPR Madde 23(1)(f) ayrıca, yargı bağımsızlığını ve yargı işlemlerini korumak için belirli veri sahiplerinin haklarını veya kontrolörlerin yükümlülüklerini kısıtlama ihtiyacını da öngörmektedir.
30) Bu kısıtlamaların kapsamı, bu konuları düzenleyen ulusal mevzuatla uyumlu hale getirilmelidir.
3.3.5 YASAL DÜZENLEMELERE TABİ MESLEKLER İÇİN ETİK İHLALLERİNİN ÖNLENMESİ, SORUŞTURULMASI, TESPİTİ VE KOVUŞTURULMASI
31) GDPR Madde 23(1)(g), yasal düzenlemelere tabi tıp doktorları ve avukatlar için etik ihlallerinden bahseder.
32) Bunlar, bir soruşturmanın ilke olarak ceza gerektiren suçlarla ilgili olmadığı durumlardır. Soruşturma ceza gerektiren bir suçla ilgiliyse, 3.3.2 maddesinde belirtilen gerekçe uygulanabilir.
3.3.6 GDPR MADDE 23’ÜN (a), (e) VE (g) BENTLERİNDE ATIFTA BULUNULAN DURUMLARDA, YETKİLİ MAKAMLARIN İZLEME, TEFTİŞ VEYA DÜZENLEYİCİ İŞLEVİ
GDPR Madde 23(2)(h)’de belirtilen kısıtlama gerekçesi, aşağıdaki durumlarda potansiyel bir sınırlamaya atıfta bulunur: 3.3.1 ila 3.3.3 numaralı ve 3.3.5. bentlerde atıfta bulunulan durumlarda, nadiren de olsa resmi makamın uygulamasına bağlı bir denetim veya izleme uygulaması veya düzenleyici bir işlev varsa.
3.3.7 VERİ SAHİBİNİN VEYA BAŞKALARININ HAK VE ÖZGÜRLÜKLERİNİN KORUNMASI
33) GDPR Madde 23(1)(i), veri sahibini veya diğer kişilerin haklarını ve özgürlüklerini korumayı amaçlayan bir kısıtlama gerekçesine atıfta bulunur.
34) Başkalarının hak ve özgürlüklerini korumaya yönelik bir kısıtlama; bir idari soruşturma ve/veya disiplin soruşturması veya bir işyerinde taciz iddiaları hakkında soruşturma örneğiyle gösterilebilir. Böyle bir durumda, bir yasal önlem, soruşturmaya veya disiplin kovuşturmasına konu kişinin erişim hakkına bir sınırlama getirebilir ve iddia edilen bir mağdurun veya tanık ihbarcının kimliği onu misillemeden korumak için ifşa edilemez. Mağdur veya tanığın erişim hakkı, bir soruşturmaya veya disiplin cezasına tabi olan kişinin mahremiyet ve veri koruma haklarına saygı göstermek için kısıtlanabilir.
3.3.8 MEDENİ HUKUK İDDİALARININ UYGULANMASI
35) GDPR Madde 23(1)(j) ayrıca, kısıtlamalar için bir gerekçe olarak medeni hukuk iddialarının uygulanmasını da içerir. GDPR Madde 23(1)(j), (potansiyel) bir davacının bireysel çıkarlarını korumaya yönelik sınırlamalara izin verirken; GDPR Madde 23(1)(f), uygulanabilir prosedür kurallarına ve mahkeme işlemlerini korumak için kısıtlamalara izin verir.
3.4 KISITLANABİLECEK VERİ SAHİPLERİ HAKLARI VE KONTROLÖRÜN YÜKÜMLÜLÜKLERİ
36) GDPR Madde 23 uyarınca, sadece Madde 12’den 22’ye, GDPR Madde 34 ve Madde 5 kısıtlanabilir. (Madde 12’den 22’ye kadar belirtilen hak ve yükümlülüklere karşılık gelen hükümler varsa)
37) Yükümlülüklere getirilen kısıtlamalar, bilgilerin işlenmesine ilişkin ilkelere getirilen kısıtlamalarla ilgilidir.
