Bilişim Hukuku Dersi 8. Ünite Özet

Giriş

Bilişim teknolojilerine her geçen gün yenilerinin eklenmesi ve bu teknolojiler nedeniyle yeni hukuki sorunların baş göstermesi, bilişim hukukunun güncel sorunlarının çok çeşitli olmasına neden olmaktadır. Bu hukuk dalının, örneğin yakın gelecekte birçok işletmenin son kullanıcıya bulut bilişim (cloud computing) hizmetlerini sunacak olması dolayısıyla, bu sistemlerde sözleşmenin kurulması, sözleşmenin sona ermesi, verilerin gizliliği, veri mülkiyeti, bulut bilişim sağlayıcısı ve alt hizmet sağlayıcılar arasında doğrudan doğruya veya dolaylı sorumluluk ilişkisinin belirlenmesi, bulut bilişimde saklanan verilerde adli soruşturma çerçevesinde yapılacak olan arama, kopyalama ve el koyma gibi güvenlik tedbirlerinde mevcut kanuni düzenlemelerin yeterli olup olmayacağı; yine benzersiz bir şekilde adreslenebilir nesnelerin kendi aralarında oluşturduğu, dünya çapında yaygın bir ağ ve bu ağdaki nesnelerin belirli bir protokol ile birbirleriyle iletişim içinde olmaları olarak tanımlanmakta olan nesnelerin interneti (internet of things) gibi konularla ilgilenmek zorunda kalacağı kesindir. Bir diğer konu da, yapay zekânın (artificial intelligence) bilişim sistemlerinde yapmış olduğu işlemlerden doğan hukuki ve hatta cezai sorumluluğudur.

Bilişim hukukunun nihayetinde bir hukuk dalıdır ve her hukuk dalında olduğu gibi, bu hukuk dalının da insan hakları ile bağlantılarının bulunmaktadır. Bu bağlamda konu, insan hakları teorisi ve bu teori ile ilgilenen hukukçuların bilişim sistemleri karşısında nasıl hareket ettikleri “unutulma hakkı” örneği üzerinden ele alınmıştır.

İnsan Hakları Teorisine İlişkin Temel Bilgiler

İnsan Hakları Evrensel Beyannamesi (İHEB), İnsan Hakları Avrupa Sözleşmesi (İHAS), Avrupa Birliği Temel Haklar Bildirgesi (ABTHB) ve Türkiye Cumhuriyeti Anayasası gibi insan haklarına yer veren metinlerde, insan hakları , kişinin sırf insan olduğu için sahip olduğu haklar olarak kabul edilmektedir. Anayasa’nın 12. maddesi “herkes, kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez haklara sahiptir” diyerek bu hakların niteliğini açıklamıştır. İnsan hakları teorileri, “Üç Kuşak Haklar Teorisi” ve “Dördüncü Kuşak Haklar” olmak üzere iki kısımda incelenebilir.

Üç Kuşak Haklar Teorisi

İnsan hakları sınıflandırmaları arasında en ünlüsü Karel Vasak tarafından ortaya konan “üç kuşak haklar” teorisidir; zira bu sınıflandırma, insan hakları öğretisinin tarihsel gelişimi ile paralellik gösterdiği gibi bilişim çağının gereksinimlere göre dördüncü kuşak haklara ilişkin tartışmalara da olanak tanımaktadır. Karel Vasak’a göre birinci kuşak hakların temel özelliği, kişilere, devletin karışmayacağı özel bir alan yaratmasıdır. Birinci kuşak haklar, kişi haklarını yani medeni hakları ve siyasal hakları içerir. İkinci kuşak haklar ise, devlete karışmama ödevi değil, aksine eylemde bulunma, harekete geçme yani hizmet sağlama ödevi yüklemektedir. Bunlar genellikle sosyal haklar olarak adlandırılmaktadır. Üçüncü kuşak haklar ise ilk iki kuşak haklardan farklı olarak belirli bir grubun değil, bir toplumdaki tüm sosyal grupların ihtiyaçlarına cevap vermeyi amaçlayan haklardır. Üçüncü kuşak haklara dayanışma hakları da denilmektedir.

Birinci ve ikinci kuşakta yer alan hakların insan hakkı kabul edilmesi hususunda tartışma yaşanmamaktadır. Buna karşın üçüncü kuşakta yer alan hakların gerçekten insan hakkı olarak kabul edilip edilmeyeceği hususunda farklı görüşler mevcuttur. Bazı hukukçular, üçüncü kuşak hakların henüz anayasalara veya uluslararası sözleşmelere girebilecek derecede iyi formüle edilmediğinden hareketle bunların insan hakkı olarak değerlendirilemeyeceğini belirtmektedirler. Bununla birlikte, insan haklarının her zaman yürürlükteki hukukun önünde koştuğu ve hukukun da ona ayak uydurduğu gerçeği unutulmamalıdır. Yakın zamanlarda üçüncü kuşak insan hakları bağlamında tartışılan “internete erişim hakkı” bu duruma güzel bir örnektir.

Dördüncü Kuşak Haklar Teorisi

Dördüncü kuşak insan hakları, bilişim teknolojisinde yaşanan gelişmelerin insan onurunun korunması bakımından yarattığı riskler nedeniyle ortaya çıkmıştır. Bu bağlamda, dördüncü kuşak hakların bilimin ve teknolojinin olası kötüye kullanımına karşı insan onurunun korunması amacına dayandığı kabul edilmektedir.

Bu noktada Anayasa’nın “Devletin Temel Amaç ve Görevleri” başlıklı 5. maddesi önemlidir. Bu maddeye göre, devletin temel amaç ve görevi insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamaktır. Yine Anayasa madde 17’ye göre herkes maddi ve manevi varlığını geliştirme hakkına sahiptir. Ayrıca, 2010 Anayasa Referandumu ile kabul edilen 2010 değişikliğiyle, dördüncü kuşak haklardan biri olarak kabul edilen kişisel verilerin korunması hakkı, ülkemizde de anayasal güvenceye bağlanmıştır. Dördüncü kuşak haklardan kabul edilen bir başka hak ta unutulma hakkıdır.

