Posted on

“Kişisel Veri” Kavramı Bağlamında Avrupa Birliği Adalet Divanı’nın “EDPS v SRB” Davasındaki Aydınlatıcı Kararı

Giriş

Kişisel veri kavramı, veri koruma hukukunun merkezinde yer alsa da sınırları her zaman net değildir. Avrupa Birliği Adalet Divanı [Court of Justice of the European Union], “EDPS v SRB [C-413/23 P, (CJEU C‑ 413/23 P, EU:C:2025:645)]” davasında[1] yakın zamanda verdiği bir kararda, uygulamada sıklıkla zorluk yaratan iki noktayı açıklığa kavuşturmuştur:

  • Bir kişinin görüşlerinin kişisel veri olarak sayılıp sayılmayacağı ve
  • Takma adlandırmanın, bilgileri veri koruma kurallarının kapsamı dışına çıkarıp çıkaramayacağı.

Bu karar, küçük ve orta büyüklükte işletmeler dâhil olmak üzere, bireylerden geri bildirim toplayan veya üçüncü taraf sağlayıcılarla bilgi paylaşan kuruluşlar için, “anonim” gibi görünen verilerin bile Genel Veri Koruma Yönetmeliği [General Data Protection Regulation] kapsamına girebileceğini hatırlatmaktadır. Karar ayrıca, bilgilerin kişisel veri olup olmadığının, verileri kimin işlediği ve ilgili kişileri tespit etme araçlarına sahip olup olmadıklarına bağlı olabileceğini de göstermektedir.

  1. “EDPS v SRB” Davasının Arka Planı

Bu dava, 2017 yılında iflas eden bankaların yönetiminden sorumlu bir Avrupa Birliği kurumu olan Tek Karar Kurulu[2] [Single Resolution Board] tarafından İspanyol bankası “Banco Popular Español”un tasfiye edilmesinden kaynaklanmaktadır. Tek Karar Kurulu, tasfiyenin ardından Deloitte firmasını “muamelelerdeki farklılığın değerlendirilmesi”[3] [difference of treatment valuation] adı verilen bir işlemi gerçekleştirmek üzere görevlendirmiştir. Bu değerlendirme, Banco Popular hissedarlarının ve alacaklılarının normal iflas süreçleri altında daha iyi durumda olup olmayacaklarını ve dolayısıyla tazminat almaya hak kazanıp kazanamayacaklarını değerlendirmek için tasarlanmıştı.

Tek Karar Kurulu, Deloitte firmasının değerlemesine dayanarak, etkilenen hissedarları ve alacaklıları kayıt olmaya, kimlik ve mülkiyet belgelerini sunmaya ve tazminat konusunda nihai karar verilmeden önce ön karar hakkında görüşlerini sunmaya davet eden bir ön karar yayınlamıştır. Tek Karar Kurulu, bu süreçte binlerce görüş toplamış ve her birine, görüşleri kayıt sırasında toplanan kişisel bilgilerden ayırmak için benzersiz bir alfanümerik kod[4] vermiştir.

Tek Karar Kurulu daha sonra Deloitte firmasının değerlemesi ile ilgili görüşleri incelemesi için, yalnızca takma ad kullanarak Deloitte’a iletmiştir. Deloitte, görüşleri gönderen kişilere herhangi bir bağlantı sağlamadan şifreli görüşler almıştır.

Daha sonra birkaç paydaş, Avrupa Veri Koruma Denetim Kurumu’na[5] [European Data Protection Supervisor], Tek Karar Kurulu’nun gizlilik bildiriminde verilerinin Deloitte ile paylaşılacağından bahsedilmediğini belirterek şikâyette bulunmuştur. Avrupa Veri Koruma Denetim Kurumu, Deloitte firmasının bu bağlamda kişisel verilerin alıcısı olduğunu ve Tek Karar Kurulu’nun bunu açıklaması gerektiğini belirterek şikâyeti kabul etmiştir.

Tek Karar Kurulu, Deloitte firmasının kodlanmış bilgilerden herhangi bir kişiyi tespit edemediği için kişisel veri almadığını savunmuştur. Başka bir deyişle, alıcı Genel Veri Koruma Yönetmeliği kapsamında bir “kişisel veri” almıyorsa, gönderenin Genel Veri Koruma Yönetmeliği kapsamındaki bu gönderimle ilgili yükümlülükleri (yani bireyleri gönderimin gerçekleştiği konusunda bilgilendirme yükümlülüğü) geçerli değildir. Avrupa Birliği Genel Mahkemesi[6] [“Genel Mahkeme” (General Court of the European Union)], Tek Karar Kurulu’nun tarafını tutarak Avrupa Veri Koruma Denetim Kurumu’nun kararını iptal etmiştir. Avrupa Veri Koruma Denetim Kurumu daha sonra Avrupa Birliği Adalet Divanı’na başvurmuş ve işbu yazının konusu olan karara yol açmıştır.