38) Haklara getirilen kısıtlamalar şunlarla ilgilidir: şeffaf bilgi edinme hakkı (GDPR Madde 12), bilgi hakkı (GDPR Madde 13 ve 14 GDPR), erişim hakkı (GDPR Madde 15), düzeltme hakkı (GDPR Madde 16), silme hakkı (GDPR Madde 17), işlemeyi kısıtlama hakkı (GDPR Madde 18), kişisel verilerin düzeltilmesi veya silinmesi veya işlenmesinin kısıtlanması ile ilgili bildirim yükümlülüğü (GDPR Madde 19), veri taşınabilirliği hakkı (GDPR Madde 20), itiraz hakkı (GDPR Madde 21), otomatik bir bireysel karar vermeye tabi olmama hakkı (GDPR Madde 22).
39) Diğer veri sahiplerinin hakları (örneğin denetim makamına şikayette bulunma hakkı (GDPR Madde 77)) veya diğer kontrolörlerin yükümlülükleri kısıtlanamaz.
3.5 GEREKLİLİK VE ORANTILILIK TESTİ
40) Kısıtlamalar, GDPR Madde 23(1)’de belirtildiği gibi, yalnızca demokratik bir toplumda gerekli ve orantılı bir önlem olduklarında yasaldır. Bu, kısıtlamaların GDPR1 ile uyumlu olması için bir gereklilik ve orantılılık testinden geçmesi gerektiği anlamına gelir. Gereklilik ve orantılılık testi, kanun koyucu bir kısıtlama getirmeye karar vermeden önce yapılmalıdır.
41) Korunması gereken amaç, önlemin gerekliliğinin değerlendirilebildiği zemini sağlar. Bu nedenle, önlemin gerekli olup olmadığına ilişkin değerlendirme yapabilmek için amacın yeterli ayrıntıda tanımlanması önemlidir.
42) Bu test karşılanırsa, öngörülen önlemin orantılılığı değerlendirilecektir. Taslak önlem gereklilik testini geçmezse, orantılılığını incelemeye gerek yoktur.
43) Gereklilik ve orantılılık testi, veri sahiplerinin hak ve özgürlüklere yönelik risklerinin değerlendirilmesini gerektirir. Veri sahiplerinin hak ve özgürlüklerine yönelik riskler, bu yönergede Madde 4.7’de detaylandırılmıştır.
44) Orantılılık ilkesine göre; yasama tedbirinin içeriği, GDPR Madde 23(1)(a) ila (j)’de sıralanan hedefleri korumak için, kesinlikle gerekli olan kadarını aşamaz.
45) Önerilen bir kısıtlama önlemi; çözülmesi gereken sorunu tanımlayan kanıtlarla, nasıl ele alınacağıyla ve neden mevcut veya daha az müdahaleci önlemlerle yeterince ele alınamayacağının kanıtlarıyla desteklenmelidir.
46) Örneğin; kısıtlamalar olağanüstü bir durumda halk sağlığının korunmasına katkıda bulunursa, EDPB kısıtlamaların kesinlikle kapsam ve zaman olarak sınırlandırılması gerektiğini düşünmektedir (Örneğin; amaç, veri sahibi ile ilgili haklar veya ilgili kontrolör kategorileri). Özellikle olağanüstü hal dönemi ile sınırlı olmalıdır. Veri öznesi hakları kısıtlanabilir ancak reddedilemez.
4. GDPR MADDE 23(2) GEREKLİLİKLERİ
47) CJEU içtihat hukukuna göre, GDPR Madde 23(1) temelinde kabul edilen herhangi bir yasal önlem özellikle GDPR 23(2) maddesinde belirtilen özel gerekliliklere uygun olmalıdır. Kural olarak, aşağıda ayrıntıları verilen tüm gereksinimler, GDPR madde 23 GDPR kapsamında kısıtlamalar getiren yasal önlemin içinde yer almalıdır.
48) Bu kuralın istisnası olarak, GDPR Madde 23(2)’de kişilerin haklarının kısıtlanmasını öngören yasal önlemle ilgisiz bir veya daha fazla hüküm, kanun koyucu tarafından usulüne uygun olarak gerekçelendirilmelidir.
49) GDPR Madde 23(2)(a), işleme amaçlarından veya işleme kategorilerinden, veri sahiplerinin haklarını veya kontrolörlerin yükümlülüklerini kısıtlayan herhangi bir yasal önlemde belirtilecek özel hükümlerden biri olarak bahseder.
