MADDE 29 VERİ KORUMA ÇALIŞMA GRUBU
01197/11/EN WP187
Rıza tanımı üzerine Görüş 15/2011
13 Temmuz 2011 tarihinde kabul edilmiştir.
- Madde Çalışma Grubu, 95/46 / EC sayılı Direktifin 29 uncu maddesi uyarınca kurulmuştur. Veri koruma ve gizlilik konusunda bağımsız bir Avrupa danışma organıdır. Görevleri 95/46 / EC sayılı Direktifin 30. Maddesi ve 2002/58 / EC sayılı Direktifin 15. Maddesinde açıklanmıştır.
Sekreterya, Avrupa Komisyonu C (Temel Haklar ve Sendikalar Vatandaşlığı), Genel Adalet Genel Müdürlüğü, B-1049 Brüksel, Belçika, MO59 06/36 Ofisi tarafından sağlanmaktadır.
Web sitesi: http://ec.europa.eu/justice/policies/privacy/index_en.htm
ÖZET
Görüş, hâlihazırda Veri Koruma Direktifi ve e-Gizlilik Direktifi’nde kullanılan rıza kavramının kapsamlı bir analizini sunar. 29. Maddenin Çalışma Grubu üyelerinin deneyimlerine dayanarak, Görüş, “örtük”, “serbestçe verilen”, “belirli”, “açık” gibi temel unsurlara odaklanan sayısız geçerli ve geçersiz rıza örneği sunmaktadır “,” açık “,” aydınlatılmış “vb. Görüş, rıza nosyonuyla ilgili bazı hususları daha da netleştirmektedir. Örneğin, ne zaman izin alınması gerektiğine ilişkin zamanlama, itiraz hakkının rızadan nasıl farklı olduğu vs.
Rıza, kişisel verileri işlemenin yasal yollarından biridir. Önemli bir rolü vardır, ancak bu, içeriğe bağlı olarak, diğer yasal gerekçelerin gerek veri sorumlusunun gerekse ilgili kişinin bakış açısından daha uygun olma olasılığını dışlamaz. Doğru kullanılırsa, rıza ilgili kişinin verisinin işlenmesi üzerinde kontrol sağlayan bir araçtır. Yanlış kullanılırsa, ilgili kişinin kontrolü aldatıcı hale gelir ve rıza işleme için uygun olmayan bir temel oluşturur.
Bu Görüş kısmen, Veri Koruma Direktifinin devam eden incelemesi bağlamında Komisyonun bir talebine cevaben verilmiştir. Bu nedenle, gözden geçirmede dikkate alınması gereken tavsiyeler içermektedir. Bu tavsiyeler şunları içerir:
- Açık rızanın anlamının açıklığa kavuşturulması ve yalnızca anlaşmayı ifade etmek için yapılan açıklamalara veya eylemlere dayanan rızanın geçerli rıza teşkil ettiğini açıklamak;
- Veri sorumlularının rıza göstermek için mekanizmalar oluşturmasını zorunlu kılmak (genel bir sorumluluk yükümlülüğü dâhilinde);
- Rıza için temeli oluşturan bilgilerin kalitesi ve erişilebilirliğine ilişkin açık bir koşul eklenmesi
- Küçüklere ve yasal kapasiteye sahip olmayan diğerlerine yönelik bir dizi öneri
Giriş
İlgili kişinin rızası, veri korumada her zaman kilit bir kavram olmuştur, ancak rızanın gerekli olduğu ve rızanın geçerli olması için hangi koşulların yerine getirilmesi gerektiği her zaman açık değildir. Bu, farklı Üye Devletlerde farklı yaklaşımlara ve iyi uygulamaların farklı görüşlerine yol açabilir.
Bu ilgili kişinin konumunu zayıflatabilir. Kişisel verilerin işlenmesi, çoğu zaman farklı Üye Devletleri içeren çevrimiçi ve çevrimdışı ortamlarda, modern toplumun giderek daha belirgin bir özelliği haline gelmesi nedeniyle bu sorun daha ciddi bir hale gelmiştir. Bu nedenle, 2010-2011 Çalışma Programının bir parçası olarak 29. Madde Çalışma Grubu bu konuyu dikkatlice incelemeye karar vermiştir.
Rıza ayrıca Komisyonun 95/46 / EC sayılı Direktifin gözden geçirilmesi bağlamında tavsiye talebinde bulunduğu konulardan biridir. Komisyon tebliğinde Avrupa Birliği’nde kişisel verilerin korunmasına yönelik kapsamlı bir yaklaşım olarak rıza konusundaki kuralları açıklığa kavuşturmanın ve güçlendirmenin yollarının inceleneceği belirtilmiştir.
Tebliğ[1] bu hususu şöyle açıklamaktadır:
“Aydınlatılmış rıza gerektiğinde, mevcut kurallar, bireyin kişisel verilerini işleme koyma izninin ‘bireyin bu veri işleme konusundaki anlaşmasını belirttiği dileklerinin serbestçe verilmiş bir şekilde ve açıkça belirtilmesi gerektiğini öngörür. Ancak, bu koşullar, genel olarak yazılı rıza gerekliliğinden, örtük iznin kabulüne kadar, Üye Devletlerde farklı şekilde yorumlanmaktadır. ”
Ayrıca, çevrimiçi ortamda – gizlilik politikalarının şeffaf olmayan halleri göz önüne alındığında bireylerin haklarının farkında olmaları ve aydınlatılmış rıza vermeleri genellikle daha zordur. Bu, bazı durumlarda, kullanıcının rızasını almak için internet tarayıcı ayarlarının bazı kişilerce dikkate alındığı davranışsal reklamcılık gibi, veri işleme konusunda serbestçe verilen, spesifik ve aydınlatılmış bir rızanın ne olacağının net olmadığı gerçeğiyle daha da karmaşık bir hal almaktadır.
Aydınlatılmış rızayı her zaman güvence altına almak ve bireyin kendisinin rızayı verdiğini tam olarak bilmesini ve AB Şartı’nın 8. maddesi ile uyumlu olarak hangi verilerin işlendiğini bilmesini sağlamak için, ilgili kişinin rızasının koşullarına ilişkin açıklama yapılmalıdır. Temel kavramlara açıklık, AB yasalarına uygun pratik çözümler geliştirmek için özdenetim girişimlerinin geliştirilmesini de sağlayabilir.
Görüşün amacı, mevcut yasal çerçevenin ortak bir şekilde anlaşılmasını sağlamak için konuları netleştirmektir. Mevcut çerçevede yapılacak muhtemel değişiklikler biraz zaman alacaktır, bu nedenle mevcut “rıza” kavramını ve ana unsurlarını netleştirmek kendi erdemlerine ve avantajlarına sahiptir. Mevcut hükümlerin açıklığa kavuşturulması, hangi alanların iyileştirilmesi gerektiğini göstermeye yardımcı olacaktır. Bu nedenle, analiz üzerine inşa edilen Görüş, Komisyon’a ve politika yapıcılara uygulanabilir veri koruma yasal çerçevesindeki değişiklikleri düşündüklerinde yardımcı olacak politika önerileri formüle etmeye çalışacaktır.