Bu dava iki önemli soruyu yeniden gündeme getirmiştir:

  • Görüşler, görüş bildiren kişilerin kişisel verileri midir?
  • Üçüncü taraf alıcının ilgili kişileri yeniden tanımlayamaması durumunda, takma adlandırma, Genel Veri Koruma Yönetmeliği kapsamındaki “kişisel veri” kapsamından bilgileri çıkarabilir mi?
  1. Dava Konusunun “Hukuki” Arka Plan

2.1. Kişisel veriler [personal data]

Genel Veri Koruma Yönetmeliği’nin 4. maddesi[7] uyarınca ve Avrupa Birliği kurumları için (AB) 2018/1725 sayılı Yönetmelik[8] [ayrıca Avrupa Birliği Veri Koruma Yönetmeliği (EUDPR[9]) olarak da anılır] uyarınca kişisel veriler, belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanır. Bu tanım geniş bir şekilde yorumlanır: Bir gerçek kişi, örneğin bir isim, numara veya çevrimiçi tanımlayıcıya atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabiliyorsa “belirlenebilir” demektir.

Tek Karar Kurulu, bir Avrupa Birliği kurumu olarak Genel Veri Koruma Yönetmeliği yerine Avrupa Birliği Veri Koruma Yönetmeliği’ne (EUDPR) tabi olsa da, her iki düzenleme de kişisel verilerin aynı tanımını (ve birçok uyumlu hükmü) içermektedir. İfadelerin aynı olduğu durumlarda, kurallar mahkemeler tarafından aynı şekilde yorumlanmaktadır.

2.2. Takma adlandırma [pseudonymisation]

Genel Veri Koruma Yönetmeliği’nin 4. maddesi, takma adlandırmayı[10], ek bilgiler kullanılmadan belirli bir kişiye atfedilemeyecek şekilde kişisel verilerin işlenmesi olarak tanımlar; ancak söz konusu ek bilgiler ayrı olarak saklanır ve korunur. Genel Veri Koruma Yönetmeliği’nin 26. maddesi[11] de, takma adlandırılmış verilerin hâlâ kişisel veri olduğunu açıkça belirtir: Bu, yalnızca bireyler için riskleri azaltır, ancak bilgileri veri koruma hukukunun kapsamı dışına çıkarmaz.

Uygulamada bu, takma adlı verilerin, yeniden tanımlamanın “anahtarını” [key to re-identification] elinde bulunduran denetleme otoritesi için kişisel veri olarak kaldığı anlamına gelir. Daha az açık olan ve “EDPS v SRB” davasında gündeme gelen konu ise, aynı verilerin, anahtara erişimi olmayan ve ilgili kişileri tanımlamanın gerçekçi bir yolu olmayan bir alıcı için de kişisel veri olarak sayılıp sayılmayacağıdır.

2.3. Kişisel görüşler [personal opinions]

Bir diğer belirsizlik alanı ise, görüş veya yorumların her zaman kişisel veri olarak ele alınıp alınmaması gerektiğidir. Görüş veya yorumların, bunları ifade eden kişilerle açıkça bağlantılı olmasına rağmen, düzenleyici kurumlar ve mahkemeler, bunları otomatik olarak kişisel veri tanımına dâhil etme konusunda her zaman tutarlı davranmamıştır.

  1. Mahkemenin Dava Konusuyla İlgili Bulguları

3.1. “Kişisel görüşler” kişisel verilerdir [Personal opinions are personal data]

Avrupa Birliği Adalet Divanı, bir kişinin kendi görüşlerini ifade eden yorumların, doğası gereği yazar hakkında kişisel veri olduğuna karar vermiştir. Görüşler, bir kişinin düşüncelerinin bir ifadesi olduğundan, doğası gereği o kişiyle bağlantılıdır. Bu koşullar altında, düzenleyici otoritelerin yorumların bir kişiyle “ilişkili” [relate to an individual] olup olmadığına karar vermek için ayrı bir “içerik, amaç veya etki” analizi [content, purpose or effect analysis] yapmasına gerek yoktur; yani yorumların kişisel niteliği yeterlidir; yeter ki bu görüşler, onları dile getiren kişiyle uygun şekilde ilişkilendirilebilsin.