50) Örneğin; düzenlenmiş mesleklerde etik ihlallerin önlenmesi ve soruşturulmasına ilişkin ulusal mevzuata göre; eğer bir kişinin soruşturma altında olduğu gerçeğinin açıklanması soruşturmanın amacına zarar verebilecekse, veri sahibine bilgi sınırlı bir süre için verilmeyebilir.
51) İşlemenin olası amaçları, bu yönergenin 3.3 numaralı maddesinde belirtilen kısıtlama gerekçeleriyle bağlantılı olmalıdır.
52) Bazen veri sahiplerinin haklarının kullanılması, kontrolörlerin işlevlerini yerine getirmelerine yardımcı olur.
4.1 KİŞİSEL VERİ KATEGORİLERİ
53) GDPR Madde 23(2)(b); kısıtlamalara tabi kişisel veri kategorilerinin, bu kısıtlamaları öngören yasal önlemde belirtilmesi gerektiğini ifade eder.
54) Aynı şekilde, özel kişisel veri kategorilerine ilişkin kısıtlamaların veri sahipleri üzerinde daha büyük bir etkisi olabilir ve bu nedenle, böyle bir kısıtlamayı belirleyen yasal önlem ilgili özel veri kategorilerinden bahsetmelidir.
4.2 KISITLAMALARIN KAPSAMI
55) GDPR Madde 23(2)(c), kısıtlamaların kapsamının da belirtilmesi gerektiğini belirtir; örneğin hangi haklarla ilgili ve bu haklar ne kadar sınırlandırılacak.
4.3 KÖTÜYE KULLANIMI VEYA YASA DIŞI ERİŞİMİ VEYA AKTARIMI ÖNLEMEK İÇİN ÖNLEMLER
56) GDPR Madde 23(2)(d) yasal önlemin, kötüye kullanımı veya yasa dışı erişim veya aktarımı içermesi gerektiğini belirtir.
57) Yasama tedbiri, kısıtlamalara ilişkin verilen bir kararı gözden geçirmek için periyodik tedbirlerle de ilgili olabilir.
4.4 KONTROLÖRÜN ÖZELLİKLERİ
58) GDPR Madde 23(2)(e)’ye göre, yasal önlem, kontrolörün kim olduğunu veya kontrolör kategorilerinin kimler olduğunu belirtmelidir.
4.5 DEPOLAMA SÜRELERİ
59) GDPR Madde 23(2)(f)’ye göre yasal önlem; saklama süreleri ve işleme amaçları veya işleme kategorilerinin niteliği ve kapsamını dikkate alan belirli bir hüküm içermelidir.
4.6 VERİ SAHİPLERİNİN HAK VE ÖZGÜRLÜKLERİNE YÖNELİK RİSKLER
60) GDPR Madde 23(2)(g)’ye göre yasal önlem, veri sahibinin haklarına yönelik riskleri ve kısıtlamaların getirdiği özgürlükleri içermelidir. Bu, kısıtlamaların gerekliliği ve orantılılık testine yardımcı olan çok önemli bir adımdır.
61) Veri sahiplerinin haklarına ve özgürlüklerine yönelik risklere ilişkin bu değerlendirmenin amacı iki yönlüdür. Bir yandan, kısıtlamaların veri konuları üzerindeki potansiyel etkisine ilişkin bir genel bakış sağlar. Diğer yandan, kısıtlamaların gerekliliği ve orantılılık testi için unsurlar sağlar. Bu bağlamda ve uygulanabilirse, bir veri koruma etki değerlendirmesi (data protection impact assessment-DPIA) düşünülmelidir.
62) Kanun koyucu, veri sahibinin hak ve özgürlüklerine yönelik riskleri, veri sahibinin bakış açısıyla değerlendirmelidir. Bir DPIA gerçekleştirmek her zaman zorunlu değildir, ancak veri sahiplerine yönelik somut riskler – örneğin ayrımcılığa yol açan hatalı profil oluşturma, insan onurunun azalması, konuşma özgürlüğü, mahremiyet ve veri koruması hakkı, savunmasız gruplar varsa yasal önlemde belirtilebilir.