Unutulma Hakkı

Unutulma hakkı, üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olayların bir süre sonra unutulmasını, başkaları tarafından bilinmesi istenmeyen bilgilerin silinmesini isteme hakkı olarak ifade edilmektedir. Unutulma hakkının gerekçesine dair yaklaşımlar farklılık göstermekle birlikte, bu konuda üç temel anlayıştan bahsedilmektedir:

1. Kişisel verilerin belirli bir süre geçtikten sonra silinmesi gerektiği temelinden hareket eden görüş;
2. “Beyaz sayfa” yaklaşımından yola çıkan ve eski tarihli olumsuz bilgilerin kişilere karşı kullanılmaması gerektiğini savunan sosyal perspektifli görüş;
3. Yine beyaz sayfa temelinden hareket eden, fakat bireyin kendini geliştirme hakkını temel alan ve böylece kişilerin geçmişlerinden endişe etmeksizin kendilerini ifade edebilmeleri gerektiğini savunan görüş.

Unutulma hakkına neden ihtiyaç duyulduğu ortadadır: İnternetin olmadığı zamanlarda bir kişi hakkında çıkan haber günlük gazetede yayınlanır, haberin yayınlandığı gün birçok kişi bu haberi okur; ancak daha sonra haber içeriği gazete kâğıdı ile birlikte bir kenara bırakıldığı an unutulurdu. Bu dönem unutmak/unutulmak esas, hatırlamak/hatırlanmak ise istisnaydı. İnternet istisnayı esas yaptı. Bugün Google aracılığıyla arama motorunda arama yapan herkes, bir başkası hakkında yıllar önce yayınlanan bir habere, yıllar sonra birkaç saniye içinde ulaşmaktadır. Öyleyse bireylerin hayatlarında yeni bir sayfa açma hakkı bulunduğunun kabulü, unutulma hakkının çıkış noktasıdır.

Unutulma Hakkının Pozitif ve Negatif Yönü

Unutulma hakkı pozitif ve negatif olmak üzere iki yönlüdür. Unutulma hakkı, kişisel veriler üzerindeki tasarruf hakkının bir uzantısı olması yönüyle pozitif bir hak içermektedir. Bu yönüyle unutulma hakkı ile bir kişinin kendisi hakkındaki bilgilerin kapsamlı ve geniş biçimde silinmesini talep edebileceği kabul edilmektedir. Unutulma hakkının negatif yönü ise bireylerin rahatsız edici bulduğu kişisel verilerin geleceklerini olumsuz etkilememesi için, bu verilerin bir daha geri getirilemeyecek biçimde ortandan kaldırılmasını isteyebilmeleri olarak tanımlanmaktadır. Dolayısıyla bu hak bireyin geçmişiyle ilgili belirli verilerin hatırlanmaması için önlemler alınmasını da içermektedir. Bu verilerin kullanımının ve işleme konulmasının ifade özgürlüğü kapsamında görülmesi, hukuki zorunluluk olması veya kamu yararının bulunması hallerinde veriyi kontrol edenin bu talebi reddetme hakkı vardır.

Unutulma Hakkının Diğer Temel Hak ve Özgürlükler ile Çatışması

Unutulma hakkının pek çok başka hak ile ilişkisi mevcuttur. Bu ilişki kimi zaman kişisel verilerin korunması hakkında olduğu gibi kesişme ve birbirini tamamlama şeklindedir, kimi zaman ise haberleşme ve ifade özgürlüğü, iletişim özgürlüğü, basın hürriyetinde olduğu gibi çatışma şeklinde kendini gösterir. Öyleyse haberleşme ve ifade özgürlüğü, iletişim özgürlüğü, basın hürriyeti ile unutulma hakkı arasında adil bir dengenin kurulması gerektiği kuşkusuzdur.

Unutulma hakkı ile bu hakkın çatıştığı diğer haklar arasındaki ilişki şu şekilde özetlenebilir: Kamu yararı ile birey yararı arasındaki denge, ilk bakışta güncellik, görünür gerçeklik, kamuoyu ilgisi sebebiyle haber, fotoğraf ve görüntülerin üçüncü kişilerin bilgisine sunulması lehine kurulduğu halde; unutulma hakkı sayesinde bu bilgilerin güncelliğini yitirdiği andan itibaren denge bu defa birey lehine değişmektedir. Öyleyse unutulma hakkı, üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olayların bir süre sonra unutulmasını, başkaları tarafından bilinmesi istenmeyen bilgilerin silinmesini isteme hakkı olarak ifade edilebilir. Böylece her bilginin ebediyen hatırlanabileceği sanal dünya bakımından bireyin kendine ait veriler üzerinde kontrol hakkı sağlanmaktadır.

Unutulma Hakkının Normatif Dayanağı

Unutulma hakkı yakın bir zamana kadar normatif dayanağı olmayan; Avrupa Birliği Adalet Divanı (ABAD), Anayasa Mahkemesi (AYM) ve Hukuk Genel Kurulu (HGK) gibi yüksek yargı organlarının içtihatlarıyla insan hakları teorisine kazandırılmış bir haktır. Unutulma hakkının yazılı metinlerde yer almasına dair çalışmalar Avrupa Birliği (AB) Komisyonu’nun, 95/46/EC sayılı Direktifin yeniden gözden geçirilmesi yönündeki önerisinin ardından başlamıştır. Komisyon, 2010 yılının Kasım ayında unutulma hakkının kabul edilmesini önermiştir. İlerleyen dönemde teknolojik gelişmeler (akıllı telefonlar, sosyal medya, bulut bilişim vb.), koruma düzeyinin ülkeden ülkeye farklılık oluşturması ve bazı siyasi olaylar söz konusu Direktifin gözden geçirilmesine sebebiyet vermiştir. Bu olayların başında, konuyla doğrudan olmasa da etkisi bakımından büyük ilgisi olan, 2013 yılında Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri gelmektedir. Bu somut gelişmeler ABAD’ın bir dizi özgün karara imza atmasına neden olmuştur.