Görüşün temel içeriği aşağıdaki gibidir: Mevzuat tarihine ve veri koruma mevzuatındaki rızanın rolüne genel bir bakış sağladıktan sonra, 2002/58 / EC sayılı Gizlilik Direktifi’nin bazı ilgili kısımları dâhil olmak üzere yürürlükteki yasalar uyarınca geçerli olması için farklı unsurları ve gereklilikleri incelenecektir. Ayrıca, politika yapıcılara 95/46 / EC sayılı Yönergenin gözden geçirilmesi bağlamında göz önünde bulundurmaları için politika önerileri de sunulacaktır.
Kısa tarihçe
Yetmişli yıllarda kabul edilen bazı ulusal veri koruma / gizlilik yasaları, kişisel verilerin işlenmesinin yasal dayanaklarından biri olarak kabul edilmesine rağmen, Avrupa Konseyi’nin 108[2] sayılı Sözleşmesinde tekrarlanmamıştır. Rızanın sözleşmede daha büyük bir rol oynamaması için önünde açık bir neden bulunmamaktadır.
AB düzeyinde, kişisel veri işleme operasyonlarının yasallaştırılması için bir ölçüt olarak rızaya dayanmak, 95/46 / EC sayılı Direktifin kabul edilmesiyle sona eren yasama sürecinin en başından itibaren öngörülmüştür. Komisyonun 1990’daki önerisinin 12. Maddesi, veri işleme operasyonlarını meşrulaştırmak zorunda olması gereken özellikleri ortaya koymuştur: Buna göre rızanın “açıkça belirtilmesi” ve “özel” olması gerekir. Hassas verilere ilişkin 17 nci madde, rızanın “açık ve yazılı” olmasını zorunlu kılmıştır. Komisyonun 1992’de değiştirilen önerisiyle, bugünkü Madde 2 (g) ‘de yer alan “ilgili kişinin rızası” tanımına yakın, orijinal Madde 12’nin yerine geçen metni tanıtmıştır. Rızanın “serbestçe verilmesi ve belirli olması” gerektiğini belirtilmiştir. “Açıkça verilmiş” rıza ifadesi, ilgili kişinin isteklerinin açık bir göstergesi” olan rıza ile değiştirilmiştir. 1992 tarihli değişiklik önerisi’ne eşlik eden açıklayıcı not ile, sözlü veya yazılı olarak rızanın alınabileceğini belirtmiştir. Hassas verilere gelince, “yazılı” rıza gerekliliği aynı kalmıştır. 1992’de Komisyonun değiştirilen teklifi, önceki teklifi ile yeniden yapılandırılmış ve veri işlemeye için yasal gerekçelerle ilgilenen Madde 7’yi getirmiştir. Madde 7 (a) “ilgili kişi rıza gösterdiğinde” işlemenin yapılabileceğini; Orijinal liste ise, bugün olduğu gibi, veri işlemeyi meşrulaştırmak için kullanılabilecek beş ek yasal gerekçeyi (rızaya ek olarak) içermektedir.
1995’teki Konsey Ortak Tutumu nihai (bugünün) rıza tanımını ortaya koymuştur. “İlgili kişinin kişisel verilerinin işlenmesiyle ilgili anlaşmasını işaret ettiği dileklerinin serbestçe verilen herhangi bir spesifik ve aydınlatılmış belirtisi” olarak tanımlanmıştır. 1992 Komisyon ortak tutumundaki ana değişiklik, “ifade” kelimesini içeren kelimeyi silmeyi içermektedir. Aynı zamanda, “açık” kelimesi Madde 7 (a) ‘ya eklenmiştir, bu nedenle madde şu şekilde devam etmektedir: “ilgili kişi açıkça rıza verdiyse”. Ayrıca Hassas veriler için yazılı rıza gerekliliği “açık rıza” ile değiştirilmiştir.
Rıza rolü, kişisel verilerin korunmasıyla ilgili AB Temel Haklar Şartında açıkça tanınmıştır. Madde 8 (2), kişisel verilerin “ilgili kişinin rızası veya yasaların öngördüğü meşru bir temele dayanarak” işlenebileceğini belirtir. Bu nedenle, rıza, kişisel verilerin korunmasına ilişkin temel hakların önemli bir yönü olarak kabul edilmektedir. Aynı zamanda, Tüzük uyarınca rıza, kişisel verilerin işlenmesini sağlayan tek yasal zemin değildir; Tüzük, yasaların 95/46 / EC sayılı Direktifteki gibi diğer meşru gerekçeleri ortaya koyabileceğini açıkça kabul etmektedir.
Özetle, özellikle AB’deki yasama tarihi, rızanın veri koruma ve gizlilik kavramlarında önemli bir rol oynadığını göstermektedir. Bu durum aynı zamanda, rızanın veri işleme operasyonlarının yasallaştırılması için tek yasal zemin olarak kabul edilmediğini de göstermektedir. 95/46 / EC sayılı Direktifin yasal geçmişi, geçerli bir şekilde, belirli bir şekilde verilmiş, özel ve aydınlatılmış olan geçerli rıza koşulları konusunda göreceli bir fikir birliği göstermektedir. Bununla birlikte, aynı zamanda, rızanın ifade edilebileceği yollarla ilgili bazı belirsizlikler de mevcuttur – açık, yazılı, vb. Bu durum, aşağıda ayrıca analiz edilmiştir.
Yasallık İçin Zemin Kavramının Rolü
Genel / Özel zemin:
Rıza, Direktifte hem yasallık için genel bir zemin (hem de Madde 7) ve bazı özel bağlamlarda özel bir zemin olarak kullanılır (Madde 8.2 (a), Madde 26.1 (a)). 7. maddede, kişisel verilerin işlenmesini meşrulaştırmak için altı farklı temelden ilki olarak rızaya yer vermekte iken, 8. madde, özel olarak (hassas) veri kategorilerinin işlenmesini meşrulaştırmak için rıza alma imkânını sağlamakta, bu duruma ilişkin rızanın alınmama durumunu yasaklamaktadır. Bu son durumda, rıza alma standardı daha yüksektir, çünkü bu rıza “açık” olarak genel rıza standardının ötesine geçmelidir.
Ayrıca, Yönerge, Resital 23’te belirtildiği gibi, diğer mevzuatla etkileşime izin verir: “Üye Devletlerin, kişisel verilerin işlenmesine ilişkin bireylerin korunmasına ilişkin genel bir yasa ve sektörel yasalar aracılığıyla, bireylerin korunmasının uygulanmasını sağlamak için yetkilendirilir. Bu sistemin pratikte çalışma şekli karmaşıktır: Üye Devletler kendi yaklaşımlarını benimsemiş ve bazı durumlarda bu çeşitliliğe yol açmıştır.
