Bu analiz, Genel Veri Koruma Tüzüğü (General Data Protection Regulation/GDPR) sonrası dönemde AB genelinde Kişisel Verileri Koruma Kurumları’nın (KVKK) yasal hükümlerin infazına ilişkin kullandıkları farklı yöntemleri belirleyip sınıflandırarak AB ülkeleri arasında veri korumasına dair yaptırım hükümlerinin infazında neden farklılıklar olduğunu daha iyi kavramamızı sağlamayı amaçlamaktadır.
Bilgisayımında kaydedilen gelişmeler, aşırı hoşgörülü ekonomi politiğin de etkisiyle, veri işlemlerinden önemli finansal menfaatler ortaya çıkmasını, ekonomik ve sosyal alanlarda verinin öneminin artmasını sağlıyor. Bu durum verinin “21. yüzyılın en önemli ticari malı” olarak adlandırılmasına yol açtı. Mevcut piyasa yapıları ve yaygın iş modelleri verileri, özellikle de insanlarla ilgili verileri ana hasılat kaynağı olarak görüyor. Şirketler veri alıp satıyor, hizmetlerini geliştirmek için ya da diğerlerinin davranışlarını öngörmek veya etkilemek için verilerden yararlanıyor.
Eskisine oranla bugün çok daha büyük boyutlarda kişisel verilerden fayda sağlayan büyümekte olan veri-sermaye ekonomisi, mahremiyeti bugüne kadar görülmemiş ve ciddi biçimde tehdit ediyor, bunun üzerinde acilen düşünmemiz gerekiyor. Kişisel verilerin yaygın biçimde toplanması, kapsamlı analiz teknikleri ve veri sahiplerinin özel ve kamu sektörlerindeki yetkililerce sınıflandırmaya tabi tutulması ve kategorize edilmesi, genellikle kişisel mahremiyetler pahasına gerçekleştiriliyor. Veri sahipleri kamu ve özel sektördeki aktörler tarafından gözleniyor, izleniyor, tespit ediliyor, analiz ediliyor ve ayrımcılığa uğruyor. İnsanlar, kendilerine ait verilerin hayatlarında aldıkları kararlarla ilgili bilgi oluşturulmak üzere nasıl kullanılabileceği konusunda çok az bilgi sahibi ve bu süreç üzerindeki denetimleri çok sınırlı. Kişisel veriler, seçme özgürlüğünü sınırlandırmak, bireysel özerkliğe saldırarak tüketicileri manipüle etmek, başkalarının kişilere dair yargılarını yönlendirmek, uygun toplumsal sınırları bozmak, el koymak ya da kişiler ile kurumlar arasındaki güven ilişkisini zayıflatmak için kullanılabilir. Mahremiyet uzun süredir, gelişen toplulukların önemli bir bileşeni olarak görülüyor. Mahremiyet, anonimlik, özgürlük ve ifade özgürlüğü gibi hakların kullanımını mümkün kılıyor. Veri toplama ve veri madenciliği, verilerden elde edilen menfaatlerin önündeki teknolojik engelleri aşarken, mahremiyete yönelik saldırıları engellemek için toplumun elinde bir tek politik altyapı, yönetim yapıları ve mahkemeler var.
Avrupa Birliği (AB) bu sorunla hep ilgilendi. Üye devletler mahremiyetin temel insan hakkı olduğu görüşünden hareketle 1970’lerde kendi veri koruma yasalarını çıkardılar. “Kişisel verilerin iç piyasalarda serbest dolaşımı” ihtiyacına karşılık olarak veri koruma sistemi ilk kez 1995’te Veri Koruma Direktifi ile “Avrupalılaştırıldı”. Avrupaya özgü bu yeni politik sistem, internet ve küresel iletişimin ekonomideki bilgi akışının önemini yeniden şekillendirmeye başladığı dönemlerde oluşturuldu; bu düzenleme önemli politik uzlaşımaları yansıtmaktaydı. Bu direktif AB genelinde, gevşek bir yaptırım gücüyle istikrarsız biçimde uygulandı ve bunun üzerine AB Komisyonu güncellenmiş ve kapsamlı bir gizlilik düzenlemesine -Genel Veri Koruma Tüzüğü (GDPR)- gitti. GDPR kayda değer ve ümit verici bir gelişme kabul edildi; yeni kurumsal yapılar oluşturulmasının önünü açıyor ve Avrupa Veri Koruma Sistemi’ne adalet, şeffaflık, amaç sınırlaması, veri azaltımı, kesinlik, doğruluk ve hesap verilebilirlik gibi kavram ve fikirler katıyordu. GDPR’nin “etkili, orantılı ve caydırıcı cezalar” getiren yaptırım sistemi ve üye ülkelerdeki Veri Koruma Kurumları’na (VKK) muazzam geniş yetkiler tanıyor olması özellikle kayda değerdi.
