E-Bülten No: 2/2023

    Yehova’nın Şahitleri kararı, Kişisel Verilerin Korunması Hukukunun birçok temel konusunu ilgilendiren oldukça kapsamlı ve teknik bir karardır. ABAD aşağıda sıralanan çetrefilli soruları kararında ayrıntılı olarak ele almıştır: 

    1-Kişisel verilerin gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi (KVKK m. 28/1 ve 95/46/EC sayılı Direktif m. 3/2) istisnasının ne tür işleme faaliyetlerini kapsadığı,

    2- fiziksel olarak kayıt altına alınan verilerin hangi durumlarda bir veri kayıt sisteminin parçası olarak değerlendirilebileceği,

    3- Kişisel verilerin korunması hakkı ile din ve vicdan özgürlüğünün ve dernek kurma özgürlüğünün çatıştığı durumlarda iki temel hak arasında ne tür bir denge kurulması gerektiği,

    4- müşterek veri sorumlusu kavramı ve ortak veri sorumlularının yükümlülükleri. Bu konu bir önceki yazımızda (AVRUPA BİRLİĞİ ADALET DİVANI’NIN FASHION ID KARARI) ayrıntılı olarak incelendiği için burada ele alınmayacak kısaca üzerinden geçilecektir. 

                               Davanın Konusu

    Yehova’nın Şahitleri’nin yaygın biçimde kullandığı bir dini propaganda yöntemi olan mensuplarınca bizzat kapıdan kapıya giderek ev sahipleriyle yapılan görüşmeler esnasında kişilerle ilgili veriler dini grubun mensuplarınca anımsatıcı notların tutulması suretiyle işlenmektedir. Notlar, kişilerin isimleri ve adresleri ile dini inançları ve aile durumları hakkında bilgiler içermektedir. Veriler mensupların gerçekleştireceği sonraki ziyaretler için saklanmaktadır. Örneğin bir daha evlerine ziyaret yapılmamasını isteyen kişilerin verileri topluluğun diğer üyeleriyle paylaşılarak ziyaret edilmeyecek kişilerin listesi oluşturulmaktadır. Bu amaçla resmi bir form da kullanılmıştır. Aynı zamanda mensupların sorumluluk alanları aralarında bölüştürülerek haritalar oluşturulmakta ve sorumluluk bölgelerinde yaşayan kişilere sıkılıkla ziyaret yapılmaması için yapılan ziyaretlerin tarihi ve konumu gibi verilerin istatistiği tutulmaktadır. 

    Finlandiya veri koruma kurulu yukarıda özetlenen faaliyetlerin ilgili kişilere gerekli bilgilendirme yapılmaması ve rızalarının alınmaması nedeniyle veri işleme ilkelerine uymadığını saptayarak gerekli düzeltmeler yapılana kadar Yehova’nın Şahitleri’nin kişisel verileri toplaması yasaklanmıştır. Bahse konu dini topluluğun itirazı üzerine konu ön karar prosedürü ile ABAD’ın önüne gelmiştir.

    Yehova’nın Şahitleri’nin kapıdan kapıya ziyaret ve sonrasında kişisel verilerin işlenmesi faaliyetlerinin gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi istisnası kapsamında yer alıp almayacağı sorusuna yanıt olarak ABAD*, Direktifin amacının gerçek kişilerin temel hak ve özgürlüklerine yüksek düzeyde bir koruma sağlamak olduğu için istisnaların uygulama alanın dar bir şekilde yorumlanması gerektiğini belirtmiştir. ABAD’a göre 95/46/EC sayılı Direktifin 3(2) maddesinin 2. Alt fıkrasında zikredilen istisna yalnızca bireylerin özel ve aile yaşamları kapsamında yürütülen faaliyetleri kapsayacak şekilde yorumlanmalıdır. Bu bağlamda eğer işlemenin amacı toplanan verileri belirsiz sayıdaki kişilerin erişimine açmak ise ya da işleme faaliyeti kısmen dahi olsa kamuya açık alanları da kapsıyorsa ve kişisel verileri işleyen kişinin özel hayat alanının dışına yönelik ise tamamen bireysel ya da aynı konutta yaşayan aile fertleriyle ilgili olduğu kabul edilemez. Divan’ın bir bireyin evinin girişine güvenlik amacıyla yerleştirdiği kameranın görüş alanın kamuya açık yaya yolu ve karşı binanın girişini de kapsadığı Ryneš (11 Aralık 2014 tarihli ve C 212/13 sayılı Ryneš kararı, EU:C:2014:2428, paragraf 31 ve 33) kararında ve kilise de görevli bir çalışanın cemaat mensuplarının özel yaşamlarına ilişkin detayları internet ortamında paylaştığı Lindqvist (6 Kasım 2003 tarihli ve C 101/01 sayılı Lindqvist kararı, EU:C:2003:596, paragraf 47) kararına atıf yaparak veri koruma hukukunun uygulama alanı dışında bulunan istisnaları dar bir şekilde yorumlama içtihadını sürdürmüştür. 