ABAD, İrlanda Dijital Haklar Kararı ile 2006/24/EC sayılı Veri Saklama Direktifini geçersiz ilan etmiştir. Bu Direktif sabit, mobil veya internet telefonu ile e-posta iletişimi verilerinin altı aydan iki yıla kadar saklanmasını düzenlemektedir. M.Schrems-Veri Koruma Komisyonu Kararı, veri koruma kurallarına ilişkin temel yaklaşımda ve pek çok hukuki düzenlemede değişikliğe gidilmesi zorunluluğunu doğuran bir diğer önemli ABAD kararıdır. Davacı Maximillian Schrems Avusturya vatandaşı olup söz konusu olayda İrlanda Veri Koruma Otoritesini dava etmiştir. Dava konusu uyuşmazlık Schrems’in daha önce, Facebook tarafından kişisel verilerinin ABD’de tutulmasının kendisi bakımından ihlale sebep olduğu gerekçesiyle yapmış olduğu başvurusunun İrlanda Veri Koruma Otoritesi tarafından reddedilmesi üzerine meydana gelmiştir. AB ve ABD arasındaki “Güvenli Liman Anlaşması” (Safe Harbour) kapsamında eşdeğer bir koruma seviyesinin bulunmasının zorunlu olmasına rağmen, bir süredir tartışmalara sebep olan NSA gözetimleri de dikkate alındığında ABD tarafından Schrems’in kişisel verilerinin AB için gerekli olan güvence şartları kapsamında korunmadığı iddia edilmiştir. Mahkeme, ABD hukuk kurallarının incelenmesi sonucunda, AB vatandaşlarının başta kişisel verileri olmak üzere temel hakları bakımından tehlikeli sonuçların ortaya çıkabileceğini değerlendirmiş ve Güvenli Liman Anlaşması’nı geçersiz ilan etmiştir.

Veri korumasında ortak bir anlayışa ve uygulamaya ulaşmak üzere AB yasama süreçleri içerisinde AB’nin önünde iki seçenek bulunmaktaydı: Birincisi 95/46/EC sayılı Direktif gibi, üye devletleri hedef alan ve onlara belirli bir süre içinde direktifte belirtilen hususlarda ulusal hukukta düzenlemeler yapma ödevi yükleyen ve genel olarak ulusal hukukların birbirleriyle uyumlaştırılmalarına hizmet eden yeni bir direktifin yapılmasıydı; diğeri ise, yürürlüğe girmekle birlikte tüm üye ülkelerde yürürlük gücüne sahip olan ve dolayısıyla iç hukuka aktarılmak üzere bir onay kanununa ya da iç hukukta yapılacak başka düzenlemelere ihtiyaç duymayan ve böylece düzenlediği alanda tüm AB sınırları içinde yeknesak hükümlerin uygulanmasına olanak veren bir regülasyonun yapılmasıydı.

Avrupa Birliği, suçun önlenmesi, soruşturulması ve kovuşturulması noktasında 2016/680 sayılı “2008/977/JHA Çerçeve Kararı Yürürlükten Kaldıran, Yetkili Makamlar Tarafından Suçun Önlenmesi, Soruşturulması, Tespiti Veya Kovuşturulması Veya Cezai Süreçlerin Yürütülmesi Amacıyla İşlenen Kişisel Verilere İlişkin Gerçek Kişilerin Korunmasına Ve Bu Tür Verilerin Serbest Dolaşımına 212 Bilişim Hukuku Alanındaki Son Gelişmeler Dair Direktif ” ile birinci, kişisel verilerin korunmasına ilişkin diğer hususlarda ise ikinci yolu seçmiştir. İşte, sadece 95/46/EC sayılı Direktif ’i değil, aynı zamanda AB üyesi ülkelerdeki ulusal veri koruma kanunlarını da ikame eden 2016/679/EU sayılı “Gerçek Kişilere Dair Kişisel Verilerin İşlenmesine ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifin Kaldırılmasına Dair Regülasyon” bu arka planla yürürlüğe konulmuştur. Bu Regülasyonun hedefleri şu şekilde ifade edilmiştir:

• Özellikle küreselleşmeden kaynaklanan zorluklar ve yeni teknolojilerin kullanımı karşısında kişisel verilerin etkili bir biçimde korunması amacıyla AB hukuk sisteminin iyileştirilmesi;
• Kişisel veriler konusunda bireysel hakların güçlendirilmesi ve aynı zamanda AB içinde ve/veya dışında kişisel verilerin serbest akışının sağlanması için bürokratik süreçlerin azaltılması;
• Kişisel verilerin korunmasına ilişkin AB hukuku kurallarına netlik ve tutarlılık kazandırılması;
• Bu kuralların yine tutarlı ve etkin bir biçimde uygulanması
• Birliğin tüm faaliyet alanında kişisel verilerin etkin bir biçimde korunması

173 paragraflık resital bölümü (başlangıç bölümü) ile 99 maddeden oluşan Regülasyonun 17.maddesi unutulma hakkını düzenlemiştir. Bu madde de özetle veri öznesi/veri süjesi olan, yani kişisel verileri özel hukuk ya da idare hukuku çerçevesinde gerçek ya da tüzel kişiler tarafından toplanan, değerlendirilen, üzerinde çalışılan, aktarılan, kişilerin, verilerinin işlenmesine artık rıza göstermemesi, istememesi veya bu verilerin uzun zamandan bu yana işleniş amaçlarına uygun olarak kullanılmaması veyahut anılan verilerin artık işlenmesi ve tutulması için gerekli hukuka uygunluk koşullarının bulunmaması veya verilerin hukuka aykırı bir şekilde işlenmesi ya da veriyi işleyen kişilere herhangi bir hukuki sebepten dolayı (örneğin bir mahkeme kararı) bu veriyi kaldırma, silme gibi bir yükümlülüğün yüklenmesi halinde, kişisel verilerin silinmesini isteyebileceği düzenlenmiştir.