Ancak yürürlüğe girmesinden üç yıl sonraGDPR’nin amacına uygun biçimde hayata geçirilip geçirilmediği belirsiz. AB politika yürütme literatüründen alınan yasa infaz örneklerinin katı biçimde uygulanacağı beklentilerine rağmen infaz eğilimleri bir hayli çeşitlilik gösteriyor. Kimi VKK’larının ciddi ihlallere rağmen hukuku uygulamakta gönülsüz olduklarına, kimilerinin ise veri sorumlularına görülmemiş cezalar dayattığına tanıklık ediyoruz. Bu çelişkili eğilimler, verilerin korunmasına ilişkin yasa ve kuralların infazının neden stratejik ve dikkat gerektiren, üzerinde hassasiyetle durulması gereken işlemler olduğunu gösteriyor. GDPR “kâğıt üstünde” çok umut verici görünse de, yasanın “sahada” nasıl uygulanacağı ve AB vatandaşlarının mahremiyetlerinin nasıl korunacağı hâlâ belirsiz. Bu belirsizliği ortadan kaldırmak adına şu soruyu soruyoruz: GDPR’den sonra KVKK’larının yasayı infaz usulleri nasıl ve neden farklılaştı?
Yasayı infaz usulleri, düzenleyici kurumlar ve veri korumaya ilişkin literatür bir araya getirildiğinde, infazlardaki farklılıklar konusunda üç hipotez ortaya konabilir. GDPR maddelerinin etkili biçimde infaz edilmemesine dair akla gelen ilk ve belki de en yaygın açıklama, bunun VKK’larının kurumsal kapasiteleriyle ilintili olduğudur. Mali kaynaklardaki ve teknik uzmanlıktaki farklılıklar nedeniyle AB sınırları içindeki çeşitli ülkelerde farklı infaz yöntemleri olabilir. Yaptırım ve araştırma süreci zaman aldığı ve teknik uzmanlık gerektirdiği için söz konusu kurumsal kapasiteler GDPR hükümlerinin infazının gerektiği gibi gerçekleşmesi için elzem görünüyor (H1). İkinci hipotez, üye ülkelerdeki veri koruma konularının farklı belirginlik düzeylerine bakarak bu farklılıkların GDPR hükümlerinin infaz biçimlerinde farklılık yarattığını ileri sürüyor. Belirgin konu, politik gündemin üst sıralarında yer alan ve infaz ve yasaya uygun davranma pratiklerini etkileme ihtimali olan konu demektir. Medyanın kendi nüfuz alanındaki şirketlere bağlı olarak kimi KVKK’larına daha fazla, kimine daha az “önem” atfetmelerinden, hatta kimi üye devletlerde bazı mahremiyet skandallarından sonra ağırlıklı olarak belli konuların belirgin hale gelmesinden, ülkeler arasında veri koruma önceliğine sahip konular arasında farklılıklar olması beklenir; bu da KVKK’larının çalışma tarzlarına ilişkin farklı türde baskılar ortaya çıkarır, sonuçta KVKK’larının yasayı infazlarında istikrarsızlıklar yaşanmasına yol açar (H2). KVKK’larının yasa hükümlerini infaz usullerindeki farklılıklara dair öne sürülen üçüncü hipotez, veri koruma kuruluşlarının bağımsızlık düzeyini araştırıyor. İcra literatürüne baktığımızda, bağımsız, merkezi hükümetle bağları zayıf olan “özerk” kurumların yaptırıma tabi olanlara karşı daha agresif bir tutum içinde olduklarını görüyoruz. Çok sayıda kuşkucu insan, girişimcilik dostu bir ortamın varlığının korunması ve yabancı yatırımların sürmesinin sağlanması baskılarının kendini hissettirdiği bir ortamda KVKK’larının bağımsız kalmasının mümkün olup olmadığını sorguluyor. Yasanın infaz usullerine bağımsız kurumların nasıl bir etkisi olduğunu göreceğiz. Schütz’e (2012) göre KVKK’larının resmi bağımsızlık düzeylerinde farklılıklar görülebilir; bu nedenle Veri Koruma Kurumu üyelerine Veri Koruma Kanunu hükümlerinin infaz usullerine etkide bulunmaları yönünde herhangi bir politik baskı yapılmasının önüne geçmek için kurumların bağımsızlıkları ayrıntısıyla incelenmelidir. Bağımsız olmayan, özel ve politik etkilere daha açık KVKK’lar, dış baskılar nedeniyle yasanın infazında daha gevşek bir yaklaşım benimseyebiliyorlar. GDPR sonrası dönemde KVKK’ların bağımsızlık düzeyleri çeşitlilik gösterebiliyor, dolayısıyla KVKK’ların kanun hükümlerini harfi harfine yerine getirme kararlılıklarında geniş farklılıklar söz konusudur(H3).
