Top
Veri Koruma Otoritelerini Tanıyalım: Belçika – kişiselveriler.blog
fade
4544
post-template-default,single,single-post,postid-4544,single-format-standard,eltd-core-1.2.1,flow-ver-1.6.3,,eltd-smooth-page-transitions,ajax,eltd-blog-installed,page-template-blog-standard,eltd-header-type2,eltd-sticky-header-on-scroll-down-up,eltd-default-mobile-header,eltd-sticky-up-mobile-header,eltd-dropdown-default,eltd-dark-header,eltd-header-style-on-scroll,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Veri Koruma Otoritelerini Tanıyalım: Belçika

kişiselveriler.blog / Haber  / Avrupa  / Veri Koruma Otoritelerini Tanıyalım: Belçika
Belçika Veri Koruma Otoritesi

Veri Koruma Otoritelerini Tanıyalım: Belçika

Kişisel veri ihlallerini tespit eden ve ceza veren kurumlar olan veri koruma otoritelerinin sistemde önemli bir yeri var. Sizlere farklı ülkelerin veri koruma otoritelerini tanıtarak, farklı ve benzer yönlerini göstermek ve genel olarak sistemin nasıl çalıştığı hakkında fikir vermek istiyoruz. Bu serimize Belçika veri koruma otoritesi olan APD ile başlıyoruz.

Toplumsal düzeni sağlamada yasalar ve yaptırımlar kadar, uygulayıcılar ve uygulamaya rehberlik eden kurumların varlığı da bir o kadar önemlidir. Nitekim normların belirlenmesi, hukuk üreten metinlerin geniş kesimler tarafından anlaşılırlığı ve uygulama birliğinin sağlanması yasa koyucuların  sistemin işleyişi bakımından aynı derecede önemlidir.  

Yasal düzenlemelerin uygulama aşamasında, düzenleyici ve denetleyici olarak da tanımlanan kurumlar olarak kabul edilen otoriteler, yasaların verdiği yetkilere dayanarak verdikleri yaptırım kararları ve olay-konu bazında ürettikleri görüş ve tavsiyelerle ilgili alanda hukuk üreten aktörler haline ola gelmiştir. 

Blogumuzu yakından takip edenler için belki tekrar bilgi olacak ancak, henüz ilgi duyanlar için konu ve bazı kavramların anlaşılabilmesi adına kısaca ön bilgi vermek isterim:  Kapsamının genişliği, yaşayan tüm gerçek kişilerin özel yaşamının mahremiyetini konu alması ve bilgi toplumu teknolojileri ile olan ilgisi sebebiyle kişisel veri güvenliği günümüzün en yeni ve popüler hukuki rejimlerinden birisi olmuştur. 

Kişisel verilerin korunması denilince en önde gelen hukuki rejim, tüm ülkelerin iç hukuku için de adeta  lokomotif olan AB Genel Veri Koruma Regülasyonu (GDPR) çevresinde oluşturulan hukuki rejimdir. Kişisel verilerin korunması bakımından “veri sorumluları” ve işleyenlerin dikkate alması gereken ilke ve esasların yanı sıra, veri işleme faaliyetlerinde aydınlatma ve açık rıza gibi prosedürleri, ihlal risklerinin önceden belirlenmesine dair veri koruma etki değerlendirmesi (DPIA), her bir veri sorumlusuna bu alanda bir nevi danışmanlık ve rehberlik etmesi amacıyla Veri Koruma Yetkilisi (DPO) gibi önemli yenilikler getiren Regülasyonla birlikte, AB genelinde kişisel verilerin korunması konusunda görevli ve yetkili bir otorite olan Avrupa Veri Koruma Kurumunu (European Data Protection Board) ihdas etmiştir.

Yine AB’nin resmi kurumlarının veri işleme faaliyetlerini izleme ve onlara rehberlik /danışmanlık  yapmak üzere Avrupa Veri Koruma Kurumu  (“EDPB”) ile eşgüdüm halinde çalışacak Avrupa Veri Koruma Danışmanı’nın  (European Data Protection Supervisor) atanmasını öngörmüştür. 2016 yılında kabul edilen GDPR’la ihdas edilen bu iki yapıyı bir başka yazımızda analiz etmeyi buraya not düşelim. 

