Mobile logo
Top

Dinamik IP ne zaman kişisel veri sayılır?

Avrupa Nasıl? Veri Koruma

Dinamik IP ne zaman kişisel veri sayılır?

Dilara TunçTürk’ün ilk önce verikorumahukuku.org   ‘da ve daha sonra KVBLOG’da yayınlanan yazısında IP adreslerinin statik veya dinamik olsun bazı durumlarda kişisel veri sayılabileceğini belirtmişti. Bu konuya açıklık getiren Avrupa Birliği Adalet Divanı’nın dinamik IP konusundaki bir kararının özetlendiği aşağıdaki yazıyı sizlerle paylaşmak istiyoruz.

NOT: Adalet Divanı’nın gerekçelerini sunmadan önce dinamik IP’nin hangi durumlarda kişisel veri sayılacağını hızlıca bir saymak gerekirse:

  1. Internet servis sağlayıcı bakımından kullanıcılara dinamik IP adreslerini dağıtıp kaydettiği sürece,
  2. Veri sorumlusu bakımından internet servis sağlayıcının tuttuğu IP kayıtlarına yasal ve meşru yollarla bir erişim imkanı ve olasılığı olduğu müddetçe,
  3. Veri sorumlusu (örn. internet sitesi) kullanıcının dinamik IPsini diğer kişisel bilgileri ile bir araya getiriyorsa (isim soyisim, eposta vs.)

Avrupa Birliği Adalet Divanı (ABAD), belirli durumlarda IP adreslerinin “kişisel veri” statüsünde kabul edileceği yönünde bir karar vermiştir. Bu karar önemlidir, çünkü IP adreslerinin toplanması ve daha fazla işlenmesinin GDPR’a (Avrupa Birliği Genel Veri Koruma Regülasyonu) tabi olabileceği ve işletmeler için yasaya uyum konusunda olası zorlukları doğurabileceği anlamına gelmektedir.

19 Ekim 2016 tarihinde, ABAD, IP adreslerinin belirli durumlarda kişisel veriler olduğuna karar verdiği 582/14 – Patrick Breyer / Almanya Davası kararını yayınlamıştı.  Karar, bildirdiğimiz gibi ilgili davaya görüş bildiren Hukuk Sözcüsünün Görüşü ile büyük ölçüde uyumludur.

Dava, Federal Almanya Cumhuriyeti (FAC) tarafından işletilen web sitelerini içermektedir. Birçok web sitesi operatörü gibi FAC, web sitelerinin ziyaretçilerinin IP adreslerini kaydetmektedir. Patrick Breyer (Korsan Partisi üyesi) FAC’e dava açarak şunları iddia etmiştir: 

  1. IP adresleri AB veri koruma yasası uyarınca kişisel veri olarak nitelendirilmektedir; 
  2. bu yüzden de FAC’ın bu tür verileri işlemek için bireylerden rızalarını alması gerekmektedir.

Temyizde, Berlin Bölge Mahkemesi (“Kammergericht”), ilgili kişinin web sitesini kullanma sırasında web sitesi operatörüne ek ayrıntılar (ör. isim, e-posta adresi vb.) sağlaması halinde, web sitesi operatörlerinin elindeki IP adreslerinin kişisel veri olarak nitelendirilebileceğine karar vermiştir.  Her iki taraf daha sonra bu karara karşı Alman Federal Adalet Divanı’na temyiz yoluna başvurmuştur. Alman Federal Adalet Divanı, bu bağlamda 95/46 / EC sayılı Direktifin (GDPR yürürlüğe girmeden önce geçerli olan eski Veri Koruma Direktifi) yorumlanmasıyla ilgili olarak ABAD’ye iki soru yöneltmiştir. Özellikle ABAD’dan üçüncü bir tarafın (örneğin, bir İnternet Servis Sağlayıcısı (“ISS”)) bu dinamik IP adreslerini ilgili kişinin kimliğine bağlamak için kullanılabilecek ek bilgileri (ör. hesap ayrıntıları)  tutması halinde, dinamik IP adreslerinin bir web sitesi operatörünün elindeki kişisel veriler olup olmadığı hususunda belirleme yapmasını istemiştir.  