63) Böyle bir değerlendirme sağlandığında, EDPB bunu gerekçelere veya mevzuatın açıklayıcı bildirisine veya etki değerlendirmesine dahil etmeyi gerekli görür.
4.7 KISITLAMA AMACINA AYKIRI OLMADIKÇA, KISITLAMA HAKKINDA BİLGİLENDİRİLME HAKKI
64) GDPR Madde 23(2)(h), kısıtlamanın amacına zarar vermediği sürece, veri sahipleri kısıtlama konusunda bilgilendirilecektir der. Bu amaçla, genel bir veri koruma bildirimi yeterli olabilir.
65) Örneğin, bir veri sahibinin özellikle çok hassas bir durumda belirli bir hakkı kullanmayı talep etmesi durumunda, veri sahibi, mümkünse, kısıtlama nedenleri hakkında bilgilendirilmelidir. Ancak, kısıtlamanın sebeplerinin ilgili kişiye bildirilmesi kısıtlamanın etkisinin iptal edilmesine yol açacaksa bu bilgiler ifşa edilemez.
66) Başka bir deyişle, olağanüstü durumlarda, örneğin bir davanın ilk soruşturma aşamalarında, veri sahibi soruşturulup soruşturulmadığı konusunda bilgi talep ederse, kontrolör o anda bu bilgiyi vermemeye karar verebilir.
67) Soruşturmanın veya soruşturmanın ön aşamasının tamamlanmasından sonraki bir aşamada, veri sahipleri bir veri koruma bildirimi almalıdır.
5. DENETİM OTORİTELERİ (SUPERVISORY AUTHORITY-SA) İLE GÖRÜŞME (GDPR MADDE 36(4) VE 57(1)(C))
68) Üye düzeyinde kısıtlamaların kabul edildiği GDPR Madde 36(4)’e göre, GDPR Madde 23 uyarınca Devletler tarafından kabul edilecek yasal önlemin kabul edilmesinden önce veya ulusal parlamento veya böyle bir yasal önlemi öngören düzenleyici bir önlemden önce SA’lara danışılacaktır.
69) Ayrıca, GDPR Madde 57(1)(c) uyarınca, koruma ile ilgili yasal önlemler hakkında tavsiyelerde bulunmak SA’ların görevleri dahilindedir.
70) Eğer SA’lara gerektiği gibi danışılmazsa, GDPR’nin 58(3)(b) maddesi uyarınca kendi inisiyatifleriyle ulusal parlamentoya, Üye Devlet hükümetine veya Üye Devlet yasalarına uygun olarak diğer kurum veya kuruluşlara ve ayrıca kişisel hakların korunmasına ilişkin herhangi bir konuda kamuoyuna görüş bildirebilirler.
71) Ek olarak, ulusal düzeydeki veri koruma mevzuatı, veri koruma ile ilgili özel prosedürler belirleyebilir. Bu, yalnızca GDPR ile uyumluysa söz konusu olabilir.
6. ÜYE DEVLET TARAFINDAN GDPR MADDE 23 GEREKLİLİKLERİNİN UYGULANMAMASI
72) Avrupa Komisyonu, Antlaşmaların Koruyucusu olarak AB’nin birincil ve ikincil hukuk uygulamasını izlemekle, onun AB genelinde tek tip uygulanmasını sağlamakla ve ulusal önlemlerin AB yasalarına uymadığı durumlarda harekete geçmekle yükümlüdür.
73) Ayrıca, AB hukukunun üstünlüğü ilkesine göre, “AB hukukuna aykırı ulusal hukuku yürürlükten kaldırma görevi” sadece ulusal mahkemelerin değil, aynı zamanda devletin tüm organlarının da görevidir.
7. KONTROLÖRLER VE İŞLEMCİLER İÇİN ÖZEL UNSURLAR
7.1 HESAP VEREBİLİRLİK İLKESİ
74) Hesap verebilirlik ilkesi (GDPR Madde 5(2)) ışığında ve kayıtların bir parçası olmamasına rağmen GDPR Madde 30 kapsamında gerekliyse, kontrolörün somut davalar üzerindeki kısıtlama uygulamalarının kaydını tutması iyi olur.