Yazımızın asıl konusu olan ulusal veri koruma otoritelerine geri dönelim. Ülkemizde 2016 yılında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel veri güvenliği alanında başlayan yeni dönemde yavaş yavaş adından söz ettirmeye başlayan veEDPB ile koordinasyon içerisinde çalışan Kişisel Verileri Koruma Kurumunun (“KVKK”) Avrupa ülkelerindeki muadillerinden bir örneği tanıtarak, bazı kıyaslamalar yapmak istiyorum. Bu amaçla bu yazımda, AB’nin başkenti Brüksel’de bulunan Belçika Veri Koruma Otoritesini (Autorité de protection des données) yapılanma ve işleyiş  bakımından ele almaya çalışacağım.  

Belçika’da Kişisel Veri Güvenliği Mevzuatı ve Otoritenin Kuruluşu


Aslında AB’nin bu küçük ama önemli ülkesi kişisel veri güvenliği hukuku alanında tecrübeli sayılabilecek bir konumda. Belçika’da 1992 tarihinde yürürlüğe giren Kişisel Verilerin İşlenmesi Bağlamında Özel Hayatın Korunması başlıklı kanunun, 30 Haziran 2018’de kabul edilip 5 Aralık 2018’de yürürlüğe giren Kişisel Verilerin İşlenmesi Karşısında Bireylerin Korunmasın Dair Yasa ile yürürlükten kalktığını görüyoruz. GDPR’da (ve tabi ki daha önce yürürlükte olan 95/46 sayılı Direktifteki) veri işlemeye dair öngörülen temel nitelikli ilke, esas ve usuller ile temel tanım ve kavramlar bu yeni düzenlemede de yer almışlar. Yeni Yasanın AB ölçeğindeki diğer muadillerine göre temel farkı, daha çok kamu sektöründeki “veri sorumluları” ve bunların veri işleme faaliyetlerini ele alıyor olması, ve yargı süreci öncesinde “haksız uygulamayı durdurma” prosedürünü getirmiş olması olarak göze çarpıyor.

Bir başka farklılık olarak çocuk tanımında kimi ülkelerde belirlenen  16 yaşın yerine, Belçika Yasası 13 yaşı esas almış olması. Bu noktada ülkemizde uygulanan 6698 sayılı Kanunda ya da alt düzenlemelerde çocuk kategorisini tanımlamak için bir yaş limiti belirlenmediğini ve çocukların kişisel verilerini tanımlarken Medeni Kanun’un genel yaş hükmü ile bağlı olduğumuzu hatırlatmakta fayda var. Belçika’nın yeni veri koruma yasasında 1992 tarihli mülga Yasadan kalma bir uygulama olarak, bir kuruluşta Özel Nitelikli Kişisel Verilere erişenlerin isim listesinin, talep halinde Otoriteye bildirilmesinin de bulunduğunu görüyoruz.

Burada ilginç olan nokta ise, Belçika Veri Koruma Otoritesinin (Autorite de Protection des Donnes) Yasadan daha önce, yani 3 Aralık 2017 tarihli Kuruluş Yasası ile ihdas olmuş olması. Böylece Belçika Veri Koruma Otoritesini, (“APD*) yeni veri koruma otoritesi olarak Belgian Privacy Commission’nun yerini almış oldu. 

Atomium anıtı, Brüksel
Atomium, Brüksel

Otoritenin Yetki Alanı ve Misyonu


APD, Bölgesel toplumlar (kantonlar), Parlamentolar, Hükümetler vs diğer otoritelerin yetkileriyle bağlı olmaksızın Belçika Krallığı sınırları içerisinde tam yetkilidir. Adliye sistemi ve Mahkemeler ile savcılıkların yürüttüğü işlemler ise otoritenin görev alanı dışında tutulmuştur. APD Kamu Yararı ilkesini gözeterek faaliyet göstermektedir.

Teşkilat Yapısı ve İşleyiş


Belçika Veri Koruma Otoritesi, temel olarak şu departmanlardan teşkil edilmiştir.