Unutulma Hakkına İlişkin Yargı Kararları

Unutulma hakkı yakın bir zamana kadar normatif bir dayanağa sahip olmayan, yargı organlarının içtihatlarıyla insan hakları teorisine kazandırılmış bir haktır. Unutulma hakkına ilişkin verilen içtihatlara yakından bakmak, hakkın ortaya çıkış sürecini anlamak ve çerçevesini belirlemek için gereklidir.

ABAD’ın Google/Unutulma Hakkı Kararı

AB içerisinde en üst mahkeme olan ve AB hukukunun uygulanmasında son sözü söyleyen, böylece AB hukukunun, hukuki denetim, yorum, uyuşmazlık çözme, hukuk yaratma ve boşluk doldurma yollarıyla, AB içinde her yerde aynı şekilde yorumlanmasını sağlayan ABAD’ın kararları her ne kadar Türkiye için resmiyette bağlayıcı değilse de; Google/Unutulma Hakkı kararı bu hakla ilgili uluslararası alanda verilmiş ilk karardır. Karar 95/46/EC sayılı Direktifin yorumlanmasını esas almaktadır. Ayrıca, ABAD’ın Google/Unutulma Hakkı kararı, ülkemizi sadece aday ülke sıfatıyla değil, aynı zamanda 6698 sayılı Kanun’un yorumlanması bakımından da ilgilendirmektedir.

Mahkeme’nin önüne gelen somut olay ve Mahkeme’nin gerekçesinin açıklanmasına geçilmeden önce bazı temel kavramların belirtilmesi yararlı olacaktır.

Kişisel veri kavramı, İngilizce “personal data” kavramından gelmekte olup, doğrudan ya da dolaylı olarak bir gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgiyi kapsamaktadır.

Kişisel verilerin işlenmesi , kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak, geniş bir alanı kapsayacak şekilde tanımlanmaktadır.

Veri sorumlusu (veri denetleyicisi/veri denetleyici, veri kontrolörü), kişisel veri işlemenin amaçlarını ve yöntemini birlikte veya tek başına belirleyen kişi, organ, ajans veya kamu kurumunu ifade etmektedir.

Kişisel verilerin işlenmesiyle ilgili genel ilkeler , kişisel verilerin korunmasına ilişkin düzenlemelerde, verilerle ilgili yapılan işlemlerin insan onuru ve değerlerine uygun yapılması maksadıyla belirlenmiştir. Kişisel veriler ancak şu temel ilkelere uygun olarak işlenebilecektir:

1. Adil ve Yasal İşleme
2. Amaç ile Sınırlılık
3. İlgililik ve Orantılılık
4. Doğruluk ve Güncellik
5. Süreyle Sınırlılık

Kişisel verilerin işlenebilmesi ancak bazı şartların mevcut olması halinde mümkündür. Veri işlenmesinin şartları şunlardır; ilgili kişinin herhangi bir kuşkuya yer bırakmayacak şekilde kişisel verilerinin işlenmesine rıza göstermesi; ilgili kişinin taraf olduğu bir sözleşmeyi yerine getirmek veya bu sözleşmeye girmeden önce ilgili kişinin isteğiyle gerekli adımları atmak için kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun konu olduğu bir yasal zorunluluğa uymak için kişisel verilerin işlenmesinin gerekmesi; ilgili kişinin hayati çıkarlarını korumak için kişisel verilerin işlenmesinin gerekmesi; kamu yararı için yapılan bir faaliyetin yerine getirilmesi veya veri sorumlusu veya verinin açıklandığı üçüncü tarafın kamu yetkisini kullanarak yaptığı bir faaliyetin yerine getirilmesi için kişisel verilerin işlenmesinin gerekli olması; ilgili kişiye tanınan haklar ağır bastığı durumlar hariç olmak üzere, kişisel verileri işlemenin, veri sorumlusu veya verilerin açıklandığı üçüncü tarafın meşru çıkarları için gerekli olması durumlarıdır.

Kişisel verileri işlenen kişinin hakları şunlardır; veri öznesi/veri süjesi kendisiyle ilgili verinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme ve en önemlisi verilerin işlenmesinin genel ilkelere aykırı olması halinde veya veri işlemenin şartlarının mevcut olmaması halinde veya özellikle kişisel verilerin eksik veya doğru olmaması durumlarında, kişisel verilerin silinmesini, düzeltilmesini ve/veya erişime engellenmesini isteme.

28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” yayınlanmıştır. Yönetmeliğin 7 ve devamı maddelerinde kişisel bilgilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili esas ve usuller düzenlenmiştir.

ABAD’ın Google/Unutulma Hakkı Kararına konu olan olay şu şekilde özetlenebilir: 05.03.2010 tarihinde İspanya’da ikamet eden İspanyol vatandaşı avukat Costaja Gonzales, İspanyol Veri Koruma Kurumu’na (Agencia Espanola de Proteccion de Datos/AEPD) İspanya Katalonya’da La Vanguardia isimli yüksek tirajlı bir gazete çıkaran La Vanguardia Ediciones SL isimli şirketi ve Google Spain ve Google Inc. şirketlerini şu nedenle şikayet etmiştir: Herhangi bir internet kullanıcısı Costaja Gonzales’in adını Google şirketinin arama motoruna (Google Search) yazdığı zaman, arama sonuçlarının en üst iki sırasında La Vanguardia adlı gazetenin 19.01.1998 ve 09.03.1998 tarihli nüshalarını içeren iki linki bulmaktadır. İnternet kullanıcısı bu linkleri tıkladığında, Costaja Gonzales’in adının açıkça zikredildiği bir ilan metnini görmektedir. Bu ilanlarda Costaja Gonzales’in gayrimenkulünün sosyal güvenlik borçlarından dolayı açık artırma yoluyla satılacağı yazmaktadır.