75) Kontrolörün bir veri koruma görevlisine (DPO) sahip olması durumunda, veri sahibi hakları yasal önlem uyarınca kısıtlandığında DPO gecikme olmaksızın bilgilendirilmelidir.
7.2 KISITLAMANIN KALDIRILMASINDAN SONRA İLGİLİ KİŞİNİN HAKLARININ KULLANDIRILMASI
76) Kontrolör, onları haklı kılan koşullar ortadan kalkar kalkmaz kısıtlamaları kaldırmalıdır. Veri sahipleri bu andan önce kısıtlamalar hakkında henüz bilgilendirilmemişlerse, en geç kısıtlama kaldırıldığında bilgilendirilmelidir.
77) Bir kısıtlamanın uygulanması sırasında, veri sahiplerinin kısıtlı olmayan tüm haklarının kullanılmasına izin verilebilir.
78) Kısıtlama kaldırıldığında (bu, 5. bölümde belirtilen kayıtta belgelenmelidir) veri sahipleri tüm haklarını kullanabilir.
79) Kontrolör, kısıtlama kaldırıldıktan sonra veri sahiplerinin haklarını kullanmasına izin vermiyorsa, veri sahibi kontrolöre karşı SA’ya şikayette bulunabilir.
7.3 BİR KONTROLÖR TARAFINDAN BU TÜR KISITLAMALAR GETİREN BİR YASAL ÖNLEMİN GÖZETİLMEMESİ
80) GDPR Madde 23 kapsamında kısıtlamalar getiren yasal önlemler GDPR ile uyumlu olduğu halde bir kontrolör tarafından ihlal edilirse, SA’lar danışma, soruşturma ve düzeltici yetkilerini kullanabilirler.
81) GDPR Madde 58(1) ‘de öngörülen yetkilere uygun olarak, SA’lar aşağıdaki soruşturma yetkilerine sahiptir:
– Kontrolörü ve işlemciyi ve uygun olduğunda kontrolörün veya işlemcinin temsilcisinin görevlerini yerine getirmesi için ihtiyaç duyduğu her türlü bilgiyi sağlamak;
– Veri koruma denetimleri şeklinde soruşturmalar yürütmek;
– GDPR’nin iddia edilen bir ihlalini kontrolöre veya işlemciye bildirmek;
– Kontrolörden ve işlemciden, görevlerin yerine getirilmesi için gerekli tüm kişisel verilere ve tüm bilgilere erişim elde etmek;
– Herhangi bir veri de dahil olmak üzere kontrolörün ve işlemcinin herhangi bir tesisine erişim elde etmek.
82) Düzeltici önlemlerin uygulanması gerekiyorsa, SA’lar GDPR Madde 58(2) uyarınca şunları yapabilir:
-Bir kontrolöre veya işlemciye, amaçlanan işleme operasyonlarının GDPR hükümlerini ihlal etmek üzere olduğunun uyarısını vermek;
-GDPR hükümlerini ihlal eden işletme operasyonlarında bir kontrolöre veya işlemciye kınama vermek;
-Kontrolöre veya işlemciye, veri sahibinin GDPR uyarınca haklarını yerine getirme taleplerine uymasını emretmek;
-Kontrolöre veya işlemciye, işleme operasyonlarını GDPR hükümlerine uygun hale getirmesini emretmek;
-Kontrolörün kişisel veri ihlalini veri sahibine iletmesini emretmek;
-İşleme yasağı da dahil olmak üzere geçici veya kesin bir sınırlama getirmek;
-Kişisel verilerin düzeltilmesini veya silinmesini veya işlemenin kısıtlanmasını emretmek;
-İdari para cezası vermek;
– Üçüncü bir ülkedeki veya uluslararası bir organizasyondaki bir alıcıya veri akışının askıya alınmasını emretmek.
83) GDPR Madde 58(3)’te öngörülen danışma yetkileriyle ilgili olarak SA’lar şunları yapabilirler:
-Önceki danışma prosedürüne uygun olarak kontrolörlere tavsiyede bulunmak;
-Üye Devletin kanunları ön izin gerektiriyorsa, GDPR Madde 36(5)’te atıfta bulunulan işlemeye izin vermek.
Ayrıca bakınız, Çok Yakında Güneşli Günler: Paris İklim Anlaşması