KVKK’ların GDPR yürürlüğe girdiğinden bugüne kadarki tutumları karşılaştırıldığında, kurumlar arasında veri sorumlularını soruşturma ve ceza yazma sıklıklarında çok farklılar olduğunu görebiliyoruz (bkz. Tablo 1). Tabloda, KVKK’ların kestiği ortalama ceza miktarı (Euro cinsinden) noktanın büyüklüğüyle ifade edilmiştir.
Tablo 1 : 15 KVKK’nın yaptırım uygulamalarına bağlı olarak sınıflandırılması.
İcra faaliyetleri, KVKK’ların yasayı infaz usulleri konusunda bize pek net şeyler söylemiyor yine de. Tek başına infaz faaliyetlerine bakmak, KVKK’lar hakkında kıyaslama yapmamızı veya yasayı infaz usullerini tam anlamıyla kavramamızı iki temel nedenle engelliyor: (1) Ağır sorumluluk altındaki kurumlar yerine getirdikleri yasal hükümlerde kendi infaz usullerini gereği gibi yansıtamıyor olabilirler. Örneğin, Hollanda KVKK’sının denetleme ve veri sorumlularına ceza yazma oranının düşük olması onun yasayı uygulama işini doğru yapmadığının bir göstergesi midir? Yoksa Hollandalı görevlilerin üzerlerindeki iş yükü, yasayı infaz usullerini istedikleri gibi sergileyememelerine mi neden oluyor? (2) KVKK’ların ilgilenmek durumunda kaldığı şikâyetlerin türleri nedeniyle seçim yanlılığı durumuyla karşı karşıya kalıyor olabiliriz. Tüm ihlaller KVKK’lar arasında eşit dağıtılmadığı için bazıları diğerlerine göre daha ciddi ve dikkat çekici GDPR ihlalleriyle karşı karşıya kalıyor. Ne var ki, KVKK’lar arasında dağıtılan ciddi vakalara dair herhangi bir veri bulunmadığı için, seçim yanlılığının boyutunu ölçmek çok zordur.
Bu nedenle KVKK’ların yasayı infaz seçeneklerini anlamak ve infaz usullerini kavramak için bir veri koruma infaz stratejisi ölçeği öneriliyor. AB genelinde eski ve halihazırda çalışmakta olan Veri Koruma Görevlileri’yle yapılan aşağıdaki görüşmelerin ardından, yasayı infaz sürecinde çeşitli aşama olduğu ortaya çıktı; KVKK’ların (1) gözlem ve denetimlerinde farklı düzeylerde esnek davrandıkları, (2) yasal yaptırımlarda farklı düzeylerde zorlayıcı davrandıkları görülüyordu. Yasanın infaz süreci muhtemelen bir şikâyetle başlar, her KVKK şikâyeti kendi usulünce değerlendirmesini sağlayacak bir alan bulur kendine: Buna göre (a) her KVKK kendi için bir “etkili olmak için seçici davran” yaklaşımı tercih edebilir ve tüm şikâyetleri değerlendirmeye almaktan imtina edebilir. (b) KVKK’lar ilgili tarafın şikâyetlerini değil, sırayla sadece iddia olunan ihlalden etkilenmiş kişilerin şikâyetlerini kabul etmeye karar verebilirler. Bu, KVKK’ların infaz süreçlerinin koşullarını şekillendirebilir. Sonrasında KVKK’lar araştırma/teftiş sürecinde kendi kurallarını da oluşturabilirler: Buna göre, (c) Proaktif olmayı tercih edebilir, kendi inisiyatifleri ve ilgi odaklarına göre soruşturma başlatabilir ya da sadece kendilerine gelen şikâyetlerle ilgilenebilirler. (d) Uygun gördüklerinde soruşturmayı söz konusu şikâyetin sınırlarını aşacak biçimde genişletmeyi tercih edebilirler. Bu dört madde, KVKK’ların yasayı infaz sürecinde izleme ve denetleme faaliyetlerindeki esneklik derecelerinin küçükten büyüğe doğru bir sıralamasını verir bize.
