T-557/20 – SRB/EDPS - Avrupa Mahkemesi Karar Özeti

Son güncellenme 
T-557/20 – SRB/EDPS - Avrupa Mahkemesi Karar Özeti

Soru: Psödonim (takma ad) veri kişisel veri midir, anonim veri midir?

İlgili hükümler: GVKT Art. 4 No. 1

Özet: Psödonim veri her zaman kişisel veri olmak zorunda değildir, bilakis psödonim veri anonim veri de olabilir.

1. SRB tarafından bir bankanın tasfiyesi aşamasında gerçek kişilere ilişkin değerlendirmeleri içeren ve alfanümerik kodla tanımlanmış veriler Deloitte firmasına aktarılmıştır. EDPS söz konusu verileri psödonim olmaları sebebiyle kişisel veri olarak değerlendirmekte, SRB ise Deloitte’ın ilgili kişileri alfanümerik kod ile belirlenebilir kılma imkanının bulunmaması sebebiyle mevcut olayda anonim verinin söz konusu olduğunu iddia etmektedir.

2. Avrupa Mahkemesi nezdinde görülen davada uygulanacak mevzuat, GVKT değil, Birlik otoritelerinin kişisel veri işleme faaliyetlerini düzenleyen 2018/1725 no.lu Tüzüktür. Bununla birlikte ilgili Tüzük kapsamında yer verilen kişisel veri tanımı ile GVKT kapsamında yer verilen kişisel veri kavramı aynıdır. Dolayısıyla Mahkemenin değerlendirmeleri GVKT açısından da aynı şekilde geçerlidir.

3. Kişisel veri nedir?

Bilgi içerik, amaç veya etki açısından belirli bir kişiyle bağlantılı ise kişisel veri söz konusudur. Bu sebeple şahsi bir değerlendirme, bir görüşün de kişisel veri niteliğini haiz olup olmadığı noktasında söz konusu değerlendirmenin içerdiği bilginin içerik, amaç ya da etkisi bakımından gerçek kişiyi belirlenebilir kılıp kılmadığının değerlendirilmesi gerekmektedir.

4. Veri sorumlusu tarafından alfanümerik kod ile iletilen bilgi, belirli kişiye ilişkin bir bilgi midir? Hayır.

Peki aynı veri, belirlenebilir kişiye ilişkin bilgi teşkil eder mi?

-Gerçek kişiyi belirlenebilir kılmak için gerekli tüm bilgilerin tek bir kişinin elinde toplanması zorunluluğu söz konusu değildir. Dolayısıyla psödonim verinin bir kişide, tanımlamaya yarayan bilginin ise diğer bir kişide bulunması da kişiyi belirlenebilir kılmak için kural olarak yeterlidir.

-Psödonim veriyi elinde bulunduran kişi veriye konu olan gerçek kişiyi belirlenebilir kılmak için gerekli bilgiye erişebiliyor mu? Söz konusu erişim imkanı 1) hukuken mevcut mu? 2) Fiilen mevcut mu? Bu bağlamda belirlenebilir kılmak için gerekli olan ek bilgiye ulaşım özellikle zaman, masraf ve iş gücü açısından orantısız bir emek gerektiriyorsa, artık de facto önemsiz bir yeniden belirlenebilir kılma riski söz konusu olacaktır.

-Somut ihtilafta üçüncü taraf sıfatıyla Deloitte’a aktarılan veriler açısından EDPS tarafından belirlenebilir kılınma rizikosuna dair herhangi bir araştırma yapılmadığı için ilgili kurum tarafından yapılan değerlendirmenin hatalı olduğu sonucuna ulaşılmıştır.

Sonuç: Belirlenebilirlik kavramı nisbi bir kavramdır. Buna göre aynı veri, bir taraf için kişisel veri niteliğini haiz iken diğer bir kişi açısından anonim veri niteliğini taşıyabilecektir. Nitekim önemli olan, söz konusu veriyi işleyen tarafın bu verileri ek verilerle birleştirip ilgili kişileri belirlenebilir kılma imkanının hukuken ve fiilen mevcut olup olmadığıdır. Şayet böyle bir imkan varsa artık kişisel veriden bahis açılabilecek, aksi takdirde anonim veri gündeme gelecektir.

Türk Hukuku Açısından Değerlendirme

“Dinamik IP-adresi kişisel veridir!” şeklinde karşılaştığımız galat-ı meşhurun ne kadar yanlış bir ifade olduğunu açıkça gözler önüne seren bir karar. Nitekim Breyer kararında açıkça ifade edilmemiş olsa da, bu karar ile birlikte artık belirlenebilirlik kavramının nisbi bir kavram olduğu, her bir veri sorumlusu özelinde değerlendirme yapılması gerektiğini belirten bir karar. Özellikle verilere tedavül niteliğini kazandırmayı amaçlayan Data Act ile Data Governance Act düzenlemeleri açısından da çok önemli bir karar. Nitekim anonim veri şartlarını teknik açıdan neredeyse imkansız hale getiren ENISA ve EDPB rehberlerinden sonra artık anonim veriden bahis açılması neredeyse imkansız hale gelmişti. Dolayısıyla veriden katma değer elde etmek de bir o kadar zorlaşmıştı. Bu karar sayesinde anonim veri ve kişisel veri ayırımının biraz daha netleştiğini, piyasadaki aktörlere biraz daha hukuk güvenliği sağlandığını söylemek mümkündür.