ABAD’ın Bakış Açısı

İlk soru kişisel veriler nasıl tanımlanır?

Kişisel veriler  eski Veri Koruma Direktifinin 2 (a) Maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye (“veri sahibi”) ilişkin her türlü bilgi olarak tanımlanmaktadır. Kimliği belirlenebilir kişi “doğrudan veya dolaylı olarak […] kimliği belirlenebilen kişi”dir (vurgu eklenmiştir). Kimliği belirlenebilirlik meselesi hakkında daha fazla analiz, AB’nin 29. Çalışma Grubu tarafından 4/2007 sayılı Görüşünde sağlanmaktadır. 2016 yılında yürürlüğe giren GDPR 4/1’nci maddesinde aynı tanımı korumuştur. 

Dinamik IP adresi nedir?

Söz konusu olayda, Bay Breyer’in IP adresi dinamik olarak tahsis edilmiştir.  (yani, ağa her bağlandığında, cihazına yeni bir IP adresi verilmektedir). Normalde, dinamik bir IP adresi, bir web sitesi operatörüne, ek bilgi de mevcut olmadıkça (ör. kullanıcı web sitesinde oturum açar ve web sitesi operatörünün bu kullanıcıyı tanımlamasını sağlayan bilgiler sağlar), tek bir kullanıcının doğrudan kimliğini belirlemek için yeterli bilgi sağlamaz. Dosyanın tarafları, söz konusu IP adresinin doğrudan Breyer’in kimliğini belirlemediğini kabul etmişlerdir.

Mahkemenin tercih ettiği kriter

Dosyadaki kritik konu, Bay Breyer’in dinamik IP adresinden diğer mevcut bilgilerle birlikte dolaylı olarak kimliğinin belirlenebilir olup olmadığıydı. ABAD, kararını verirken eski Direktifin 26 ncı maddesine başvurmuş ve “kişinin kimliğinin tespit edilip edilemeyeceğini belirlemek için, söz konusu kişinin kimliğini belirlemek için veri sorumlu veya başka herhangi bir kişi tarafından makul olarak kullanılması muhtemel tüm araçların dikkate alınması gerektiğini” belirtmiştir.

Bay Breyer’in dinamik IP adresi onun doğrudan kimliğini belirlememesine rağmen, taraflar onun, İnternet Servis Sağlayıcı  (ISS) tarafından tutulan hesap verileriyle birlikte IP adresinin kombinasyonu ile dolaylı olarak kimliğinin belirlenebileceğini kabul etmişlerdir.  Mahkeme için önemli bir soru, kimliğin belirlenebilirliğine karar verirken  aşağıdaki iki kriterden birisini esas alabilirdi:

  • objektif (dinamik IP adresi her zaman ve kim tarafından işlenirse işlensin kişisel veridir, çünkü ISS, IP adresini başka hiç kimse yapmasa bile, Bay Breyer’in gerçek dünya kimliğini dinamik IP adresi ile ilişkilendirme imkanına sahiptir); veya
  • göreceli (dinamik IP adresi ISS tarafından işlenirken bir kişisel veridir, ISS tarafından tutulan bilgilere erişmek için yasal ve meşru gerekçesi olmadığı sürece başka bir tarafın elinde işlenirken kişisel veri olmayacaktır.)

ABAD bu soruyu açıkça çözmemesine rağmen karardan, Mahkeme’nin göreceli kriteri benimsediği anlaşılmaktadır. Bir verinin (dinamik IP adresi gibi) bir kişinin doğrudan kimliğini belirlememesi durumunda bile bu veri, onu gerçek bir kişinin gerçek dünya kimliğiyle ilişkilendirecek yasal ve meşru yollarla  elde edip, kime ait olduğunu belli edecek şekilde yeterli ek veri  ile ilişkilendirebilecek herhangi bir tarafın elinde de yine kişisel veri olarak telakki edilecektir. Öte yandan, aynı veri, böyle bir bağlantıyı kurmak için yeterli ek veri elde etmenin yasal yolu bulunmayan bir tarafın elinde ise bir kişisel veri olarak telakki edilmeyecektir. 