Bunun üzerine Costaja Gonzales, kişisel verilerinin korunması hakkına dayanarak La Vanguardia Ediciones SL şirketinden La Vanguardia gazetesine ait bu linklerin haber arşivinden çıkartılmasını talep etmiştir. AEPD nezdinde yaptığı şikâyette Costaja Gonzales ayrıca kendisiyle ilgili haciz işlemlerinin yıllar önce ortadan kalktığı ve bu işlemlerle ilgili linklerin artık güncelliğini yitirdiğini gerekçe göstererek, Google Spain ve Google Inc. şirketlerinden, La Vanguardia gazetesine ait linkleri, arama motorunun gösterdiği arama sonuçlarından çıkartmasını talep etmiştir.

AEPD, 30.07.2010 tarihinde verdiği kararla, şikâyetin La Vanguardia’ya ilişkin kısmını, ilanın açık artırmaya ilişkin İspanyol mevzuatına uygunluğunu gerekçe göstererek reddetmiştir. Buna karşın AEPD şikâyetin Google Spain ve Google Inc. şirketlerine ilişkin kısmını kabul etmiştir; zira ilgili kişinin kişisel verilerini işleyen arama motoru işletmecisi Google Spain ve Google Inc., kişisel verilerin korunması hakkına dayanılarak yapılan başvurularda, silinmesi talep edilen bilgiler kişilik haklarını zedelemesi durumunda, üçüncü kişiler tarafından bilinmesi istenmeyen bilgileri silmek ve/veya bu bilgilere erişimi engellemekle yükümlüdür.

Google Spain ve Google Inc. bu karara karşı yüksek mahkeme olan Audencia Nacional nezdinde ayrı ayrı dava açmıştır. Google Inc. açtığı davada şu şekilde savunma yapmıştır: Google Inc. Google Arama Motoru’nun işletmecisi olmakla birlikte, şirketin merkezi ABD’dedir. Google Spain’de açtığı davada, kendisinin arama sonuçları ile bir ilgisinin olmadığını, veriyi kontrol etme yetkisinin bulunmadığını, kendisinin sadece Google Inc.’in İspanya’da olan müşterilerine Google Inc.’in reklam alanını tanıttığını ve sattığını belirtmiştir. Ayrıca her iki şirket Costaja Gonzales’in hukuka uygun bir veriye erişimi engelleme isteği yönünde bir hakka sahip olmadığını ifade etmişlerdir. Audencia Nacional, davaları birleştirdikten sonra, ihtilafın 95/46/EC sayılı Direktifin yorumundan kaynaklandığını belirterek, konu hakkında görüş bildirmesi için davayı ABAD’a taşımıştır

ABAD öncelikle Google Spain ve Google Inc.’in Audencia Nacional nezdinde ileri sürdükleri itirazları değerlendirmiştir. Mahkeme’ye göre, bir arama motoru işletmecisi, kendi şirket merkezi AB dışında olsa dahi, bir üye devlette arama motoru üzerinde reklam alanı sağlama ve satma amacıyla bir şirket kurduğu zaman şirket faaliyetlerinin, kişisel verilerin korunmasına ilişkin olarak, denetiminin Direktife göre yapılması gerekmektedir.

Google Spain ve Google Inc.’in internette yer alan tüm bilgileri kişisel veri ve diğer bilgiler şeklinde bir ayrıma tabi tutmaksızın toplamaları nedeniyle veri sorumlusu olamayacaklarını belirtmiştir. ABAD’a göre ise Direktifin ilgili maddelerinin yorumundan böyle bir sonuç çıkmamaktadır. Verilerin internette zaten başkalarınca yayınlanmış olması ve arama motorlarının bu verinin içeriğini değiştirmiyor olmasının bir önemi yoktur. Arama motoru işletmecisi aynı zamanda veri sorumlusudur; zira arama motoru işletmecisinin icra ettiği fonksiyon ile internet sayfalarının sahiplerinin veya yöneticilerinin icra ettikleri fonksiyon, birbirlerinden ayrı müstakil eylemlerdir.

Google Spain ve Google Inc. bilginin kaldırılmasını ve/veya silinmesini amaçlayan bir talebin bu bilgiyi kamuoyuna sunan kişiye yöneltilmesi gerektiğini; bunun ölçülülük ilkesinin bir sonucu olduğunu ifade etmişlerdir. ABAD’a göre ise Direktifin ilgili maddelerinin yorumundan çıkan sonuç şudur: Bir arama motoru işletmecesi, üçüncü kişilerce yayınlanan kişisel verileri içeren sayfalara ilişkin linkleri arama sonuçları listesinden çıkartmakla yükümlüdür.

