Dünyada büyük bir gürültüyle yayılan Kişisel Verilerin Korunması furyası her geçen gün yeni kanunlar, yeni yönetmelikler ve yeni mahkeme kararlarıyla hayatımıza yön vermeye devam ediyor. Son olarak Avrupa Adalet Divanı 2. Dairesi, geçtiğimiz Perşembe (4 Mayıs 2017) Rīgas davası için verdikleri kararla kişisel verilerin işlenmesi konusunda çok önemli ve ucu açık bir kavram olan meşru menfaat kavramını oldukça net bir şekilde açıkladı [1].
Karara konu olay Letonya’nın başkenti Riga’da gerçekleşiyor. Buna göre Riga’da tramvay yolu ile taksi güzergahının kesiştiği noktada taksinin kapısını tam tramvay geçerken açan bir müşteri ufak bir kazaya sebep oluyor. Rīgas Troleybüs Firmasının Tramvay’da oluşan zararın taksinin sigortası tarafından karşılanması talebi söz konusu sigorta şirketi tarafından kusurun müşteriye ait olması iddiasıyla reddediliyor. Bunun üzerine Rīgas, Letonya polisinden müşterinin bilgilerini talep ediyor. Letonya Polisi ise müşterinin sadece adını ve soyadını bildirip başka adres ve vatandaşlık numarası bilgisini iletmeyeceğini bildiriyor ve buna gerekçe olarak da Litvanya yasaları işaret ediliyor. Letonya Mahkemelerinde Rīgas aleyhine sonuçlanan olay Avrupa Adalet Divanı’na taşınıyor.
Avrupa Adalet Divanı konuyu doğal olarak 95/46 sayılı Direktif’in 7(f) maddesi kapsamında meşru menfaatin varlığını tartışarak karar bağladı. Direktif’in 7(f) maddesi;
“Direktifin birinci maddesinde korunan veri sahibinin temel hak ve hürriyetlerinin geçersiz kıldığı menfaatler dışında, verilerin açıklandığı üçüncü kişi ya da kişiler veya veri sorumlusu tarafından takip edilen meşru menfaatler amacı için gerekli olması.”
halinde verilerin işlenebileceğini ifade etmektedir.
Buna göre Avrupa Adalet Divanı meşru menfaatin hangi şartlarda gerçekleştiğini ortaya koymak belirlediği şartlar ve yine Mahkeme tarafından verilen cevaplar şu şekildedir:
- Veri Sorumlusu veya kişisel verilerin açıklandığı 3. Kişi ya da kişilerce takip edilen meşru menfaatin varlığı: Olayda 3. Kişinin mülkiyetinde olan bir araç açıkça zarar görmüş ve bu zararı veren kişiye rücu edilebilmesi için söz konusu kişinin kişisel verilerine erişmek ihtiyacı meşru bir menfaati oluşturur.
- Söz konusu meşru menfaat çerçevesinde kişisel verinin işlenmesinin gerekli olup olmadığı: Letonya polisi tarafından sadece kişinin isim ve soyadı bilgisinin bildirilmesi, o kişiyi tanımlayabilmek için yeterli olmadığından adres ve vatandaşlık numarasının bildirilmesi mutlak surette gereklidir.
- Kişisel verisi ifşa edilen kişinin bu fiil nedeniyle temel hak ve özgürlüklerinin zarar görüp görmediği: Bu noktada mahkeme olaya konu kişisel verinin ifşa edildiğinde, bu veriye kamu tarafından kolaylıkla erişilip erişilmeyeceği hususunu ve yine veri süjesinin yani müşterinin yaşının temel hak ve özgürlükler ile meşru menfaat dengesinin değerlendirilmesinde çok önemli olduğunu beyan etmiştir.
Sonuçta yukarıda saydığımız tüm şartları karşılayan olayla ilgili olarak Avrupa Adalet Divanı Rīgas Şirketi lehine karar vermiştir. Ancak bundan daha önemlisi, benzer olaylarda Avrupa Adalet Divanı’nın meşru menfaat kavramına nasıl yaklaştığı konusunda bize önemli ipuçları vermesi açısından çok değerlidir.
Ülkemizde ise bu karardan yaklaşık 1 ay önce İstanbul Bölge Adliye Mahkemesi 23. Hukuk Dairesi yine benzer bir konuda Avrupa Adalet Dvanı kararına paralel bir hükme imza atmıştır.
Karara konu olayda;
“Davacı vekili dava dilekçesinde, icra müdürlüğünden borçlunun pasif tapu kaydı sorgusu yapılmasını talep ettiklerini, borçlu şirket hakkında pasif tapu kaydı çıktığını ancak müdürlükçe taşınmazların hangi tarihte kime ne bedelle satıldıklarının sorulması taleplerinin reddedildiğini belirterek icra müdürlüğü işleminin iptalini talep etmiş, mahkemece davanın reddine karar verilmesi üzerine davacı tarafından dava dilekçesindeki sebeplerle istinaf isteminde bulunmuştur.”
İstanbul Bölge Adliye Mahkemesi 23. Hukuk Dairesi ise 2017/131 sayılı kararı ile “alacaklının hukuki menfaatinin, 3. şahısların Anayasa ile korunan özel hayatın gizliliğine ilişkin temel hakkından üstün tutulmasının mümkün olmadığı” gerekçesiyle kararı onamıştır.
Görüldüğü üzere Bölge Adliye Mahkemesi aslında kişisel veri konusunun (veri süjesi) verilerinin açıklanmasının temel hak ve özgürlükler ile kişisel verinin ifşası terazisinde temel hak ve özgürlükler aleyhine sonuç doğuracağı düşüncesiyle yerel mahkemenin kararını hukuka uygun bulmuştur. Görüldüğü üzere temelde meşru menfaatin değerlendirilmesi yöntemi birbirine benzerlik arz etmektedir. Bu anlamda 23. Hukuk Dairesi’nin bu kararı Avrupa Adalet Divanı kararında işaret edilen meşru menfaat ilkelerine paralellik göstermesi açısından kayda değerdir.
10 mayıs tarihli güncelleme : Makalenin ilk halinde sehven Avrupa İnsan Hakları Mahkemesi yazılmıştı. Bu daha sonra Avrupa Adalet Divanı olarak düzeltilmiştir. ( Court of Justice of the European Union (CJEU) – Europa.eu).
Kaynak : 