    Yehova’nın Şahitleri’nin kapıdan kapıya ziyaret kapsamında topladıkları kişisel veriler tabiatı gereği grubun üyeleri olmayan yabancı kişiler nezdinde inançlarının yayılmasını sağlamaya yöneliktir. Dolayısıyla vaaz verme faaliyetlerine katılan mensuplardan ziyade dış dünyaya yönelik bir faaliyet olduğu için bireysel ya da aynı konutta yaşayan bireylere ilişkin olduğu söylenemez. 

    Ayrıca Divan’a göre bir daha ziyaret edilmek istenmeyen kişilere ilişkin verilerin topluluğun diğer mensuplarıyla paylaşılması nedeniyle veri sahiplerinin özel hayatlarına ilişkin verilerin potansiyel olarak sınırsız sayıda kişinin erişimine açılması söz konusudur. (paragraf 45)

    Divan ayrıca topluluk mensuplarının kapıdan kapıya vaaz vermek amaçlı ziyaretleri kapsamında işlenen verilerin din ve vicdan özgürlüğü kapsamında yer almakla birlikte vaaz veren topluluk mensubunun özel yaşam alanının dışını da kapsadığı için gene tamamen kişisel bir faaliyet olarak değerlendirilemeyeceği sonucuna ulaşmıştır.(Paragraf 50) 

    İkinci soruya yanıt olarak ABAD, mezkur Direktifin hem otomatik yöntemlerle hem de el yordamıyla kağıt ortamında yapılan işlemeleri kapsadığını, bireylere sağlanan korumanın yararlanılan tekniklere bağlı olmadığını aksi halde kişisel verilere sağlanan korumanın etrafından dolanma riskinin söz konusu olabileceğini belirtmiştir. Divan’a göre kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemin parçası olması ya da bir parçası olma amacının güdülmesi hallerinde el yordamıyla tutulan veriler de Direktifin uygulama alanı içerisine girmektedir.(Paragraf 53) Direktifin kapsama alanına girmesi için veri kayıt sisteminin içeriğinin kişisel verilere kolayca erişim sağlanmasını sağlayacak şekilde yapılandırılmış olması gerekmektedir. Veri Koruma Direktifinde 6698 sayılı Kanuna paralel bir tanım benimsenerek veri kayıt sistemi kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi şeklinde tanımlanmıştır. Divan’a göre bahse konu kriterler bireylere ilişkin olmalıdır. Kişisel verilerin belirli kriterlere göre yapılandırılması ile kişisel verilerin kolaylıkla bulunmasının amaçlanması gerekmektedir. (Paragraf 57) Özellikle belirtmek gerekir ki veri kayıt sisteminden bahsedilmesi için kişisel verilerin excel benzeri veri sayfalarında muhafaza edilmesi ya da spesifik listeler yahut diğer arama metotlarının kullanılması ön şart değildir. Somut olayda kişisel veriler kendilerine tahsis edilen coğrafi bölgelerde ulaşılan kişilerle ilgili sonraki ziyaretlerin organize dilmesi amacıyla hatırlatıcı notlar kullanılarak işlenmiştir. Notlar yalnızca iletişim kurulan kişinin inancına ilişkin sohbetlerin içeriği ile sınırlı olmayıp ilgili kişinin isim ve adresini de içermektedir. Ayrıca bu verilerin en azından bir kısmı ziyaret edilmek istenmeyen kişilerin bir listesinin oluşturulması amacıyla işlenmektedir. Yani kapıdan kapıya ziyaret kapsamında toplanan kişisel veriler toplama amaçlarıyla uyumlu bir amaç doğrultusunda yani müteakip ziyaretlerin planlanması ve ziyaret edilmemesi gereken kişilerin listelerinin çıkarılması amacıyla belirli kriterlere göre yapılandırılmaktadır. Bu bağlamda topluluğun mensuplarınca toplanan kişisel verilerin yapılandırıldığı spesifik kriterler ya da formların ne şekilde belirlendiğinin bir önemi yoktur. Burada önemli olan veri kayıt sisteminin spesifik bir kişiye ilişkin verilerin kolaylıkla bulunmasını sağlayıp sağlamadığıdır. 