Rıza kavramı her zaman ulusal düzeyde kelime kelimesine çevrilmemiştir. Örnek olarak, genel bir kavram olarak rıza Fransız veri koruma mevzuatında tanımlanmamıştır, ancak Veri Koruma Direktifinde yer alan tanımla ilgili olarak veri koruma makamının (CNIL) içtihatında kesin ve tutarlı bir şekilde açıklanmıştır. Birleşik Krallık’ta, Direktifin ifadesine atıfta bulunularak ortak kanunla geliştirilmiştir. Ek olarak, rıza bazen belirli sektörlerde, örneğin e-gizlilik, e-devlet veya e-sağlık bağlamında açıkça tanımlanmıştır. Özel mevzuatta geliştirilen nosyon bu nedenle genel veri koruma mevzuatında geliştirilen ile etkileşime girmektedir.
Rıza ayrıca, özellikle sözleşme hukuku olmak üzere diğer hukuk alanlarında kullanılan bir kavramdır. Bu bağlamda, bir sözleşmenin geçerli olmasını sağlamak için, Direktifte belirtilenler dışındaki ölçütler, yaş, aşırı etki vb vardır. Medeni hukukun kapsamı ile Direktifin kapsamı arasında herhangi bir çelişki yoktur, ancak bir örtüşme vardır: Direktif, medeni hukuk bağlamında rızanın geçerliliğinin genel koşullarını ele almaz, ancak bunları hariç tutmaz. Bu, örneğin, bir sözleşmenin geçerliliğini Direktifin 7 (b) Maddesi kapsamında değerlendirmek için medeni hukuk şartlarının dikkate alınması gerektiği anlamına gelir. Medeni kanuna göre rızaların geçerliliği için genel şartların uygulanmasına ek olarak, 7 (a) Maddesinde istenen rıza da Direktifin 2 (h) Maddesi dikkate alınarak yorumlanmalıdır.
Diğer mevzuatla bu etkileşim sadece ulusal düzeyde değil, aynı zamanda Avrupa düzeyinde de görülebilir. Yönerge unsurlarının benzer bir şekilde anlaşılması, iş hukuku alanındaki Adalet Divanı kararıyla gösterildiği gibi, diğer bağlamlardan alınmıştır. Bir sosyal haktan vazgeçme bağlamında rıza istenmiştir. Mahkeme, rıza nosyonunu çalışma saatleri organizasyonunun belirli yönleriyle ilgili 93/104 sayılı Direktif bağlamında yorumlamıştır. “İşçi sözleşmesine”, işçi tarafından rıza verilmiş olması gerektiğini (işçi adına bir sendika tarafından değil) ve rızanın serbestçe verilmesinin sağlanması için “sözleşmeyi” (…) okuduğunu belirtmiştir. Ayrıca, çalışma süresinin uzamasına izin veren toplu sözleşmeye atıfta bulunarak bir iş sözleşmesi imzalayan işçinin, tüm gerçekleri tam olarak bilerek serbest ve açıkça verilmiş olan şartları yerine getirmediğine karar vermiştir.
Rızanın belirli bir bağlamda yorumlanması 95/46 / EC sayılı Direktif ifadesine çok yakındır.
Yasallık için tek neden rıza değil
Direktif açıkça yasallığın bir temeli olarak rızayı göstermektedir. Bununla birlikte, bazı Üye Devletler bunu, bazen anayasal bir ilkeye yakın, veri korumanın temel hak olarak gösterdiği durumla bağlantılı olarak tercih edilen bir zemin olarak görmektedir. Diğer Üye Devletler bunu diğer seçeneklerden daha önemli olmayan bir operasyonel gereklilik olan altı seçenekten biri olarak görebilir. Rızanın diğer yasallık gerekçeleriyle ilişkisinin netleştirilmesi – örn. sözleşmelerle ilgili olarak, kamu yararı veya veri sorumlusunun meşru çıkarları ve itiraz etme hakkı – belirli durumlarda rızanın rolünü vurgulamaya yardımcı olacaktır.
Yasal gerekçelerin 7. Maddede belirtildiği sıra ilgili olarak, rıza kişisel verinin işlenmesini meşrulaştırmak için her zaman en uygun zemin olduğu anlamına gelmez. 7. madde, rıza ile başlar ve kademeli olarak faiz dengesiyle ilerleyen sözleşmeler ve yasal yükümlülükler dâhil olmak üzere diğer gerekçeleri listelemeye devam eder. Rızayı takip eden diğer beş gerekçenin, başvurabilecekleri bağlamı kesin olarak sınırlayan bir “gereklilik” testi gerektirdiği belirtilmelidir. Bu, rıza şartının 7. maddede belirtilen gerekçelere göre daha fazla manevra marjı bırakacağı anlamına gelmez.
Ayrıca, rıza almak, veri sorumlusunun 6. maddeye göre adalet, gereklilik ve orantılılık ve ayrıca veri kalitesi ile ilgili yükümlülüklerini de ihmal etmemektedir. Örneğin, kişisel verilerin işlenmesi kullanıcının iznine dayansa bile, bu, belirli bir amaç için aşırı miktarda veri toplanmasını meşrulaştırmaz.
Rıza almak da 8. Madde (5) gibi diğer hükümlerin feshedilmesine izin vermez.
Yalnızca çok sınırlı durumlarda, özellikle bazı hassas verilerin işlenmesiyle ilgili olarak (Madde 8) ya da asıl amaçla uyumlu olup olmadığına ilişkin kişisel verilerin kullanılmasına izin vermek amacıyla, özellikle yasaklanmış olan veri işleme faaliyetlerinin meşrulaştırılmasına izin verebilir. İlke olarak, rıza diğer veri koruma ilkelerinden muaf tutulmamalı, ancak koruma olarak görülmelidir. Öncelikle yasallığın temeli budur ve diğer ilkelerin uygulanmasından feragat etmez.
En uygun yasal zemin seçimi, özellikle 7 (a) ve 7 (b) maddeleri arasında her zaman açık değildir. Madde 7 (b) uyarınca, bir sözleşmeyi gerçekleştirmek için veya bir sözleşmeye girmeden önce ilgili kişinin talebi üzerine adım atmak için işlem yapılması gerekir. Bir sözleşmenin imzalanması bağlamında, Madde 7 (b) ‘yi yasal bir dayanak olarak kullanan bir veri sorumlusu, gerekli olanın ötesine geçen verilerin işlenmesini haklı çıkarmak için genişletemez: Madde 7 (a) ‘nın şartları uygulanacaktır. Bu, sözleşme açısından ayrıntı derecesine duyulan ihtiyacı göstermektedir. Uygulamada, işlemin bir kısmı için ek bir veri işleme şartı olarak rızanın gerekli olabileceği anlamına gelir. Bir sözleşmeyi gerçekleştirmek için veri işlenmesi gerekiyorsa serbestçe verilmiş rıza alınması gerekir.