Dinamik bir IP adresini kişisel veri yapan nedir?

ABAD, aşağıdaki durumlarda dinamik bir IP adresinin bir web sitesi operatörünün elindeki kişisel veri olarak kabul edileceğine karar vermiştir:

  1. dinamik IP adresini bireyin kimliğine bağlayabilen başka bir taraf (İSS gibi) vardır; ve
  2. web sitesi operatörü, bireyin kimliğini belirlemek için İSS tarafından tutulan bilgilere erişim elde etmenin “yasal yollarına” sahiptir.

Gerçeklere göre, eğer FAC ilgili ISP’yi Bay Breyer’in kimliğini belirlemek için yeterli bilgiyi ifşa etmeye zorlayacak yasal güce sahipse, Bay Breyer’in IP adresi FAC’ın elindeki kişisel veri olacaktır.

İşletmeler üzerindeki etkisi

ABAD’nın Breyer kararı, C-70/10 – Scarlet Extended Davasındaki (Mahkemenin IP adreslerinin kişisel veriler oluşturduğuna, ancak bunun neden böyle olduğuna dair çok az analiz sunduğuna dair kararı) önceki kararını genişletmektedir. Breyer kararının işletmeler üzerindeki etkisi görülmeye devam etmektedir. Şayet bir işletme IP adreslerini topluyor ve işliyor ancak bu IP adreslerini ilgili kullanıcıların kimliklerine bağlamak için yasal yollara sahip değilse, bu IP adreslerinin kişisel veri olması olası değildir. Ancak işletmeler bir IP adresini belirli bir bireye bağlamak için yeterli bilgiye sahiplerse (ör. giriş bilgileri, çerezler veya diğer herhangi bir bilgi veya teknoloji aracılığıyla), bu IP adresi kişisel veridir ve GDPR tarafından tam olarak korumaktadır. 

Birçok işletme için bu durum, IP adreslerinin müşteri katılımı, web sitesi analizi, hedeflenen çevrimiçi reklamcılık vb. etkinlikler bağlamında nasıl ele alındığının gözden geçirilmesini gerektirecektir.

Bu sorunu önlemek için işletmelerin neler yapabileceği de belirsizdir. Örneğin, bir işletme sözleşmeye bağlı olarak bireyleri IP adreslerini kimlikleriyle ilişkilendiren ek bilgiler vermemeye zorlayabilir (ör. Web sitesi Hükümler ve Koşulları aracılığıyla). Ancak bir kişi (sözleşmeye aykırı olsa bile) ek bilgi sağladığı sürece, ilgili dinamik IP adresinin yine de kişisel veri olabileceği görülmektedir.

Buna ek olarak, işletmeler, AB Genel Veri Koruma Tüzüğünün (“GDPR”) bir kişinin “kimliğinin belirlenebilir” olup olmadığının (yukarıda ayrıntılı olarak ele alınmıştır) anlama çabasının, o kişinin kimliğini belirlemek için “makul olarak kullanılması muhtemel tüm araçlara” bağlı olduğunu belirten 26. Resitalini dikkate almalıdırlar. 

ABAD, Breyer’de, kimliğin tespiti olasılığı konusunu doğrudan ele almamıştır. Eğer FAC, Bay Breyer’in IP adresinden kimliğini belirlemeye makul bir şekilde teşebbüs etmemiş ise, bu potansiyel olarak GDPR kapsamında farklı bir analize yol açabilir.

9 Haziran 2020
0
0
ABAD IP kararlar
Related Posts
Karar İnceleme: Yazılım Geliştirme Sürecinde Yaşanabilecek Riskler
 10 Haziran 2020
Karar İnceleme: Amazon Kararının Değerlendirilmesi
 3 Haziran 2020
IP Adresi Kişisel Veri Midir?
 6 Şubat 2018
Meryem Günay
Meryem Günay
Yorum Bulunmuyor

Yorum Yapın