Ayrıca, ABAD ilgili kişinin, üçüncü kişilerce hukuka uygun şekilde yayınlanmış ve kendisiyle ilgili gerçek bilgiler içeren internet sayfalarına arama motoru işletmecisi tarafından Google Search aracılığıyla yapılan bağlantıların kaldırılmasını, bu bilgilerin kendisine zarar verebilecek nitelikte olduğunu ya da bu bilgilerin belirli bir zamandan sonra unutulmasını arzu ettiğini belirterek, talep edip edemeyeceğine yönelik açıklamalarda bulunmuştur. ABAD, ilgili kişi kişisel verilerinin işlenmesinin engellenmesini ya da işlenmiş verilerinin silinmesini, her ne kadar kaleme alınış şekli yanıltıcı olsa da, Direktifin 12. maddesine göre sadece bu verinin yanlış ya da eksik olması durumunda değil, işlemenin Direktifin 6. maddesinde yer alan temel ilkelerden herhangi birine uymaması halinde de isteyebileceğini belirtmiştir. Bu noktada dikkat edilmesi gereken husus, işlemenin yapıldığı tarihte, bu işleme hukuka uygun olsa bile zamanın ilerlemesiyle bu işlemenin Direktifin 6. maddesine aykırılık oluşturabileceğidir. Böyle bir durumda ilgili kişi Direktifin 7. maddesini gerekçe göstererek Direktifin 14. maddesine göre kendisine dair verilerin işlenmesine itiraz edebilecektir.

Burada altı çizilmesi gereken nokta, ilgili kişinin bu talebinin kabul edilip edilmemesi değerlendirilirken, internette yer alan kendisiyle ilgili gerçek bilgilerden ilgilinin zarar görüp görmeyeceğinin değerlendirmede rol oynamayacağıdır; zira böyle bir değerlendirmeyi veri sorumlusunun objektif kıstaslar çerçevesinde yapması mümkün değildir.

Açıklanan tüm bu gerekçelerden dolayı Costeja Gonzalez, arama motoru işletmecisi Google Inc.’den Google Search’de ilgili gazetenin çevrimiçi arşivlerine verilen linklerin kaldırılmasını talep edebilecektir; gazete yer alan ilanın/haberin objektif olarak doğru olması bu sonucu değiştirmemektedir. Arama motoru işletmecisi de bu talebin gereğini yerine getirmelidir; zira yaklaşık 20 yıl önceki haber güncel değildir. Haberin içeriğinde yer alan bilgilere toplumun ulaşmasında, Costeja Gonzalez’in toplumdaki rolü göz önünde alındığında, toplumsal bir yarar gibi üstün bir menfaati kanıtlayan özel bir neden de bulunmamaktadır.

ABAD’ın Google ve diğer arama motoru işletmecilerine dair verdiği kararı bu arka planla okumak ve kararın esas noktalarını özetlemek faydalı olacaktır:

1. İnternette üçüncü şahıslarca yayınlanmış bilgiyi konumlandırma, otomatik olarak indeksleme, geçici olarak saklama ve son olarak belirli bir tercih sırasına göre internet kullanıcılarına sunulmasından oluşan arama motoru faaliyeti, kişisel verilerin işlenmesi olarak nitelendirilmeli ve arama motoru işletmecisi de veri sorumlusu olarak bu kişisel verilerin işlenmesinden sorumlu olmalıdır.
2. Arama motoru işletmecisinin şirket merkezinin ülke dışında olması, şirketin bir şubesinin ülkede faaliyet göstermesi halinde, şirketin bu sorumluluktan kaçabilmesine olanak vermemektedir.
3. Bireyler kendilerine tanınan temel hak ve özgürlüklerden, özellikle mahremiyet hakkından, tam olarak faydalanabilmek için, arama motoru işletmecisine doğrudan başvuru yapabilmelidir.
4. İlgili kişi arama sonuçlarında yer alan linklerin kaldırılmasını, bu linklerin içeriğinde kendisiyle ilgili gerçek bilgilerin bulunması halinde dahi isteyebilecektir.
5. Kişinin genel olarak geçmişiyle bağlı kalmama hakkı mevcuttur.
6. Kişisel verilerin yayınlanmasının hukuka aykırı olması gerekmemektedir.
7. Unutulma hakkı çerçevesinde yapılan başvurularda unutulma hakkı ile çatışan diğer temel hak ve özgürlükler arasında denge kurulmalıdır.

ABAD kararından sonra Google, unutulma hakkını kullanmak isteyen AB vatandaşlarının başvurularını kabul etmeye başlamıştır. Ancak ifade edilmelidir ki, unutulma hakkından şu anda sadece 28 AB üyesi ülke ve AB üyesi olmayan İzlanda, Norveç, İsviçre ve Liechtenstein ülkeleri yararlanmaktadır. Türkiye’den yapılan başvurular henüz değerlendirilmeye alınmamaktadır.

AYM’nin Unutulma Hakkı Kararı

AYM, ABAD’dan farklı olarak haber arşiv içeriğinin, dolayısıyla ilgili sayfanın kendisinin, unutulma hakkı çerçevesinde silinebileceğini belirtmiştir. Buna karşın ABAD, unutulma hakkını sadece arama motorunda gösterilen sonuçlar çerçevesinde ele almıştır.

Karara konu olan olay şu şekilde özetlenebilir: Ulusal ölçekte yayımlanan bir gazetenin internet arşivi sayfalarında, başvurucu hakkında uyuşturucu kullandığı iddiası ile yürütülen bir ceza kovuşturması neticesinde adli para cezasına hükmedilen olaya ilişkin olarak 1998 yılında iki, 1999 yılında bir olmak üzere toplam üç haber başlığı yayımlanmıştır. Başvurucu, ilgili basın kuruluşunun internet sayfasının arşiv bölümünde hakkındaki haberlerin yayınına devam ettiğini belirterek, bu tarihte 5651 sayılı Kanun’un 9. maddesi 6518 sayılı Kanun ile henüz değiştirilmediğinden, 02.04.2013 tarihinde ilgili basın kuruluşuna internet yayınının kaldırılması hakkında ihtarname göndermiştir.