Bazı işlemlerde aynı anda bazı yasal gerekçeler uygulanabilir. Başka bir deyişle, herhangi bir veri işleme her zaman bir veya daha fazla yasal gerekçeyle uyumlu olmalıdır. Bu, doğru bağlamda kullanılmaları koşuluyla birkaç gerekçenin eşzamanlı kullanımını hariç tutmaz. Bazı veri toplama ve diğer işlemler, ilgili kişiyle ve sözleşmeyle gerekli olabilir – Madde 7 (b); yasal bir zorunluluktan dolayı diğer işlemler gerekli olabilir – Madde 7 (c); Ek bilgilerin toplanması ayrı bir rıza gerektirebilir – Madde 7 (a); Yine diğer işlemler de çıkar dengesi altında meşru olabilir – Madde 7 (f).
Örnek: araba satın alma işleminde veri sorumlusu, kişisel verileri farklı amaçlara ve farklı gerekçelere dayanarak işleme hakkına sahip olabilir:
Otomobilin satın alınması için gerekli veriler: Madde 7 (b), – Otomobilin kağıtlarını işlemek için: Madde 7 (c), – Müşteri yönetimi hizmetleri için (örneğin, aracın AB içindeki farklı bağlı şirketlerde servis görmesi): Madde 7 ( f), – Verileri kendi pazarlama faaliyetleri için üçüncü kişilere aktarmak: Madde 7 (a). |
İlgili kavramlar
İlgili Kişinin Kontrolünde Olma
Rıza nosyonu geleneksel olarak, ilgili kişinin, verilerinden yapılan kullanımın kontrolünde olması gerektiği fikri ile bağlantılıdır. Temel haklar açısından, rıza yoluyla yapılan kontrol önemli bir kavramdır. Aynı zamanda ve aynı bakış açısına göre, bir bireyin bir veri işleme işlemini kabul etme kararı, özellikle de bunu yaparken bir bireyin temel bir haktan feragat edebileceğini dikkate alarak katı şartlara tabi olmalıdır.
Rıza veri konularına kontrol vermede rol oynamasına rağmen, bunu yapmanın tek yolu bu değildir. Direktif, diğer kontrol araçlarını, özellikle de itiraz etme hakkını sağlar, ancak bu, işlem başladıktan sonra farklı bir yasal zemine dayanarak işlemin farklı bir aşamasında uygulanacak farklı bir araçtır.
Rıza, bilgi edinme, kendi kaderini kendi tayin etme kavramı ile ilgilidir.
İlgili kişinin özerkliği hem ön koşuldur hem de rızanın bir sonucudur: ilgili kişiye verilerin işlenmesi üzerindeki etki etme imkânı tanımaktadır. Bununla birlikte, bir sonraki bölümde incelendiği gibi, bu ilkenin sınırları vardır ve ilgili kişinin gerçek bir karar alma konumunda olmadığı durumlar vardır. Veri sorumlusu, ilgili kişinin rızasını bireye devretme aracı olarak kullanmak isteyebilir.
Örneğin, kişisel verilerin İnternette yayınlanmasına veya üçüncü bir ülkedeki şüpheli bir varlığa devredilmesine rıza göstererek zarar görebilir ve veri sorumlusu, bunun yalnızca ilgili kişinin kabul ettiği şey olduğunu iddia edebilir. Bu nedenle, tam olarak geçerli bir rızanın yükümlülüklerinin veri sorumlusunu rahatlatmadığını ve Direktifin 6. Maddesine göre haksızlık eden işlemlerin meşrulaştırılmadığını hatırlatmak önemlidir.
Kontrol edebilirlik nosyonu ayrıca, ilgili kişinin rızasını geri alabilmesi gerektiği gerçeğiyle de bağlantılıdır. Vazgeçme işlemi geriye dönük değildir, ancak, ilke olarak, bireyin verilerinin veri sorumlusu tarafından daha fazla işlenmesini önlemelidir.
Şeffaflık
Rızanın ikinci boyutu aydınlatma ile (İlgili kişiye karşı şeffaflık) ilgilidir. Şeffaflık, kontrolde olma ve rızayı geçerli kılma şartıdır. Bu şekilde şeffaflık, kişisel verilerin işlenmesini meşrulaştırmak için yeterli olmamakla birlikte, rızanın geçerli olmasını sağlamak için temel bir şarttır.
Geçerli olması için, rızanın aydınlatılmış olması gerekmektedir. Bu, rızanın talep edildiği anda tüm gerekli bilgilerin verilmesi gerektiği ve bunun, rızanın meşrulaştırması amaçlanan işlemenin temel yönlerini ele alması gerektiği anlamına gelir. Bu normalde Direktifin 10. Maddesinde listelenen bilgilerin unsurlarını kapsayacaktır, ancak aynı zamanda ne zaman ve hangi izinlerin alınacağı koşullarına bağlı olacaktır.
Rıza verilsin veya verilmesin, veri işlemenin şeffaflığı aynı zamanda ilk aydınlatmanın yapıldığı andan sonra da kendi değeri olan bir adalet durumudur.
Faaliyet / zamanlama: rıza gösterme yolları
Bu konunun üçüncü boyutu, kontrol edilebilirliğin nasıl uygulandığı ile ilgilidir: hangi yollarla rıza verilebilir ve gerçek rıza olduğundan emin olmak için rıza verilme anı ne zaman aranmalıdır?
Bu sorular, rızanın uygulanma ve yorumlanma şekli üzerinde belirleyici bir etkiye sahiptir.
Rıza arama zamanlaması Direktifte belirtilmemiş olsa da, genel bir kural olarak, işleme başlamadan önce rızanın verilmesi gerektiğini belirten çeşitli hükümlerin dilinden açıkça anlaşılmaktadır. Veri işleme başlamadan önce rıza almak verilerin işlenmesini meşrulaştırmak için önemli bir şarttır.
Birey tarafından kendisine ait verilerin işlenmesine izin verme yetkisi olarak kabul edilen Rıza, farklı şekillerde ifade edilebilir: Madde 2 (h) herhangi bir “gösterge” anlamına gelir; Belirgin olması (Madde 7a) ve hassas verilerle ilgili açık olması gerekir (örneğin, Madde 8). Ancak, rızanın 14. Maddede öngörülenden farklı olduğu gerçeğini vurgulamak önemlidir. Madde 7 (a) ‘da veri sorumlusu ilgili kişinin rızasını elde edene kadar veriyi işleyemezken, Madde 7 (f)’ de veri sorumlusu, konuyu ve güvenceyi gözetmeksizin, ilgili kişinin itirazı olmadığı sürece, verileri işleyebilir. Çalışma Grubu’nun Çalışma Belgesi 114’te belirtildiği gibi: “Olumlu bir eylem teşkil eden rızanın önemi, ilgili kişinin ancak gerçekleştikten sonra aktarıma itiraz etme hakkına sahip olacağı herhangi bir sistemi fiilen hariç tutar”.
Bu nedenlerden dolayı, Direktifin 14. Maddesine itiraz etme hakkı, rıza ile karıştırılmamalıdır. Sonuncusu, kişisel verileri işlemek için 2002/58 / EC sayılı Direktifin çeşitli hükümlerinde öngörülen Madde 7 (a), 8.2 (a), 26.1’den veya yasal düzenlemelerden biridir.