Bunun pratik sonuçları vardır. Bir işletme müşterilerden veya çalışanlardan geri bildirim topladığında, bu yorumlar, söz konusu kişi veya kişinin özel deneyimi hakkında hiçbir şey söylemese bile, kişisel veri olarak değerlendirilmelidir.

3.2. Takma adlı veriler ve üçüncü taraflar [pseudonymised data and third parties]

Avrupa Birliği Adalet Divanı, takma adlandırmanın riski azalttığını, ancak verileri otomatik olarak veri koruma yasasının kapsamı dışına çıkarmadığını teyit etmiştir. Bir bilginin “kişisel veri” olup olmadığı, kişinin maliyet, zaman, teknoloji ve mevcut bilgiler göz önünde bulundurulduğunda makul ölçüde kullanılması muhtemel araçlar kullanılarak tanımlanıp tanımlanamayacağına bağlıdır.

  • Anahtarı elinde tutan denetim otoritesi (yani Tek Karar Kurulu): Takma adlı yorumlar kişisel veri olarak kaldı çünkü Tek Karar Kurulu kodları bireylere bağlayabiliyordu.
  • Anahtarı olmayan alıcı (yani Deloitte): Takma adlı yorumlar her durumda otomatik olarak kişisel veri olarak değerlendirilmez. Alıcı, pratikte kişileri gerçekçi bir şekilde yeniden tanımlayamıyorsa (başka verilerle birleştirerek de dâhil olmak üzere), alıcının bakış açısından kişiler tanımlanamayabilir. Mahkeme (ve herhangi bir düzenleyici otorite), tam bir görüş oluşturmak için davanın özel gerçeklerini dikkate almak zorundadır.

Bu, olguya özgüdür [fact specific]. Yeniden kimlik tespiti makul ölçüde olasıysa (örneğin, takma adlandırma zayıfsa veya başka bilgiler kullanılarak geri alınabiliyorsa ya da kuruluş düşük bir çabayla ilgili kişiyi yeniden tespit edebiliyorsa), veriler kişisel kalır. Test, orantısız bir çaba sarf etmeden kimlik tespitinin gerçekçi bir şekilde mümkün olup olmadığıdır.

Avrupa Veri Koruma Denetim Kurumu tarafından öne sürülen temel argüman, yalnızca ek bilgilerin varlığının, takma adlı kişisel verilerin üçüncü tarafların bakış açısından Genel Veri Koruma Yönetmeliği’ne tabi kılınması için yeterli olduğudur. Avrupa Birliği Adalet Divanı, bu yorumun Genel Veri Koruma Yönetmeliği’nde ve ilgili Avrupa içtihatlarında öngörülenin oldukça dışında kaldığı gerekçesiyle bu argümanı reddetmiştir.

3.3. “Şeffaflık” yükümlülüğü, veri toplama sırasında denetleme otoritesinin bakış açısından değerlendirilmiştir [transparency duty assessed from the controller’s perspective at collection]

Avrupa Birliği Adalet Divanı, kimlik tespiti analizini veri sorumlusunun bilgilendirme görevinden ayırmıştır. Alıcılar hakkında bilgi verme yükümlülüğü, veriler toplandığında ortaya çıkar ve veri sorumlusunun bakış açısıyla değerlendirilir. Tek Karar Kurulu, toplama anında kişisel verileri elinde bulundurduğu ve yorumları Deloitte firmasına bildirmeye karar verdiği için, Deloitte takma ad kullanıldıktan sonra kimseyi tanımlayamasa bile, gizlilik bilgilerinde Deloitte firmasını (veya ilgili alıcı kategorisini) belirtmek zorundaydı.

[Not: Kuruluşlar için önemli bir nokta, veriler alıcının elinde anonim olsa bile, bunları ifşa eden kuruluşun bunları paylaşırken kişisel veri olarak ele alması gerektiğidir. Bu, ifşanın gizlilik bildirimlerinde açıklanması ve alıcının kimliğinin tespit edilebilmesine bakılmaksızın, kişilerin bilgilerinin paylaşılacağı konusunda bilgilendirilmesi gerektiği anlamına gelir.]

Sonuç

Avrupa Birliği Adalet Divanı, Genel Mahkeme kararını bozarak, Avrupa Veri Koruma Denetim Kurumu’nun yukarıdaki iki temel noktadaki (görüşlerin kişisel veri olarak değerlendirilmesi ve veri sorumlusunun toplama sürecindeki şeffaflık yükümlülüğü) yaklaşımını onaylamıştır. Sonuç olarak, Tek Karar Kurulu’nun, Deloitte firmasının yorumcuları yeniden tanımlama imkânı olmaksızın, takma adla alacak olsa bile, yorumların Deloitte ile paylaşılacağını toplama sırasında açıklaması gerekirdi.