  • Yürütme Kurulu
  • Genel Sekreterlik
  • Ön Büro
  • İletişim Merkezi
  • Denetleme Kurulu
  • Hukuk Dairesi

Ön Büro

Otoriteye veri sahiplerince yapılacak ver güvenliği ihlalleri ilgili başvurular ya da şikayetler ilk önce Ön Büro’ya iletilmektedir.  Müdür statüsünde bir Yöneticinin koordine ettiği bu birimin ayrıca Kamu oyuna (özellikle azınlıklara) veri koruma konsunda bilgilendirme ve farkındalık faaliyeti yaptığını görüyoruz.  Bu birimin “veri sorumlusu” ve “veri işleyenlere” yönelik farkındalık faaliyetleri de bulunmaktadır.

Bizde bulunmayan önemli bir uygulama olarak, daha başvuru aşamasında taraflara arabuluculuk hizmeti sunduklarını görüyoruz. Arabuluculuktan sonuç alınamazsa konuyu mahiyetine göre Denetleme Kuruluna havale ediyor.

Denetleme Kurulu

Temel işlev olarak olarak kurumun inceleme ve soruşturma birimi olan Denetleme Kurulu bir başkan ve müfettişlerden oluşuyor. Başkanın henüz seçilmediği ya da görevi başında olmadığı durumlarda en kıdemli müfettiş başkanlık görevine vekalet ediyor.  Müfettişler Krala, Anayasaya ve Belçika Yasalarına bağlılık yeminin ederek göreve başlıyorlar. Çalışma Yönergesi gibi birime özgü iç düzenlemelere sahipler var. Müfettişlerin sahip olması gereken niteliklerini Yürütme Kurulu belirliyor. Müfettişler her türlü bilgi ve belgeyi talep etme, gerektiğinde yerinde inceleme yapma, belge ve cihazlara el koyma, kopya alma gibi geniş yetkilere sahipler. 

Hukuk Dairesi

İşleyiş olarak bakıldığında Uyuşmazlık Dairesi olarak da adalandırabiliriz. Bir Başkan ve 6 üyesi var. Kişisel Veri Koruma alanında yetkin 2 Üye, İdari Uyuşmazlık Süreçleri alanında 2 Üye, Bilgi Güvenliği ve Bilişim Teknolojileri alanında uzman 2 üye görev yapıyor.  Görev süreleri 6 yıl olarak belirlenen üyeler Temsilciler Dairesi tarafından atanıyorlar. AB üyesi ülke vatandaşı ve sivil ve siyasi haklardan yararlanma ehliyetini haiz olmaları gerekiyor. AB Parlamentosu, Yasama Meclisi, Federal Hükümet, Bölgesel Parlamento gibi resmi organlara üyeleri olmamaları gerekiyor.  Daire, çoğunlukla toplanıp oy çokluğuyla karar alıyor. Çalışma ve karar alma usullerini düzenleyen iç usul düzenlemelere sahipler. BELÇİKA Yargı Sisteminden bağımsız olmakla bilikte, mahkeme ya da istinaf süreçlerinden önce, veri sahibinin maruz kaldığı ihlali ve uğradığı zararı  giderme fonksiyonlarını yerine getiriyorlar. 

İletişim Merkezi

Talep üzerine  veya re’sen sosyal, ekonomik ve teknolojik gelişmelerin Kişisel Verilerin Korunması alanındaki etkileri üzerine  idari ve teknik tedbirler konusunda Tavsiyeler ve Görüşler yayınlıyor. Flemenkçe ve Franszıca dillerini konuşan 3 er üyeden olmak üzere 6 üyesi var. Üyeler kendi aralarından bir Direktör seçiyor. Üyeler 6 yıl görev yapıyorlar veTemsilciler Dairesi tarafından atanıyorlar. Çoğunlukla toplanıp oy çokluğuyla karar alıyorlar.

İletişim merkezinden görüş almak isteyenler, e-posta ya da web sayfası üzerinden doğrudan başvuruda bulunabiliyorlar. İletişim Merkezi, başvurudan itibaren 60 gün içinde görüş bildirmekle yükümlü. Mevzuatın öngördüğü özel ve aciliyet gerektiren durumlarda bu süre 50 güne inebiliyor. 

Başvuru, Şikayet ve Karar Alma


Ön Büro Aşaması

  • Ön Büro ilk olarak başvuru ya da şikayetin geçerlilik değerlendirmesini yapıyor. Bunun için  de şikayetin:
  1. Ulusal dillerden (Fransızca yada Flemenkçe) birinde hazırlanmış;
  2. Somut bir olayı tanımlıyor ve veri işlemeye dair gerekli unsurları içeriyor;
  3. Veri Koruma Kurumunun yetki alanına giriyor  olması gerekli. 