    Yehova’nın Şahitleri kararının en ilginç boyutu hiç kuşkusuz din ve inanç özgürlüğü hakkı ile kişisel verilerin korunması temel haklarının karşı karşıya geldiği bir alanı içermesidir. AİHS’nin 9. Maddesi ve AB İnsan Hakları Şartının 10. Maddesinde teminat altına alınan din ve inanç özgürlüğü geniş kapsamlı yorumlanan bir kavramdır. İnanç özgürlüğü kapsamında korunan din kavramı hem belirli bir inancın benimsenmesi olarak kendini gösteren bireysel alanı (forum internum) hem de dini inancın kamusal alanda ibadet ve ritüel gibi yöntemlerle dışavurumunu (forum externum) kapsamaktadır. (29 Mayıs 2018 tarihli ve C 426/16 sayılı Liga van Moskeeën en Islamitische Organisaties Provincie Antwerpen VZW ve diğerleri, EU:C:2018:335, paragraf 44 ). 

    Buna ek olarak tek başına veya topluca, kamuya açık veya kapalı ibadet, öğretim, uygulama ve ayin yapmak suretiyle dinini veya inancını açıklama özgürlüğünü vaaz verme gibi yöntemlerle diğer insanların ikna edilmeye çalışılması hakkını da kapsamaktadır. (AİHM, 25 Mayıs 1993 tarihli Kokkinakis ve Yunanistan kararı, EC:ECHR:1993:0525JUD001430788, § 31, ve 8 Ekim 2007 tarihli Perry ve Letonya CE:ECHR:2007:1108JUD003027303, § 52).

    ABAD, Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın 17. Maddesinde ön görülen “Birlik, üye devletlerdeki kiliselerin ve dini birliklerin veya toplulukların ulusal hukuk çerçevesindeki statülerine saygı gösterir ve halel getirmez” hükmü ile kabul edilen dini toplulukların teşkilatlanması bakımından idari otonomiye sahip olması prensine atıf yapmıştır. Ancak Divan’a göre her bir gerçek ya da tüzel kişinin AB hukukundan kaynaklı kişisel verilerin korunması mevzuatınca ön görülen kurallara uygun hareket etme yükümlülüğünün dini toplulukların teşkilatlanma bakımından özerkliklerine müdahale şeklinde yorumlanamaz. 

    İki temel haktan kaynaklanan çıkarların birbiri ile çeliştiği durumlarda kurulması gereken adil dengeye ilişkin ABAD kararında ayrıntılı bir değerlendirmeye yer verilmemiştir.

    AİHM ise AİHS kapsamında aynı olayı değerlendirdiği kararında† bu konuda daha ayrıntılı bir çerçeve çizmiştir. AİHM, Finlandiya resmi kurumlarının müdahalesinin AİHS ile uyumluluğunu yerleşik üç aşamalı değerlendirme kriterlerine göre analiz etmiştir. Buna göre yapılan müdahale kanunla ön görülmeli, meşru bir amaca hizmet etmeli ve demokratik bir toplumda gerekli bir tedbir olmalıdır. Müdahale AB Direktifi ve bunu iç hukuka aktaran ulusal kanuna dayandığı için ilk kriter karşılanmıştır. AİHM’e göre uyuşmazlık konusu müdahaleler veri sahiplerinin hak ve özgürlüklerini korumayı amaçladığı için meşru amaç kriterini de kolayca karşılamaktadır. Demokratik bir toplumda gereklilik hususunda ise ulusal mercilerce veri sahiplerinin vaaz amaçlı ziyaretlerde hangi inancı benimsedikleri gibi hassas verileri de içerdiği için açık rızalarının alınmasının şart koşulması inanç özgürlüğü hakkının özüne müdahale teşkil etmemektedir. Daha ziyade müdahale kişisel verilerin nasıl işleneceğine ilişkindir. Ayrıca AİHM’e göre veri sahiplerinin evlerine yapılan ziyaretlerde kişisel verilerinin işlenmesi bakımından meşru bir mahremiyet beklentisi söz konusudur. Bu nedenle Yehova’nın Şahitleri mensuplarınca kapıdan kapıya yapılan ziyaretler kapsamında hassas verileri de içeren kişisel verilerin AİHS’nin 8. Maddesinde koruma altına alınan özel hayatın gizliliği hakkı ile uygun olmayacak şekilde ifşa edilmesini önlemek amacıyla ilgili kişilerin açık rızalarının alınmasının şart koşulması münasip ve gerekli bir tedbir olarak değerlendirilmiştir. AİHM’ye göre ilgililerin rızalarının istenmesi dini grubun inanç özgürlüklerinin özüne zarar verecek bir müdahale değildir. Veri sahiplerinden açık rıza alınması dini grup açısından faaliyetlerini yürütmek açısından caydırıcı bir etkiye sebep olduğu ortaya konulamadığı için AİHM uygulanan tedbirin orantısız bir müdahale olmadığına hükmetmiştir. Söz konusu açık rıza alınması şartının diğer dini gruplara da uygulanması nedeniyle ayrımcılığın söz konusu olmaması da bu değerlendirmede göz önüne alınmıştır. (Yehova’nın Şahitleri ve Finlandiya, Paragraf 90-99)