Ancak yukarıda da belirtildiği gibi, Avrupa Birliği Adalet Divanı, Avrupa Veri Koruma Denetim Kurumu’nun takma adlı kişisel verilerin her zaman kişisel veri olduğu yönündeki iddiasını reddetmiştir.

“EDPS v SRB” davasına ilişkin bu karar, ilk bakışta Genel Veri Koruma Yönetmeliği’nin özünde bir değişiklik gibi görünebilir. Ancak durum böyle değildir; Avrupa Birliği Adalet Divanı, Genel Veri Koruma Yönetmeliği’nin bilinen ve genel olarak kabul gören ilkelerini büyük ölçüde uygulamıştır.

Bununla birlikte, Genel Veri Koruma Yönetmeliği’nin karmaşıklığı göz önüne alındığında, denetleme otoritesinin, kontrol ettiği kişisel verilerin üçüncü taraf alıcılarının yükümlülüklerinden bağımsız olarak Genel Veri Koruma Yönetmeliği’ne uyma sorumluluğuna vurgu yapılıp yapılmayacağı henüz belli değildir. Bu ilkenin tutarlı bir şekilde uygulanması, denetleme otoritesinin takma adlı kişisel verilerle ilgili yükümlülüklerinin kapsamını daha da genişletebilir.

İşletmeler için çıkarılacak ders açıktır: “Şeffaf ve dikkatli olunmalıdır”. İşletmeler geri bildirimleri, anket yanıtlarını ve diğer görüşe dayalı verileri kişisel veri olarak değerlendirmelidir. Takma adla paylaşılan bilgilerin otomatik olarak veri koruma yasası kapsamına girmediği varsayılmamalıdır. Ayrıca, ifşa anında bilgiler yine de kişisel veri olarak ele alınmalı ve paylaşım gizlilik bildiriminde açıklanmalıdır.

Veri koruma uyumuna uygun şekilde ihtiyatlı bir yaklaşım sergileyen çoğu işletme bu yargıdan etkilenmeyecektir. Ancak, takma adlı kişisel verilerin işlenmesine yoğun olarak dayanan işletmeler (örneğin pazarlama şirketleri), uygulamalarının uyumlu olduğundan emin olmak isteyebilir.

Bütün bunlar, veri korumasının Avrupa’da ve ötesinde nasıl gelişmeye devam ettiğini göstermektedir. Avrupa Birliği ile ticaret yapan veya Avrupa Birliği kişisel verilerini işleyen Birleşik Krallık şirketleri de, hem Birleşik Krallık hem de Avrupa Birliği mevzuatına uyumlu kalmalarını sağlamak için bu tür kararlara dikkat etmek zorundadır.

[1]<https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=155512.

[2]<https://www.srb.europa.eu/en >.

[3] Çevirenin Notu: “Muamelelerdeki farklılığın değerlendirilmesi”, hissedarların ve alacaklıların ilgili iflas işlemlerinde kullanılan çözüm yetkisi [stabilisation power] çerçevesinde daha iyi muamele görüp görmediklerini değerlendirme amacıyla 66 ve 67. maddelere uygun olarak gerçekleştirilen bir değerleme anlamına gelir.

[4] Çevirenin Notu: “Alfanümerik” bir kod, hem harflerden hem rakamlardan ve çoğunlukla diğer simgelerden (noktalama işaretleri ve matematiksel simge gibi) oluşur.

[5]<https://www.edps.europa.eu/_en >.

[6]<https://curia.europa.eu/jcms/jcms/p1_217427/en/ >.

[7]<https://gdpr-info.eu/art-4-gdpr/ >.

[8]<https://eur-lex.europa.eu/eli/reg/2018/1725/oj/eng >.

[9] Çevirenin Notu: EUDPR, Avrupa Parlamentosu ve Konseyi’nin; 23 Ekim 2018 tarihli, Avrupa Birliği kurumları, organları, ofisleri ve acenteleri tarafından kişisel verilerinin işlenmesi ve bu verilerin serbest dolaşımı konusunda gerçek kişilerin korunmasına ilişkin 2018/1725 sayılı Yönetmeliği ve 45/2001 sayılı Yönetmeliği ve 10/10/2001 tarihli Kararı yürürlükten kaldıran Yönetmeliği anlamına gelir (< https://eur-lex.europa.eu/eli/reg/2018/1725/oj/eng >).

[10] < https://emlaw.co.uk/icos-guidance-on-anonymisation-and-pseudonymisation/ >.

[11] < https://gdpr-info.eu/recitals/no-26/ >.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.