Rızanın yasal olarak uygun kullanımı
Rızanın kişisel verinin işlenmesini meşrulaştırmanın her zaman birincil ya da en çok arzu edilen aracı olmadığının vurgulamaya ihtiyaç vardır.
Rıza bazen kişisel verilerin işlenmesini haklı çıkarmak için zayıf bir temeldir ve kullanılmadığı durumlar için uygun olması için gerildiğinde veya kısıtlandığında değerini kaybeder. “Doğru bağlamda” rızanın kullanılması çok önemlidir. Uygun olmadığı durumlarda kullanılırsa, geçerli rızayı oluşturan unsurların mevcut olması muhtemel olmadığı için, bu büyük bir kırılganlığa yol açacaktır ve pratikte bu, ilgili kişinin uygulamadaki konumunu zayıflatacaktır.
Bu yaklaşım Çalışma Grubu ve EDPS tarafından yeni veri koruma çerçevesindeki tartışmalara katkılarında zaten desteklenmiştir. Özellikle, “doğru ve kesin rızanın neyin oluşturduğunu her zaman net olmadığı” belirtilmiştir. Bazı veri sorumluları, Dikretifin 6. maddesinin şartlarına aykırı olarak, gerçek ve kesin rıza göstermeye uygun olmayan yöntemlere dayanarak bu belirsizliği kullanmaktadır. Aynı şekilde, Madde 29 Çalışma Grubu “veri toplama uygulamaları, iş modelleri, satıcı ilişkileri ve teknolojik uygulamaların karmaşıklığının çoğu durumda bireyin aktif seçim yoluyla bilginin kullanımını ve paylaşılmasını kontrol etme kararlarını verme yeteneğini veya istekliliğini geride bıraktığını” gözlemlemiştir.
Bu nedenle, rıza sınırlarını açıklığa kavuşturmak ve yalnızca yasalara uygun bir şekilde anlaşılan rızaların kabul edildiğinden emin olmak önemlidir.
Hükümlerin analizi
95/46 / EC sayılı Direktifte öngörüldüğü gibi, rızanın geçerli olması için genel şartlar hem çevrimdışı hem de çevrimiçi dünyada geçerlidir. 2002/58 / EC sayılı Direktif, bu koşulları her zaman Veri Koruma Direktifinin genel koşulları ışığında, açıkça belirtilen çevrimiçi servisler için belirtir.
95/46 / EC sayılı Direktif
“İlgili kişinin rızası” kavramı Madde 2 (h) ‘de tanımlanmış ve daha sonra Madde 7, 8 ve 26’da kullanılmıştır. Rıza rolü ayrıca resitaller 30 ve 45’te de belirtilmiştir.
Madde 2 (h)
Madde 2 (h) ‘ye göre’ ilgili kişinin rızası ‘, “ilgili kişinin kendisiyle işlenen kişisel verilere yönelik anlaşmasını işaret ettiği, isteklerinin serbestçe verilen herhangi bir spesifik ve aydınlatılmış göstergesi” anlamına gelir.
Prensipte, rızanın alabileceği formda sınır yoktur. Bununla birlikte, rızanın geçerli olması için Direktife uygun olarak, bir gösterge olmalıdır. Herhangi bir gösterge şekli olsa bile, bir gösterge tanımına tam olarak neyin girebileceği açık olmalıdır.
Göstergenin şekli (yani, dileğin ifade edilme şekli) Direktifte tanımlanmamıştır. Esneklik nedeniyle “yazılı” izin son metnin dışında tutulmuştur. Direktifin bir dileğin “herhangi bir” göstergesini içerdiği vurgulanmalıdır. Bu, böyle bir göstergenin kapsamının geniş bir şekilde anlaşılması olasılığını ortaya koymaktadır. Bir göstergenin minimum ifadesi, herhangi bir sinyal olabilir, ilgili kişinin isteklerini belirleyebilecek ve veri sorumlusu tarafından anlaşılabilecek kadar net olabilir. “Gösterge” ve “belirtme” kelimeleri aslında ihtiyaç duyulan bir eylemin yönünü işaret eder. (iznin eylem eksikliğinden çıkarılabileceği bir durumun aksine).
Rıza, ilgili kişinin sözleşmesinde belirttiği herhangi bir dileğin belirtisini içermelidir: bir kağıt formun altına yazılmış el yazısı bir imza, aynı zamanda sözleşmeyi belirtmek için sözlü ifadeler veya rızanın makul olabileceğini sonucuna varılabilecek bir davranış içerebilir. Klasik bir imza örneğinin ötesinde, bir kartviziti bir cam kabın içine bırakmak bu tanımın içine girebilir. Aynısı, bir kişi ondan bilgi almak için bir kuruma adını ve adresini gönderirse de uygulanır. Bu durumda, talebinin işlenmesi ve yanıtlanması gerekli olduğu sürece, bu verilerin işlenmesini teşkil etme eylemi anlaşılmalıdır.
Katma Değerli Servisler (WP115) sağlamak amacıyla konum verilerinin kullanımı hakkındaki görüşüne göre, Madde 29 Çalışma Grubu, bireylerin otomatik konumlarını gerektiren servislere izin verecek şekilde nasıl konumlandırılması gerektiğini değerlendirmiştir (örneğin; bulunduğu yerdeki hava koşulları hakkında bilgi edinmek için belirli bir numarayı aramak vb). Bu durumda, kullanıcılara, konum verilerinin işlenmesi hakkında önceden tam bilgi verilmesi şartıyla, ilgili numarayı aramanın, rıza vermek anlamına geleceği kabul edilmiştir.