    AİHM’nin daha ayrıntılı değerlendirilmesi kişisel verilerin korunması hakkının başta ifade özgürlüğü hakkı olmak üzere demokratik ülkelerde korunan diğer insan hakları ile çatışabildiği durumlarda kullanılacak kriterler hakkında kullanışlı bir çerçeve sağlamaktadır. Bu durumlarda yapılması gereken birbiri ile çekişen iki çıkar arasında adil bir dengenin kurulması olup bu hususta ulusal mercilerin belirgin bir takdir marjı vardır. Bireylerin kişisel verilerinin gizliliğine ilişkin beklentileri meşru bir gerekçe teşkil etmekle birlikte bu nedenle ifade ya da inanç özgürlüklerine yapılacak müdahalelerde orantılılık ilkesine riayet edilerek hakkın özüne dokunulmamalı ve uygulanan tedbirin demokratik bir toplumda gerekli olup olmayacağı nazara alınmalıdır. 

    Yehova’nın Şahitleri kararı veri koruma hukukunun kapsamının ne kadar geniş olabileceğini göstermektedir. Veri sorumlusu olarak kabul edilmek için veri tabanı, excel çalışma sayfası, bilgisayar programları gibi dijital veri işleme kaynaklarının kullanımı zorunlu olmayıp kişisel verilerin kolaylıkla bulunabilmesi için yapılandırıldığı her durumda veri kayıt sisteminden bahsetmek mümkündür. Tamamen bireysel kullanım amaçlı veri işleme faaliyetlerinin ise özellikle günümüz koşullarında oldukça dar bir biçimde yorumlanması gerekmektedir. Bireysel bir amaçla kullanılsa da vblog gibi yöntemlerle internet ortamında görüntü vb. paylaşılırken diğer kişilerin özel hayatlarının da göz önünde bulundurulması gerekmektedir. Son olarak veri sorumlusu olmak için kişisel verilere doğrudan erişmek gibi bir şart söz konusu değildir. Veri işleme amaç ve yöntemlerinin belirlenmesinde arka planda da olsa rol oynamak veri sorumlusu olmak için yeterlidir. 

    Son tahlilde akla gelecek soru ise kararın siyasi faaliyetler üzerine etkisidir. siyasi parti üyelerinin kapı kapı dolaşarak bölge sakinlerinden oy istemesi veri toplama yöntemleri ve veri sahipleriyle kurulan iletişim göz önüne alındığında oldukça paralel bir tablo çizdiği için kıyasen ifade özgürlüğü hakkı da siyasi partileri kişisel verilerin korunması hukukunun kapsamı dışına çıkarmamaktadır. Müşterek veri sorumluluğu kavramına verilen önem ev ziyareti yapmak için apartman sakinlerinin zilini çalan görevlilerin işini zorlaştırmaktadır. Yehova’nın Şahitleri mensuplarının Hz. İsa’nın ilham verici sözlerinin yanı sıra oldukça teknik olan KVKK mevzuatı hakkında da bilgi sahibi olması gerektiği gibi siyasi parti temsilcileri de faaliyetlerini yürütürken veri koruma hukukunu göz önünde bulundurmalıdır. 

Saygılarımızla,

Tuna Avukatlık ve Danışmanlık

* Tietosuojavaltuutettu v. Jehovan todistajat — uskonnollinen yhdyskunta, C-25/17 sayılı ve 10/07/2018 tarihli ABAD kararı. İngilizce metin için bkz: https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=203822&part=1&doclang=EN&text=&dir=&occ=first&cid=8303068

† AİHM, 9 Mayıs 2023 tarihli Yehova’nın Şahitleri ve Finlandiya kararı (Başvuru No. 31172/19), Karar metni için bkz: https://hudoc.echr.coe.int/eng#{%22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],%22itemid%22:[%22001-224559%22]}