İlgili sitenin iki gün içinde anılan haber içeriklerini kaldırmaması üzerine başvurucu, içeriklerin yayından kaldırılması talebiyle ilgili basın kuruluşu aleyhine 18.04.2013 tarihinde (kapatılan) İstanbul 36. Sulh Ceza Mahkemesine başvurmuştur. İlgili sitenin iki gün içinde anılan haber içeriklerini kaldırmaması üzerine başvurucu, içeriklerin yayından kaldırılması talebiyle ilgili basın kuruluşu aleyhine 18.04.2013 tarihinde (kapatılan) İstanbul 36. Sulh Ceza Mahkemesine başvurmuştur. (Kapatılan) İstanbul 36. Sulh Ceza Mahkemesi 22.04.2013 tarihli ve 2013/314 Değişik İş sayılı kararı ile talebin kabulüne karar vermiştir. Anılan karara karşı yapılan itiraz, İstanbul 2. Asliye Ceza Mahkemesinin 28.05.2013 tarihli ve 2013/235 Değişik İş sayılı kararlarıyla kabul edilerek (kapatılan) İstanbul 36. Sulh Ceza Mahkemesinin kararının kaldırılmasına hükmedilmiştir. Bunun üzerine başvurucu, Anayasa m. 12, 17, 20, 25, 26, 27 ve 32 ile korunan haklarının ihlal edildiği iddiası ile AYM’ye başvurmuştur.

AYM ise başvurucunun iddialarını mahiyeti itibarıyla Anayasa m.20/3’de düzenlenen kişisel verilerin korunmasını isteme hakkı ile bağlantılı olarak Anayasa m. 17/1’de düzenlenen kişinin maddi ve manevi varlığını koruma ve geliştirme hakkı çerçevesinde değerlendirmiştir. Daha sonra ise bu haklar ile çatışan düşünceyi açıklama ve yayma özgürlüğü ile basın özgürlüğüne dair değerlendirmelerde bulunmuş ve en son olarak da hak ihlali iddiasına konu olan olayı, çatışan menfaatler çerçevesinde incelemiştir.

İnternet ortamında yayınlanan bir haberin, Anayasa’nın 17. maddesinin birinci fıkrasında düzenlenen “kişinin manevi varlığının korunması ve geliştirilmesi hakkı” kapsamında kabul edilmesinin yanı sıra, kişinin kimliği ile bağlantı kurularak kişisel bir verinin alenileştirilmesi Anayasa’nın 20. maddesinin üçüncü fıkrasının dikkate alınmasını zorunlu kılmaktadır.

Bununla birlikte, unutulma hakkının internet gazete arşivlerindeki her türlü haber yönünden uygulanmasını beklemek mümkün değildir. Haber ve fikirlerin iletilmesinde ve alınmasında önemli bir işlev gören internet, Anayasa’nın 26. maddesinde düzenlenen ifade özgürlüğünün güvencesi altındadır. Nitekim AYM, internet erişimine yönelik bir müdahalenin ifade özgürlüğü kapsamında incelenmesi gerektiğini daha önceki kararlarında kabul etmiştir.

Başvurucu hakkında internet ortamındaki arşivde muhafaza edilen ve kolaylıkla ulaşılabilir kılınan haberler 1998 ve 1999 yılındaki ceza yargılamasına ilişkindir. Bu haberlerin gerçeğe aykırı olduğu ileri sürülmemiştir. Haberler başvurucunun uyuşturucu kullanırken yakalanması ve daha sonrasında yargılanması hakkındadır. Bu bağlamda haberin konusunun, haberin arşivde kolaylıkla ulaşılabilir kılınması için gerekli toplumsal açıdan haber değerinin devam ettiği veya haberin geleceğe ışık tutacak nitelikte bir haber olduğu söylenemez. Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır.

Başvurucu hakkında yapılan haberler unutulma hakkı kapsamında değerlendirilmesi gereken haberlerdir. İnternet ortamının sağladığı kolaylıklar gözetildiğinde başvurucunun şeref ve itibarının korunması için anılan habere erişimin engellenmesi gerekmektedir. Bu bağlamda erişiminin engellenmesine yönelik talebin reddedilmesiyle ifade ve basın özgürlükleri ile kişinin manevi bütünlüğünün korunması hakkı arasında adil bir dengenin kurulduğu söylenemez. Açıklanan gerekçelerle başvurucunun şeref ve itibarını koruma hakkının ihlal edildiği sonucuna varılmıştır.

HGK’nun Unutulma Hakkı Kararı

HGK, diğer yargı organlarından farklı olarak unutulma hakkını sadece internet ortamında yer alan kişisel veriler için değil, offline işlenen kişisel veriler için de kabul etmiştir.

Karara konu olan olayda davacı 2006 yılında gerçekleşen mağduru olduğu cinsel saldırı eylemi nedeniyle şikâyetçi olmuş, yapılan yargılama sonucunda yerel mahkemece verilen karar 2009 yılında Yargıtay tarafından onanmıştır. Mağdur davacı gerek hazırlık gerekse de yargılama aşamasında cinsel saldırının nasıl gerçekleştiğini açık bir şekilde anlatmış, bu anlatımlar doğal olarak karar metnine geçirilmiştir. Karar, mağdur ve sanığın ismi rumuzlanmaksızın 2010 yılında yayınlanan bir kitapta yer almıştır. Davacı bir ceza hukuku kitabında isminin rumuzlanmaksızın aynen kullanılması üzerine kişilik haklarının ihlal edildiği ve bu nedenle manevi zarara uğradığı iddiasıyla tazminat davası açmış; yerel mahkeme rumuzlanmaksızın kişinin ismine bir kitapta yer verilmesinin kişilik haklarını zedelediğini gerekçesiyle manevi tazminat talebinin kısmen kabulüne karar vermiştir.

Temyiz üzerine Yargıtay 4. Hukuk Dairesi kararı, adı geçen eserin bilimsel nitelikli bir çalışma olması ve bazı ilkeler gereği bozmuştur. Dosyanın yerel mahkemeye gönderilmesi üzerine yeniden yapılan yargılama sonucunda; yerel mahkeme önceki gerekçelerine dayanarak kararında direnmiştir. Direnme nedeniyle dava HGK önüne gelmiştir.