Örnek – Elektronik sağlık kayıtları
Birçok Üye Devlet’te, hastaların sağlık kayıtlarının elektronik bir özetini oluşturma eğilimi vardır. Bu, sağlık hizmeti sağlayıcılarının, hastanın tedaviye ihtiyaç duyduğu her yerde anahtar bilgilere erişmesini sağlar. -İlk senaryoda, özet kaydının oluşturulması kesinlikle isteğe bağlıdır ve hasta, bir özet kaydının oluşturulmasına razı olmuş olsun veya olmasın, yine de tedavi görecektir. Bu durumda, özet kaydının oluşturulması için rıza verilir, çünkü hastaya izin verilmez veya verilmezse dezavantajı olmaz. -İkinci senaryoda, e-sağlık kaydını seçmek için ılımlı bir finansal teşvik vardır. E-sağlık kaydını reddeden hastalar, onlar için maliyetlerin değişmediği için dezavantajlara sahip değillerdir. Yeni sisteme rıza verip vermemenin özgür olması burada da kabul edilebilir. -Üçüncü senaryoda, e-sağlık sistemini reddeden hastalar, önceki tarife sistemine göre önemli bir ekstra ücret ödemek zorundadır ve dosyalarının işlenmesi oldukça geciktirilir. Bu, e-sağlık sistemi içindeki tüm vatandaşları planlanmış bir son tarihe kadar sisteme dâhil etmek için yapılan ve rıza vermeyenlerin dezavantajlı durumda olduğunu göstermektedir. Bu nedenle rıza yeterince serbest değildir. Bu nedenle, kişisel verileri işlemek veya 95/46 / EC sayılı Direktifin 8.3. Maddesinin uygulanmasını incelemek için diğer meşru gerekçelerin varlığını da incelemelidir. |
Örnek: vücut tarayıcıları
Vücut tarayıcıları, bazı kamusal alanlarda, özellikle de biniş alanına erişmek için havaalanlarında kullanılmaktadır. Yolcu verilerinin, tarama gerçekleştiği anda işlendiğini göz önünde bulundurarak, işlemin 7. Maddede belirtilen yasal dayanaklardan birine uyması gerekir. Vücut tarayıcılarından geçmek bazen yolcular için bir seçenek olarak sunulur, bu da işlemin rıza ile doğrulanabileceğini gösterir. Bununla birlikte, vücut tarayıcılarını incelemeyi reddetmek şüpheler yaratabilir veya vücut araması yapma gibi ek kontrolleri tetikleyebilir. Birçok yolcu taranmaya razı olur, çünkü bunu yaparak olası sorunları ve gecikmeleri önler, ilk önceliği zamanında uçağa binmek olur. Böyle bir rıza yeterince özgür iradeyle verilmemiştir. İşlemin gerekli olduğunun kanıtlanması gerektiğinden (kamu güvenliği nedeniyle), meşru esas Madde 7 (a) ‘da bulunmamalı, ancak yasa koyucunun eyleminde bulunmalıdır – Madde 7 (c) veya (e) – yolcuların işbirliği yapma yükümlülüğü. Vücut tarayıcı taramasının temeli bu nedenle mevzuat olmalıdır: bu mevzuat tarama ve elle arama arasında bir seçim yapılmasını öngörebilir, ancak bu seçenek bireye yalnızca ek önlemlerin bir parçası olarak tamamlayıcı bir perspektifte sunulacaktır. |
Veri sorumlusunun niteliği, kişisel verileri işlemek için yasal zemin seçimi konusunda da belirleyici olabilir. Bu özellikle, verilerin işlenmesinin normal olarak Madde 7 (c) ‘de belirtildiği gibi yasal bir yükümlülüğün yerine getirilmesiyle veya kamu yararına belirtilen bir görevin yerine getirilmesiyle bağlantılı olduğu kamu sektöründeki veri sorumluları için geçerlidir. 7 (e) ‘de. Buna göre, bilgi işlemeyi meşrulaştırmak için ilgili kişinin rızasının kullanılması uygun yasal zemin değildir. Bu, kişisel verilerin, polis ve adalet faaliyetleri alanındaki görevlerini yerine getiren kanun uygulayıcı makamlar gibi, yetkili yetkilere sahip kamu makamları tarafından işlenmesi durumu özellikle açıktır. Polis otoriteleri, bireyin yasalar tarafından sağlanmayan veya başka şekilde izin verilmeyen önlemler için rızalarına güvenemez.
Bununla birlikte, Devletlerin kişisel verileri işlemek için yasal bir görevi olmasına rağmen, bireyin işbirliği yapmak için her zaman bir görevi olmadığı kabul edilmelidir. Kullanmaya karar verip vermeyecekleri hakkında ilgili kişilere “katma değer hizmetleri” verildiği durumlar olabilir.
Ancak çoğu durumda işleme aslında zorunludur. Kişisel verilerin kamu yetkilileri tarafından işlenmesinin haklı olarak bireyin rızasına dayanıp dayanmadığını belirlemek çoğu zaman kolay değildir. Bu nedenle, kamu sektöründe kişisel verilerin işlenmesi çoğu zaman, yanlış bir şekilde rıza ile haklı çıkarıldığında belirsizlik ve kötüye kullanmaya yol açabilecek karma düzenleri içerir.
Rıza istisnai durumlarda, Devletlerin kişisel verileri işlemesi için geçerli bir gerekçe olsa da, rızanın gerçekten yeterli olup olmadığını değerlendirmek için durum bazında dikkatli bir kontrol yapılmalıdır.
Aşağıdaki örneklerin gösterdiği gibi, bir kamu otoritesi veri sorumlusu olduğunda, işlemin yasallaştırılmasının yasal dayanağı, Madde 7’den ( e) rızadan ziyade Madde 7 (c) ‘deki yasal bir zorunluluğa uygunluktur.
Örnek: PNR verileri
Avrupalı havayolları tarafından rezervasyon detaylarının (“PNR verileri”) ABD yetkililerine devredilmesini meşrulaştırmak için yolcuların rızasının geçerli bir şekilde kullanılıp kullanılamayacağı sorusu tartışılmıştır. Çalışma Grubu, havayollarının uçuştan önce verileri göndermek zorunda kalması nedeniyle yolcuların rızasının serbestçe verilemeyeceğini ve bu nedenle de yolcuların uçmak istediklerinde gerçek bir seçeneğinin bulunmadığını düşünmektedir. Buradaki yasal dayanağı, yolcunun rızası değil, Madde 7 (c) ‘ye uygun olarak, AB ile ABD arasında Yolcu Adı Kaydı (PNR) verilerinin işlenmesi ve aktarılması konusundaki uluslararası anlaşmada öngörülen yükümlülüklerdir. |
Geçerli olması için, rızanın belirli olması gerekir. Başka bir deyişle, işlemin kesin amacını belirtmeden battaniye rızası kabul edilemez. Spesifik olarak, rızanın anlaşılabilir olması gerekir: veri işlemenin kapsamı ve sonuçlarına açıkça ve kesin olarak atıfta bulunmalıdır. Rıza, açık uçlu bir dizi işlem faaliyeti için geçerli olamaz. Bu, başka bir deyişle, rızanın geçerli olduğu bağlamın sınırlı olduğu anlamına gelir.
Açıkça belirtildiği gibi, işlemin farklı yönleriyle ilgili olarak rıza verilmelidir. Özellikle hangi verilerin işlendiğini ve hangi amaçlarla işlendiğini anlaşılmalıdır. Bu anlayış, tarafın makul beklentilerine dayanmalıdır. Bu nedenle “açık rıza”, rızanın aydınlatılması gerektiği gerçeğiyle içsel olarak bağlantılıdır. Veri işlemeyi oluşturan farklı unsurlarla ilgili olarak rızanın ayrıntı düzeyi gerekliliği vardır: veri sorumlusu tarafından takip edilen “tüm meşru amaçları” kapsayamaz. Rıza, amaç için makul ve gerekli olan işleme atıfta bulunmalıdır.
İlke olarak, ilgili kişinin makul beklentileri dâhilindeyse, veri sorumlusunun farklı işlemler için yalnızca bir kez rıza alması yeterli olmalıdır.
