Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija – C-683/21
Olay:
Litvanya Sağlık Bakanlığı, Bakanlık bünyesindeki Ulusal Kamu Sağlığı Merkezine Covid-19 pandemisi esnasında derhal virüsün yayılımını tespit etmeyi amaçlayan bir yazılım tedarik etmesi konusunda talimatlandırmıştır. Bunun üzerine Sağlık Merkezinden bir yetkili, bir yazılım firmasına mail gönderip, kendilerini bu konuda seçtiklerini belirtir ve geliştirilmesi istenen ürüne dair bazı özellikleri bildirir. Yazılımın geliştirilmesi esnasında ayrıca bir aydınlatma metni hazırlanır ve aydınlatma metninde hem Ulusal Sağlık Merkezi, hem de ilgili yazılım firması veri sorumlusu olarak zikredilir. 2020 yılının Nisan ve Mayıs aylarında 3802 kişi ilgili uygulamayı kullanıp bazı kişisel verilerini uygulamayla paylaşır. Ardından Sağlık Bakanlığı her ne kadar ürünün satın alınması için Ulusal Sağlık Merkezine talimat vermiş olsa da, kamu ihale süreci, yeterli finans kaynağının bulunmaması sebebiyle Ulusal Sağlık Merkezi tarafından iptal edilir ve ürün satın alınmaz; ayrıca Ulusal Sağlık Merkezi, bilişim firmasına ilgili uygulama kapsamında isminin zikredilmemesini belirtir. Ardından Veri Koruma otoritesi, kişisel verilerin hukuka aykırı işlenmesi sebebiyle Ulusal Sağlık Merkezine 12.000 €, yazılım firmasına da 3.000 idari para cezası uygulamıştır. Bunun üzerine Ulusal Sağlık Merkezi, ilgili kararı idare mahkemesine taşımıştır. Buna göre Merkez, kendisinin veri sorumlusu olmadığını iddia etmekte, yazılım firması ise veri işleyen sıfatıyla hareket ettiğini, dolayısıyla kendisine karşı bir yaptırım uygulanmasının söz konusu olmayacağını iddia etmektedir.
İdare Mahkemesi, yazılım firmasının ilgili yazılım ürününü geliştirdiğini, ancak içeriğin Ulusal Sağlık Merkezi tarafından belirlendiğini, ancak kamu ihale sürecinin tamamlanmadığını, dolayısıyla yazılım firmasına ihale neticesinde nihai bir görevin verilmediğini, ancak yazılımın amacının kamu sağlığını korumak olduğunu, ayrıca ürün geliştirilirken çalışanların telefon numaraları hariç hayali verilerin kullanıldığına işaret etmiştir. Bu doğrultuda yöneltilen ön soruda veri sorumlusu, ortak veri sorumlusu kavramlarının yorumlanması talep edilmiştir.
Veri Sorumlusu Kavramı:
Bu bağlamda Avrupa Birliği Adalet Divanı, Ulusal Sağlık Merkezi’nin ilgili yazılımın içeriğinin belirlenmesi, özellikle parametrelerin ayarlanması, sorulacak olan soruların tespit edilmesi gibi konularda söz sahibi olduğunu, dolayısıyla kendisinin amaç ve araç belirleme yetkisini haiz olduğunu tespit etmiştir. Buna karşılık ilgili kurumun aydınlatma metninde zikredilmesi ve mobil uygulamanın Ulusal Sağlık Merkezi’nin web sitelerine linkler içermesi başlı başına ilgili kurumu veri sorumlusu olarak nitelendirmek için yeterli değildir. Ayrıca Ulusal Sağlık Merkezi’nin kendi bünyesinde kişisel veri işlememesi, Merkez ile yazılım firması arasında bir sözleşme ilişkisinin kurulmamış olması, mobil uygulamanın Merkez tarafından satın alınmamış olması, bu uygulamanın çevrimiçi pazarlarda kullanılmasına onay vermemiş olması, Ulusal Sağlık Merkezi’nin veri sorumlusu olarak nitelendirilmesini ortadan kaldırmayacaktır (Kn. 32-35). Nitekim veri sorumlusu, sadece kendi bünyesinde gerçekleşen veri işleme faaliyetlerinden değil, kendi adına gerçekleştirilen veri işleme faaliyetlerinden de sorumludur. Bununla birlikte Ulusal Sağlık Merkezi’nin ilgili uygulama pazara sunulmadan önce bu duruma açıkça itiraz etmesi halinde artık veri sorumlusu sıfatı ortadan kalkacaktır. Bunun için üye ülke mahkemesinin gerekli araştırmayı yapması gerekecektir.
Ortak Veri Sorumlusu Kavramı:
Ortak veri sorumluluğu noktasında ise Divan, özellikle Yehova Şahitleri ve Wirtschaftsakademie Schleswig-Holstein kararlarına atıfta bulunarak ortan veri sorumlularının veri işleme süreçlerinin her aşamasında beraber hareket etmelerinin söz konusu olmayacağını vurgulamıştır. Bilakis veri işleme amaç ve araçlarına ilişkin belirleme yetkisi, veri işleme süreçlerinin farklı aşamalarına ilişkin taraflar arasında ayrıştırılmış olabilir. Ancak bu yetkinin ortak amaçla uyumlu olması şartı yine de aranmaktadır. Ayrıca taraflar arasında her ne kadar ortak veri sorumluluğuna ilişkin bir sözleşme akdedilmesi Art. 26 f. 1 GVKT’ye göre öngörülmüş olsa da, bu sözleşmenin olmaması, ortak veri sorumluluğunu ortadan kaldırmaz.
Kişisel Veri Kavramı:
Ürün geliştirme aşamasında kullanılan kişisel verilerin test amaçlı kullanımı da kişisel veri işleme faaliyeti teşkil etmektedir. Bununla birlikte bu esnada kullanılan “hayali” veriler sayesinde gerçek kişinin tespit edilmesi imkansız hale geliyorsa artık kişisel veriden bahis açılamayacaktır. Bu bağlamda özellikle sentetik veri uygulamaları kanaatimizce makine öğrenmesi çerçevesinde önemli bir alternatif olarak değerlendirilebilecektir.
Sorumluluğun Şartları:
Son olarak veri sorumluları, Deutsche Wohnen kararında da açıkça belirtildiği üzere ancak kusura dayalı bir fiillerinden dolayı idari para cezası yaptırımına maruz tutulabilecektir. Bu bağlamda veri sorumlusunun, veri işleyenin fiillerinden de sorumlu tutulması mümkündür. Ancak bunun için veri işleyenin kendisine çizilen sınırlar içerisinde hareket etmesi gerekmektedir. Bir diğer ifade ile veri işleyenin artık kendi amaç ve araçları belirleyerek veri işleme faaliyetinde bulunup, bu faaliyet sebebiyle GVKT hükümlerini ihlal etmesi halinde sorumluluk münhasıran veri işleyene ait olacaktır (Art. 28 f. 10 GVKT).