Geçerlilik değerlendirmesi aşamasında Ön Büro’nun şikayetçiyi ya da başvurucuyu açıklama yapması için Kuruma davet edebildiğini öğreniyoruz. Şikayet ya da başvurunun kabul edilip edilmediği ilgiliye bildiriliyor. Kabul edilmeme kararı gerekçesiyle birlikte bildiriliyor. Akabinde Ön Değerlendirme ve Arabuluculuk Aşamasına geçiliyor. Tarafların Arabuluculuk talebi varsa değerlendirmeye alınıyor . Uzlaşmaya dair bir sözleşme bulunup bulunmadığına bakılıyor.

  • Uzlaşma sağlanmışsa; veri koruma mevzuatı bakımından uzlaşmanın uyumlu olup olmadığına dair bir rapor düzenleniyor. (Uzlaşı, Kurumun denetim yetkisine halel getirmiyor)
  • Uzlaşma sağlanmamışsa şikayet; Başvurucunun rızası ya da Ön Büro tarafından mevzuat bakımından ciddi veri ihlali  olduğu ya da önemli sonuçlar doğurabileceğine dair kanaat getirilmişse Hukuk/Uyuşmazlık  Dairesine  ve Yürütme Kuruluna sevk ediliyor.

Yürütme Kurulu Aşaması

Ön Bürodan gelen dosya üzerine Yürütme Kurulu, veri koruma ilkelerini ihlal eder nitelikte bir uygulamanın emarelerine rastlarsa;

  1. Hukuk Dairesi, şikayetçinin,  konunun denetlenmesi talebini  yerinde bulursa, ya da ilave bir soruşturmaya ihtiyaç duyarsa,
  2. Yürütme Kurulu, diğer bir ülkedeki veri koruma otoritesi ile işbirliğine gidilmesi amacıyla talepte bulunursa, 
  3. Adli bir makamdan ya da İdari Denetim Organından gelen bir talep söz konusuysa,
  4. Ya da gerek veri koruma yasası gerekse veri güvenliğini konu alan diğer mevzuattaki hükümlerin ihlal edildiğine dair bir çok kuvvetli emare söz konusuysa 

Dosya, konunun ayrıntılı incelenmesi, dosyanın tekemmülü ve görüş ve kanaati için Ön Bürodan Hukuk Dairesine sevkinden itibaren 30 gün içinde Denetim Kuruluna havale ediliyor. 

Denetim Kurulu Aşaması

  1. Kurulun görevlendirdiği Müfettişler, İlgili kişileri belirleyip, yazılı ya da yüz yüze olacak şekilde bilgilerine başvurma, yerinde inceleme, gerekiyorsa elektronik alt yapı ya da cihazlardaki işlemleri ve verileri kopyasını alma, el koyma gibi geniş bir çok yetkiyle hareket edebiliyor.
  2. Nihayetinde,  30 gün içinde bir Rapor hazırlayıp dosyasına ilave ederler. Akabinde dosyayı Hukuk Dairesi Başkanına, cezai soruşturma gerekiyorsa Savcıya gönderir. Hiçbir işlem gerekmiyorsa dosyayı kapatır.  Ya da gerekiyorsa ilgili ülke Veri Koruma Otoritesine gönderir.

Hukuk Dairesi Aşaması

Savcılık, Ceza Yasası boyutuyla yapacak bir işlem olmadığına karar verirse, ya da uzlaşmacı ya da arabuluculuk gibi bir çözüm bulursa, ya da 6 ay içinde bir karara varamazsa, Veri Koruma Otoritesi idari süreci devam edip ettirmemeye karar verir. 

  1. Karar Öncesi

Sürecin devamına karar verildiği takdirde, Hukuk Dairesi; taraflara her türlü bilgi ve belgeyi elektronik ortamda sunabileceklerini, savunma yapabileceklerini, duruşma talep edilebileceklerini, dosyaya katkı sunacaklarını düşündükleri her türlü belgeyi ekleyebileceklerini hatırlatıyor. Daire ayrıca; 

  • Şikayeti esastan görüşeceğini duyurmaya,
  • Uzlaşmacı bir çözüm önermeye,
  • Şikayeti reddetmeye,
  • Uyarılarda bulunmaya,
  • Şikayetçinin yasal hakları doğrultusundaki taleplerinin yerinde olduğuna,
  • İlgili kişi ya da kurumların veri güvenliği konusunda bilgilendirilmesine,
  • Konuyu savcılığın Brükseldeki ofisine sevk etmeye,
  • Vaka bazında değerlendirme yaparak Kurumun web sayfasından duyurmaya yetkilidir.