Kısa süre önce Avrupa İnsan Hakları Mahkemesi, e-Gizlilik Direktifinin 12 (2). Maddesine ilişkin olarak, kişisel verilerinin bir dizinde yayınlanmasına izin vermiş olan abonelerin yenilenmiş rızalarının gerekmesi ile ilgili olarak, kişisel verilerinin diğer rehber servisleri tarafından yayınlanmak üzere transfer edilmesine ilişkin bir ön karar vermiştir. Mahkeme, aboneye kişisel verilerinin üçüncü bir teşebbüste geçirilebilme ihtimalinin doğru bir şekilde bildirildiği ve aboneden aynı verilerin aktarılması için, söz konusu verilerin ilk yayınlarına bakılmaksızın verilerin toplandığı amaçlar dışında kullanılmayacağının garanti edilmesi durumunda ve bu verilerin böyle bir dizinde yayınlanmasına rıza gösterdiği için, yenilenen rızanın gerekli olmadığına karar vermiştir. (65. Paragraf)
Bununla birlikte, veri sorumlusu verileri farklı amaçlar için işlemeyi planlıyorsa, yine de ayrı bir rıza gerekebilir. Örneğin, ilgili kişinin makul beklentileri içinde olduğu düşünülebileceğinden, hem bireye yeni ürünlerle ilgili bilgileri hem de bireye yönelik özel promosyon eylemleri hakkında hemfikir olabilir. Ancak, bireyin verilerinin üçüncü taraflara gönderilmesine izin vermek için ayrı ve ek bir rıza talep edilmelidir. Rıza elde edilmesindeki ayrıntılara duyulan ihtiyaç, amaçlara veya veri sorumlusuna bağlı olarak duruma göre değerlendirilmelidir.
İşlemin birkaç farklı yasal gerekçeye sahip olabileceği hatırlatılmalıdır: bazı veriler işlenebilir, çünkü bunlar ürün yerine getirilmesi ve hizmet yönetimi için olduğu gibi ilgili kişi ile bir sözleşme çerçevesinde yapılması gerekir ve bunun için özel bir rıza gerekebilir. Sözleşmenin yerine getirilmesi için gerekli olanın ötesinde işlem yapılması, örneğin ilgili kişinin ödeme kapasitelerinin (kredi puanlama) değerlendirilmesi vb.
Çalışma Grubu, WP131’deki elektronik sağlık kayıtları (EHR) konusundaki rızanın bu yönünü açıklığa kavuşturmuştur: “Açık” rıza, tıbbi verilerin işlenmesinin öngörüldüğü, iyi tanımlanmış ve somut bir durumla ilgili olmalıdır. Bu nedenle, ilgili kişinin “genel anlaşması” – ör. AİHS için tıbbi verilerinin toplanmasına ve bu tıbbi verilerin gelecekteki herhangi bir şekilde tedaviye katılan sağlık çalışanlarına aktarılmasına – Direktifin 2. (h) Maddesi açısından rıza teşkil etmez.
Aynı sebep, katma değerli hizmetler sağlamak amacıyla WP115’te yer verilerinin kullanımı konusunda da ifade edilmektedir.
Veri karmaşıklığı arttıkça, veri sorumlusundan daha fazla beklenebilir. Ortalama bir vatandaşın veri işlemenin tüm öğelerini denetlemesi ve anlaması ne kadar zorsa, veri sorumlusunun özel ve anlaşılabilir bilgilere dayanarak rıza alındığını gösterme çabaları o kadar büyük olacaktır.
Rıza, Madde 2 (h) ‘de tanımlandığı gibi, daha sonra Direktif metninde belirtilen diğer gerekliliklerle birlikte okunmalıdır. Madde 7, tanımın unsurlarına “açık” kelimesini, 8. madde ise belirli veri kategorilerinin işlenmesiyle ilgili olduğunda “açık” kelimesini ekler.
Madde 7 (a)
Direktifin 7 (a) Maddesi uyarınca, ilgili kişinin açık rızası, kişisel verilerin işlenmesi için yasal bir dayanak teşkil eder. Bu nedenle, geçerli olmak için, Madde 2 (h) ‘de belirtilen ölçütlere ek olarak, rıza da açıkça belirtilmelidir.
Rızaların açık olması için, arama ve rıza verme prosedürü, ilgili kişinin rıza verme niyetiyle ilgili hiçbir şüphe bırakmamalıdır. Başka bir deyişle, ilgili kişinin sözleşmesini belirttiğine dair göstergede, niyetine ilişkin belirsizliğe yer bırakmamalıdır. Bireyin niyeti hakkında makul bir şüphe varsa, belirsizlik vardır.
Aşağıda daha ayrıntılı olarak açıklandığı gibi, bu gereksinim, bireylerin rızalarını almaları için, sağlam prosedürler oluşturmaları için, yani, açık bir şekilde açık rıza almak ya da bireylerin açık şekilde çıkarılan rızalarını veren belirli prosedür türlerine güvenmek için veri sorumlularını zorlar. Veri sorumlusu ayrıca, rıza veren kişinin gerçekte ilgili kişi olacağından yeterince emin olmalıdır. Bu, özellikle rızanın telefonla veya çevrimiçi olarak verilmesiyle ilgilidir.
Bununla ilgili bir konu ise rıza kanıtı ile ilgilidir. Rızaya dayanan veri sorumluları, örneğin, ilgili kişi ile olan bir anlaşmazlık bağlamında, rızanın alındığını kanıtlamak isteyebilir veya buna ihtiyaç duyabilir. Aslında, bazı durumlarda, icra eylemleri bağlamında bu tür kanıtlar istenebilir. Sonuç olarak ve iyi uygulamalarla ilgili olarak, veri sorumluları, rızanın gerçekten verildiğini gösteren kanıtları oluşturmalı ve korumalıdır; yani, rızanın doğrulanabilir olması gerekir.
8.2. Madde (a)
Direktifin 8. Maddesi, doğası gereği çok hassas olduğu kabul edilen “özel veri kategorileri” için özel koruma sağlamaktadır. Belirtilen istisnalardan en az biri geçerli olmadığı sürece, bu verilerin işlenmesi yasaktır. Madde 8 (2) (a), ilgili kişinin işleme açık olarak izin vermesi halinde yasağın uygulanmayacağını belirtir.
Her ne kadar açık rıza geleneksel olarak yazılı olsa da, (kâğıtta veya elektronik ortamda), bu gerekli değildir, bu yüzden sözlü olarak da verilebilir. Bu, 8. Maddede önerilen rıza gerekliliğinin yazılı olması Direktifin nihai versiyonunda silinmiş olması ile doğrulanmaktadır. Bununla birlikte, aynı bölümde gösterildiği gibi, sözlü rızanın kanıtlanması zor olabilir ve bu nedenle pratikte veri sorumlularına kanıtlayıcı nedenlerle yazılı rıza vermeleri önerilir.
Madde 26.1
Madde 26.1 (a), verilerin yeterli olmayan üçüncü ülkelere aktarılmasının yasaklanmasının bir istisnası olarak, ilgili kişinin açık bir şekilde rızasını öngörür. 7 (a) maddesiyle ilgili yapılan açıklamalar burada da geçerlidir. Bu, Madde 2 (g) ‘deki geçerli rıza gerekliliklerine ek olarak rızanın da açık olması gerektiği anlamına gelir.
