C-201/14, Smaranda Bara ve diğerleri ile Romanya Ulusal Sağlık Sigortası Kurumu ve Diğerleri, 1 Ekim 2015 – kişisel verilerin idare organları arasında, veri sahibinin açık rızası alınmadan aktarılması ve işlenmesi
Vakanın Unsurları
Romanya hukuku, kamu organlarının, bireyin sigortalılık durumu ya da sigorta yükümlülüğünün belirlenmesi adına gelir durumunu gösterir verilerin de dahil olacağı şekilde kişisel verilerin aktarılmasına izin vermektedir. Ulusal Vergi Ajansı; (ANAF) başvurucuların gelir durumunu gösterir verileri Ulusal Sağlık Sigortası Fonuna(CNAS) aktarmıştır. CNAS sağlık sigortası borçlarının ödenmesini bu verilere dayandırmaktadır. Başvurucular, Temyiz Mahkemesi nezdinde, 95/46 sayılı direktife dayanarak gelirleri ile ilgili vergi verilerinin aktarılmasının yasal olmadığını öne sürerek başvuruda bulunmuştur.
Bu bağlamda, ulusal mahkeme, öncesinden aktarılan verilerin; veri işlenmesini gerektirip gerektirmediğini ve Protokol temelinde veri aktarımının 95/46 sayılı direktif’e aykırı olup olmadığını belirlemek için bir ön karar talebinde bulunmuştur.
Mahkemenin Ana Bulguları
Mahkeme, uyuşmazlığı aşağıda belirtildiği gibi özetlemektedir: “başvurulan mahkeme, esas olarak, 95/46 sayılı Direktifin 10, 11 ve 13. Maddelerinin, temel işlemlerde söz konusu olduğu gibi, kişisel verilerin üye devlet kamu idare kuruluşları arasında veri sahibinin onayı ve rızası olmadan aktarılıp işlenmesine imkan verdiği ulusal hükümler kapsamına alınıp alınmayacağını sorgulamaktadır. Ulusal hükümlerin menfi olarak yorumlanması gerektiğini sorgulamaktadır. Bir Üye Devlette kişisel verileri başka bir kamu idari organına aktarılmasına ve müteakiben çeşitli amaçlarla işlenmesi;
Direktifin Uygulanabilirliği
Mahkeme ilk olarak şunları belirlemiştir:
ANAF tarafından CNAS’a aktarılan vergi verileri, direktifin 2. Maddesinin (a) bendi anlamında kişisel veri kapsamındadır; çünkü bu veriler “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin bilgiler” dir;
verilerin aktarılmasını müteakiben işlemlere tabii tutulması, direktifin 2. Maddesinin (b) bendi dahilinde “kişisel verilerin işlenmesi” ni oluşturmaktadır(paragraf 29).
Aktarma Madde 10’a Aykırı
Mahkeme, direktifin 6. Maddesinde yer alan meşru işleme şartının “bu verilerin işleyişi amacıyla başka bir kamu idare organına aktarılmasının, aktarılan son kamu idari organının ilgili veri sahiplerini aydınlatması gerektirdiğini” açıklamıştır. ”(paragraf 34).
Davanın olayları ışığında Mahkeme, başvuranların aktarma işleminden haberdar edilmediklerini belirtmiştir (paragraf 35).
Mahkeme, mevcut Romanya yasalarının kamu kurumlarının “ilgili kişinin sigortalı olarak nitelendirildiğini belgelemek için gerekli verileri” sağlık sigortası fonlarına aktarmalarına izin verdiğini kabul etmiştir.
Bununla birlikte, Mahkeme vergilendirmeye tabii gelir verisinin bireyin sigortalılık durumunu için gerekmediğini, dolayısıyla gelir verilerinin ilgili hukuki hükmün kapsamına girmediğini dikkate aldığını belirtmiştir (para. 37).
Bu sebeple, Mahkeme, ulusal hükmün Madde 10’un kapsamı dahilinde “ön bilgilendirme” teşkil etmediğine karar vermiştir, bu nedenle söz konusu aktarma işlemi, direktifin 10. Maddesine uygun bulunmamıştır(paragraf 38).
Mahkeme ayrıca, direktifin 13. maddesinin, Madde 10’u ihlal etmek amacıyla Üye Devlet tarafından öne sürülebileceğini gözlemlemiştir.
Mahkeme, bir kişinin sigortalı olup olmadığını belirlemek için gelir verilerinin gerekli olmadığını tekrar beyan etmiştir.
Paylaşılan verilerin tanımı ve aktarımı için düzenlemeler resmi olarak yayınlanmayan kamu kurumları arasında kurulan bir protokolde ortaya konmuştur (paragraf 40).
Mahkeme bu nedenle, 13. maddede belirtilen koşulların yerine getirilmediği sonucuna varmıştır (paragraf 41)
İşleme Madde 11’e Aykırı
Mahkeme ayrıca, veri kaynağından veri elde etmeyen CNAS’ın veri denetleyicisinin kimliğini, işlemin amaçlarını ve Madde 11 (1) bendine uygun olarak işlenen veri kategorileri hakkında veri sahibini aydınlatma yükümlülüğünün bulunduğuna hükmetmiştir. (a) ile (c) bendi (paragraf 42).
Davanın bulgularına dayanarak Mahkeme, aydınlatma yükümlülüğünün yerine getirilmediğini tespit etmiştir (para. 44).
Mahkeme ayrıca, ulusal hükmün ve Protokolün Madde 11 (2) veya Madde 13’ün gereklerini yerine getirmediğini ve Üye Devletin bu sorumluluktan kaçınmak adına istisna Madde 11 (1) bendine dayanamayacağını belirtmiştir (paragraf 45).
KARAR
Üye Devletin bir kamu idare organının kişisel verileri başka bir kamu idare organına aktarmasına ve müteakiben çeşitli amaçlarla işlemesine izin veren temel işlemelerde söz konusu olduğu gibi ulusal önleyici hükümler, Avrupa Parlamentosu ve 24 Ekim 1995 tarih ve 95/46 / EC sayılı Direktifin, kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı hakkında bireylerin korunmasıyla ilgili 10, 11 ve 13. maddeleri kapsamında; menfi olarak yorumlanmaktadır ”(Karar).
Yunus Toman
Bir cevap yazın