Yargıtay 4. Hukuk Dairesi’nin bilim özgürlüğüne dair yaptığı açıklamalar doğru olmakla birlikte, ulaştığı sonuca katılmak mümkün değildir; zira hakkın kullanılması ile işlenen haksızlık arasında bir mantıki bağlantı bulunmalıdır ve hakkın sınırı aşılmamalıdır. Mantıki bağdan kasıt, fiilin, hakkın kullanılabilmesi açısından en azından bir faydasının olması, hakkın kullanımına katkı sağlamasıdır. Oysa tacize uğrayan kişinin kimlik bilgilerinin verilmesi, eserin bilimsel içeriğine herhangi bir katkı sağlamamaktadır; bu nedenle de özel hayatın gizliliğine orantısız bir müdahale teşkil etmektedir. Hukuki konularda bilimsel eser yazılmasının amacı, teorisyenleri ve uygulamacıları konuya dair hukuki sorunlar hakkında bilgilendirmek olup, olaya karışan kişilerin kimlikleri ve diğer şahsi verilerin kamunun bilgisine sunulması bu amaca dâhil ve bunu gerçekleştirmeye uygun değildir. Nitekim öğretide de haklı olarak, mağdurun isim bilgisinin, unutulma hakkı anlamında “sonradan tamamen ilgisiz hale gelmiş veri” olarak kabul edilmesi gerektiği belirtilmiştir. HGK da bu düşüncelerden hareketle olsa gerek, yerel mahkemenin direnme kararını şu gerekçelerle haklı bulmuştur.

Unutulma Hakkına İlişkin Ulusal Mevzuat

Unutulma hakkı ulusal mevzuatımızda açıkça düzenlenmemiştir. Ancak Regülasyonun 17. maddesinde düzenlenen hükmün göz önünde bulundurulması ve unutulma hakkının 6698 sayılı Kanun’da yapılacak değişiklik ile açıkça düzenlenmesi üzerinde düşünülmesi gereken bir husustur. Böylesi bir düzenleme mevcut olmadığında dahi, mevzuatımızda unutulma hakkının temeli sayılabilecek ve/veya bu hakkın kullanılmasına hizmet edebilecek bazı hukuki düzenlemelerin bulunduğu da belirtilmelidir. Gerçekten de unutulma hakkının temeli olarak sayılabilecek olan hukuk devleti ilkesi (m.2), bireyin maddi ve manevi varlığını serbestçe geliştirme hakkı (m.17), özel hayatın gizliliği hakkı (m.20), konut dokunulmazlığı (m.21), haberleşmenin gizliliği (m.22), dini ve vicdani kanaatleri açıklamaya zorlanamama (m.24), düşünce ve kanaatleri açıklamaya zorlanamama (m.25) gibi anayasal düzenlemeler Türkiye Cumhuriyeti Anayasası’nda yer almaktadır.

Arama motorları aracılığıyla yapılan aramalarda gösterilen arama sonuçlarından, kişisel verilerin yer aldığı web sayfalarına ait linklerin karartılması hususunda ülkemiz yargı organlarınca, ABAD kararı göz önünde bulundurularak, verilmiş bir karar bulunmamaktadır. Ancak 6698 sayılı Kanun aynen Direktif gibi, arama motoru işletmecilerin de veri sorumlusu olarak kabul edileceğini (m. 3/ı) ve kişisel verilerin işlenmesinin ancak işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını gerektiğini ve bu işlemenin de gerekli olan süre kadar muhafaza edilmesi gerektiğini belirtmektedir (m. 4/ç ve d).

Kişisel verilerin yer aldığı web sayfalarının içeriğinin silinmesi ve/veya engellenmesi hususunda da ulusal mevzuatımızda açık hüküm bulunmamakla birlikte, bu sonucu doğuracak normlar mevcuttur. Bu noktada yine 6698 sayılı Kanun göz önünde bulundurulmalıdır.

İçeriğin engellenmesi ve/veya silinmesi yoluyla unutulma hakkının kullanılmasına ilişkin mevzuatımızda yer alan en önemli madde, “içeriğin yayından çıkarılması ve engellenmesi” başlığını taşıyan 5651 sayılı Kanun’un 9. maddesidir.

Bilindiği üzere 5651 sayılı Kanun’un 9. maddesi 2014 yılında 6518 sayılı Kanun’un 93. maddesi ile önemli değişikler geçirmiştir. Bu değişikler sonucu 5651 sayılı Kanun’un 9. maddesinin unutulma hakkının kullanılması için son derece elverişli bir ortam sunduğu kabul edilebilir.

5651 sayılı Kanun’da yapılan değişiklikler isabetli olmakla birlikte, uygulamada söz konusu maddenin hayata geçirilmesinde bazı sıkıntıların mevcut olduğu da bilinen bir gerçektir; zira 9. maddeye göre yapılan istem yalnızca yurt içinden içerik sağlayan ve/veya yer sağlayanlar için uygulama alanı bulabilmektedir. Ancak bu tür eksiklikler yasa koyucunun elinde olan imkânlarla çözebileceği hususlar değildir. Aksine bu durum konunun uluslararası boyutunu ortaya koymakta, internetle ilgili hususlarda uluslararası adli yardımlaşmanın önemine dikkat çekmekte ve daha da önemlisi ulusal mahkemelerin ve diğer ulusal mercilerin uluslararası yer sağlayıcıları ile doğrudan irtibat kurabilmesinin ne denli önemli olduğunu belli etmektedir. Bu noktada Türkiye’nin, internetin büyük aktörleri şirketlere, yurt içi irtibat büroları kurmaları yönündeki çağrısının, sadece unutulma hakkının kullanılabilmesi için değil, bilişim hukukuyla kesişen diğer tüm hukuk dallarında yaşanan problemlerin hızlı çözümü için de doğru ve önemli bir adım olduğunun altı çizilmelidir.