Kamuya Açık Verilerin Genel Veri Koruma Tüzüğü'ne Uygun Şekilde İşlenmesine İlişkin Genel Bilgiler

Genel Bakış

Genel Veri Koruma Tüzüğü (“GDPR”), kişisel verilerin kamuya açık kaynaklardan elde edilmesi durumunda dahi veri işleme faaliyetlerinin belirli kurallara tabi olduğunu açıkça ortaya koymaktadır.

Eğer kişisel veri doğrudan ilgili kişiden elde edilmemişse, veri sorumlusu veri sahibine aşağıdaki bilgileri sağlamakla yükümlüdür:

• Kişisel verinin kaynağı
• Verinin kamuya açık bir kaynaktan elde edilip edilmediği

Bu yükümlülük, GDPR Madde 14 kapsamında veri sahiplerinin bilgilendirilmesini zorunlu kılmaktadır.

Hassas Veriler ve Kamuya Açıklık

GDPR Madde 9 kapsamında, özel nitelikli kişisel verilerin işlenmesi daha sıkı kurallara tabidir. Ancak veri sahibinin veriyi açıkça kamuya sunmuş olması halinde bazı istisnalar söz konusu olabilir.

• Veri açıkça veri sahibi tarafından kamuya sunulmuş olmalıdır
• Veri sahibinin bu verinin işlenmesine yönelik açık bir iradesi bulunmalıdır

Bununla birlikte:

• GDPR’ın temel ilkeleri uygulanmaya devam eder
• Madde 6 kapsamında hukuki dayanak gerekliliği ortadan kalkmaz
• İşleme faaliyeti başka yollarla gerçekleştirilemiyorsa mümkün olabilir

Hukuki Dayanak (Legal Basis)

Kamuya açık verilerin işlenmesi de GDPR kapsamında olduğundan, veri işleme için geçerli bir hukuki dayanak belirlenmelidir.

Olası hukuki dayanaklar şunlardır:

• Açık rıza
• Sözleşmenin ifası
• Yasal yükümlülük
• Hayati menfaatlerin korunması
• Kamu yararı
• Meşru menfaat

Uygulamada, kamuya açık verilerin işlenmesinde en sık kullanılan hukuki dayanak meşru menfaat olmaktadır.

Ancak bu durumda:

• Meşru menfaat değerlendirmesi yapılmalıdır (Legitimate Interest Assessment)
• Veri sahibinin hakları ile denge kurulmalıdır

Kamuya Açık Veri ≠ Serbest Kullanım

Bir verinin sosyal medya gibi platformlarda paylaşılmış olması, bu verinin sınırsız şekilde kullanılabileceği anlamına gelmez.

Özellikle:

• Verinin ilk işlenme amacı korunmalıdır
• Yeni kullanım amacı bu amaçla uyumlu olmalıdır

Bu ilke, GDPR Madde 5 kapsamında düzenlenen amaç sınırlaması (purpose limitation) ilkesidir.

Örnek Karar: Belçika Veri Koruma Otoritesi

Belçika Veri Koruma Otoritesi, sosyal medyada paylaşılan verilerin dahi GDPR koruması altında olduğunu açıkça belirtmiştir.

Bir araştırma kapsamında kullanılan sosyal medya verileri:

• Pseudonymisation uygulanmadan kullanılmış
• Uygun hukuki dayanak oluşturulmamış

Bu nedenle ihlal kararı verilmiştir.

Madde 14 Kapsamında Bilgilendirme Yükümlülüğü

Veri kamuya açık bir kaynaktan elde edilmiş olsa bile, veri sorumlusu veri sahibine aşağıdaki bilgileri sunmak zorundadır:

• Veri sorumlusunun kimliği ve iletişim bilgileri
• Veri işleme amacı ve hukuki dayanağı
• Meşru menfaat varsa bunun detayları
• Veri alıcıları
• Veri aktarımı yapılan ülkeler
• Saklama süresi
• Veri sahibinin hakları (Madde 15–21)

Unutulma Hakkı (Right to be Forgotten)

GDPR Madde 17 kapsamında veri sahipleri, belirli şartlar altında verilerinin silinmesini talep edebilir.

Silme hakkının geçerli olduğu durumlar:

• Verinin artık gerekli olmaması
• Rızanın geri çekilmesi
• Meşru menfaate itiraz edilmesi
• Doğrudan pazarlama itirazı
• Verinin hukuka aykırı işlenmesi
• Yasal yükümlülük gereği silinmesi
• Çocuklara ait veriler

Ancak bu hak mutlak değildir. Aşağıdaki durumlarda veri işlenmeye devam edebilir:

• İfade özgürlüğü ve bilgi edinme hakkı
• Yasal yükümlülükler
• Kamu yararı
• Sağlık ve bilimsel araştırma
• Hukuki taleplerin tesisi

Sonuç

Kamuya açık veriler GDPR kapsamı dışında değildir. Aksine:

• Hukuki dayanak gereklidir
• Şeffaflık yükümlülükleri devam eder
• Veri sahiplerinin hakları korunur

Bu nedenle, kamuya açık veri kullanan şirketlerin GDPR uyum süreçlerini dikkatle yönetmeleri ve özellikle meşru menfaat dengesi, amaç sınırlaması ve bilgilendirme yükümlülüklerini titizlikle ele almaları gerekmektedir.