2. Müzakere ve Karar

Daire esastan ele aldığı şikayetle ilgili bu aşamada ise;

  • Şikayeti reddetme,
  • Cezai süreçleri başlatma,
  • Yargılamayı erteleme,
  • Uyarı ve kınayıcı ikazlarda bulunma,
  • Şikayetçinin yasal hakları doğrultusundaki taleplerinin yerindelik tespiti,
  • İlgili kişi ya da kurumların veri güvenliği problemi konusunda bilgilendirilmesi,
  • İşleme faaliyetinin geçici ya da sürekli dondurulması, sınırlandırılması ya da yasaklanması,
  • İşlemenin mevzuata  uyumlu hale getirilmesi, 
  • Veri işlemeye yönelik düzeltme, sınırlama, silme kararının veri alıcısına iletilmesi
  • İdari para cezası ve para cezası ödenmesi,
  • Sınır ötesi bir ülke ya da uluslararası kuruluşa veri akışının durdurulması,
  • Vaka bazında değerlendirme yaparak Kararın Kurumun web sayfasından yayınlanması şeklinde karar alabiliyor.

Ayrıca Belçika’daki 2018 tarihli yeni Yasa uyarınca Daire 100 €’dan  30.000 €’ya kadar İdari para cezasına hükmedebiliyor. 

Birden fazla ama aynı nitelikli ihlal olması durumunda ceza miktarları birleştirilir.  Bu toplam tavan ceza miktarının 2 katından fazla olamıyor. Bir ya da aynı eylemle birden fazla farklı ihlal gerçekleşmişse en ağır olan para cezası uygulanıyor. Ancak, Belçika hukukuna göre, kişinin idari para cezası aldığı veya suçlu bulunduğu 3 yıl ve daha öncesine ait kararlar bu hesaplamada dikkate alınmıyor. Hükmedilen para cezaları ve işlemler, genel idare tarafından tahsil ve icra için Hazineye ödeniyor. 

Yine Belçika’da ihlal içeren fiil, vuku bulduğu tarihten itibaren 5 yıllık sürede şikayete konu olmazsa zamanaşımına uğruyor.

3. Cezalara İtiraz

Kararın tebliğinden itibaren 30 gün içinde Piyasa Mahkemesine itiraz başvurusu yapılabilir.

Kanuni bir istisna hali söz konusuysa veya Daire özel gerekçeli bir kararla aksi yönde karar vermedikçe, karar temyize bakılmaksızın geçici olarak uygulanabiliyor.

SONUÇ


Ülkemizdeki Kişisel Verileri Koruma Kurumu ve Kurulunun işleyişle benzerlik ve farklılıkları ortaya koymak adına Belçika Veri Koruma Otoritesine yapılacak başvuru, şikayet ve karar alma prosedürünü sizlere anlatmaya çalıştım. Daha da akılda kalması adına yazının sonundaki iş akış şemasını ilginize sunmak istedim. Sonuçta farklı yapılanma ve işlevlere sahip de olsalar Veri Koruma Otoriteleri, aldıkları ceza kararları, ürettikleri görüşlerle yakın gelecekte adlarından söz ettirecekler. 

Bir veri koruma otoritesinin kestiği en ağır ceza olarak FransaVeri Koruma Otoritesi   ‘nin (Commission Nationale Informatique et Liberté – “CNIL”) 21 Ocak 2019 tarihinde Google’a; şeffaf olmadığı, aydınlatma konusunda yetersiz kaldığı, eklentilerin kişiselleştirilmesi süreçlerinde açık rıza prosedürlerinin olmaması gibi GDPR’ın bazı hükümlerini ihlal ettiği gerekçesiyle  50 milyon € cezayı hatırlıyoruz. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

Bir sonraki yazımızda ve daha sağlıklı günlerde görüşmek dileğiyle….

Ali Atlıhan
Ali Atlıhan
Yorum Bulunmuyor

Yorum Yapın