- Madde Çalışma Grubu, Direktifin 25. ve 26. Maddelerinin uygulanması konusunda, rıza hariç olmak üzere rehberlik sağlama konusunda çok çaba sarf etmiştir. Bu bağlamda, Çalışma Grubu’nun WP1236 belgesini açıkça rızanın anlamı üzerine hatırlatmaya değer: Rıza açık olması gerektiğinden, rızanın verildiğine dair herhangi bir şüphe de muafiyeti uygulanamaz hale getirecektir. Bunun, rızanın ima edildiği pek çok durumun (örneğin, bir kişinin bir transferden haberdar olduğu ve itiraz etmediği için) bu muafiyete hak kazanmayacağı anlamına gelmesi muhtemeldir ”.
Yukarıda belirtilenler ışığında, açık bir rızanın alınması, örneğin, bir rıza formunu imzalayarak veya açıkça rızayı destekleyen bir sonucu destekleyen diğer faaliyetlerde bulunmak suretiyle, transferle ilgili anlaşmalarını belirtmek için olumlu bir eylemde bulunduklarında daha olasıdır.
Tam yasal kapasiteye sahip olmayan kişiler tarafından verilen izin
95/46 / EC sayılı Direktif uyarınca, çocuklar dâhil, tam yasal kapasiteye sahip olmayan kişilerin rızasını almak için özel bir kural yoktur. Veri Koruma Direktifi’nin gözden geçirilmesi bağlamında bu gerçeğin dikkate alınması önemlidir. Yukarıda belirtilen sorunlara ek olarak, bu kişilerin rızası kendine özgü sorunları da beraberinde getirir
Çocuklarla ilgili olarak, geçerli izin verme koşulları Üye Devletten Üye Devlete değişir. 29. Madde Çalışma Grubu, bazı durumlarda, çocukların rızası ve araştırılan ulusal uygulamalar konusuna değinmiştir.
Önceki çalışmalar, çocukların rızası arandığında, yasal gerekliliklerin çocuğun ve temsilcisinin rızasını ya da daha önce olgunlaşmışsa çocuğun rızasını almayı gerektirebileceğini göstermektedir. Birinin veya diğer kuralın uygulandığı yaşlar değişiklik gösterir. Bir çocuğun yaşını doğrulamak için uyumlaştırılmış prosedür yoktur.
Bu konudaki genel kuralların eksikliği, parçalanmış bir yaklaşıma yol açmakta ve savunmasızlıkları nedeniyle ve özellikle çocukların rızası alındığı sürece, yasal belirsizliğe yol açtığı için çocukların belirli durumlarda korunma gereğini kabul etmemektedir.
Çalışma Grubu, uyumlaştırmanın bu eksikliğinin yasal kesinlik açısından sonuçları olduğunu düşünmektedir. Ehliyetsiz bireylerin haklarını AB seviyesinde kullanmalarına izin vermek için, özellikle yaş eşiği ile ilgili koşulların uyumlu hale getirilmesi kesinlikle ilave teminatlar getirecektir. Ancak, Çalışma Grubu bunun medeni hukuk konularında daha genel olarak değindiği için veri koruma kapsamının ötesine geçebileceğinin farkındadır. Çalışma Grubu, Komisyonun dikkatini bu alanda ortaya çıkan zorluklara çekmektedir.
Ayrıca, 29. Madde Çalışma Grubu, Direktif özellikle verilerinin toplanması ve işlenmesiyle ilgili ek hükümler içeriyorsa, çocukların ve tam yasal kapasiteye sahip olmayan diğer kişilerin çıkarlarının daha iyi korunacağına inanmaktadır. Bu hükümler, kişisel verinin işlendiği ve velilin rızasının gerekli olduğu durumlarda, yetersiz olan kişinin rızası ile birlikte veya onun yerine işlemi yasallaştırabilmek için öngörülebilinir. Ayrıca on-line yaş doğrulama mekanizmalarının kullanılması gereği de öngörülmelidir. Farklı mekanizmalar ve farklı eşikler vardır. Örneğin, yaş doğrulaması, tek bir kurala tabi olmak yerine, kullanılacak mekanizmanın özellikle riskli olup olmadığına göre işleme tipi (amaçlar) gibi koşullara bağlı olacağı kayan bir ölçek yaklaşımına dayanabilir. toplanan verilerin türü, veri kullanımları (verilerin açıklanması amaçlanıp amaçlanmadığı), vb.
Çalışma Grubunun bazı önemli sonuçları aşağıda belirtilmiştir:
- Yalnızca ilgili kişinin sözleşmesinde belirten ifadeler veya eylemler geçerli rıza gösterir. Sessizlik veya hareketsizlik (vazgeçme) tipik olarak, özellikle çevrimiçi bir bağlamda geçerli rıza olarak görülmeyecektir. Örneğin, çevrimiçi sosyal ağlar tarafından kullanılan varsayılan gizlilik ayarları, varsayılan İnternet tarayıcı ayarları veya önceden işaretlenmiş kutular geçerli rıza olarak kabul edilmez.
- Veri işleme öncesinde, ilgili kişiye aydınlatma yapıldıktan sonra rıza alınmalıdır.
- Aydınlatma açık ve anlaşılır bir dilde yapılmalıdır.
- İstihdam bağlamında – bir zorlama unsuru olabileceği yerlerde – çalışanların rıza gösterip göstermediğini belirlemek için dikkatli bir değerlendirme yapılması gerekmektedir.
- Hesap verebilirlik perspektifinden bakıldığında, veri sorumluları, ilgili kişilerin geçerli rızasını aldıklarını kanıtlamak için mekanizmalar uygulamalıdır.
- Rızaya güvenmek, veri sorumlularını, orantılılık ilkesi gibi kişisel verilerin yasal işlemesi için diğer AB veri koruma şartlarına uyma yükümlülüğünden kurtarmaz.
- İlgili kişi kendi rızasını geri çekiyorsa, veri sorumlusunun, verinin saklanmasını haklı kılan başka bir yasal dayanak olmadıkça, ilgili kişiye ait kişisel verileri silmesi gerekir.
- Gözden geçirilmiş bir veri koruma çerçevesi, çevrimiçi yaş doğrulama mekanizmaları ve çocuklar için anlaşılabilir bilgiler gibi küçüklerin korunmasına ilişkin özel hükümler içermelidir. Rıza, reşit olmayan tüketicileri çevrimiçi davranışsal reklamcılık bağlamında hedeflemek için bir temel oluşturmamalıdır.
Av. Ali Burak Ensari
[1] Komisyonun Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi (95/46 / EC) (COM (2003) Nihai 265 ’in uygulanması hakkındaki ilk raporu)
[2] Kişisel Verilerin Otomatik Olarak İşlenmesine İlişkin Bireylerin Korunması Sözleşmesi (“Sözleşme 108” olarak anılacaktır) 1 Ekim 1985 tarihinde yürürlüğe girmiştir.