KVKK’lar yaptırım konusunda da geniş bir manevra alanına sahiptirler. (a) Şirketlere ceza kesmeden önce ikinci ya da üçüncü bir şans tanıyabilirler. (b) Bir ceza vermeden önce güçlerini orantılılı kullanmak adına, şirketlere resmi bir uyarıda bulunabilirler. (c) Veri sorumlularına karşı, GDPR’nin yürürlüğe girdiği ilk dönemlerde gösterilen yumuşak yaklaşım seçeneğini tercih edebilirler. (d) Yasal uygulama kararı esnasında ya da sonrasında soruşturma altındaki veri sorumlularının isimlerini yayınlayarak onları ifşa etme yoluna gidebilirler. Bu dört maddede, KVKK’ların yasanın infazı sürecinde takındıkları baskıcı tavırlar düzeylerine göre aşağıdan yukarıya doğru sıralanıyor ve bu maddeler KVKK’ların infaz usullerinin ikinci boyutunu oluşturuyor. Aşağıdaki 2. Tablo KVKK’ların bu iki boyut temelinde nasıl kümelendiklerini gösteriyor. 31 KVKK’dan 18’i kendilerine gönderilen ankete yanıt verdi. Bu anket verileri, Avrupa Veri Koruma Kurulu’nun (EDPB) GDPR uygulamalarının iki yıllık değerlendirmesini içeren anketi ile Uluslararası Avrupa Hukuku Federasyonu’nun (FIDE) 2020 yılında AB’deki veri koruma durumuna dair anketinin yer aldığı EDPB’nin GDPR uygulamaları hakkındaki “GDPR Uygulama Dizisi” başlığı altında yayımlanan raporlarla birleştirildi.
Tablo 2: On sekiz KVKK’nın yasayı infaz usullerine göre sınıflandırılması. Her eksendeki doğru o eksenin ortalama değeridir.
Tablo 2’ye baktığımızda Tablo 1’e taban tabana zıt bir şekilde şunu görüyoruz: KVKK’ların neredeyse yarısı geniş bir izleme ve denetleme stratejisi uygularken, yaptırım aşamasında yüksek düzeyde baskıcı bir yaklaşım sergiliyor. KVKK’ların yaptırım yöntemleri ile ceza verme eğilimleri arasında belirgin bir korelasyon yok. Keza bu kurumların geniş çaplı izleme ve denetleme davranışları ile araştırma eğilimleri arasında da bir korelasyon söz konusu değil. KVKK’ların tabloda iki boyutta dağılım gösterdiğini görüyoruz, ancak geniş izleme ve yüksek baskı stratejisi eğilimi (çalışmada yer alan KVKK’ların yüzde 45’inde) var ki, bu eğilim birçok durumda yapılan yasal uygulamalarla örtüşmüyor.
Kurumsal kapasite(H1), konunun belirginliği (H2) ve KVKK’larının bağımsızlığının (H3) yasanın infaz usulüne olan etkilerini incelemeyi amaçlayan bu çalışma Bulanık Küme Nitel Karşılaştırmalı Analiz (fsQCA) yönteminden yararlanılarak hazırlandı. Analiz için katı kıstaslar uygulandığında çok sayıda vurgulanmaya değer bulgunun olduğu ortaya çıkıyor.
KVKK’larının kurumsal kapasitesini merkeze alan H1, bu kurumların öngörülen infaz usulleri ile eylemleri arasındaki uyumsuzluğu açıklamak bağlamında önemli bir rol oynadı. Kaynaklar ve uzmanlık, bazı KVKK’ların (İngiltere, Fransa ve Polonya) geniş izleme stratejisini açıklamada ve bazılarının (Belçika, Çek Cumhuriyeti, Hollanda, Romanya ve Slovakya) yasayı infaz usulleri ile eylemleri arasındaki uyumsuzluklarını vurgulamada elverişliydi. Konunun belirginliği ile yasayı infaz usulü arasındaki bağlantıyı tasvir eden H2, herhangi bir usulle veya usul ve eylemler arasındaki uyuşmayla bağlantılı değildi. Veri koruma meselelerinin politikleşmesinin hangi noktada infaz tercihlerini etkilediği sorusu hâlâ cevapsız. KVKK’nın bütçe özerkliği ile yasanın infazı arasındaki ilişkiyi irdeleyen H3, KVKK’nın bütçesi ile tahsil edilen cezalar arasındaki tek ilişki temelinde test edildi ve bu ilişkinin Kurum’un özerkliğine zarar vererek yasayı uygulama davranışını etkilediği ileri sürüldü. Bağımsızlığı tartışılır olan ve bariz biçimde ceza verme motivasyonuyla hareket eden Bulgaristan KVKK’sı, yasayı uygulama stratejisi ile eylemleri arasında bir tutarsızlık sergiledi. Sınırlı izleme ve denetleme ile düşük düzeyde baskıcı davranışlar şaşırtıcı biçimde yüksek düzeyde soruşturma ve cezalandırma eğilimiyle bağlantılı görünüyor. Bu kafa karıştırıcı bir bulgu; Bulgaristan KVKK’sı kaynak yoksunu olduğu, dışarıdan katılıma açıklık seviyesi genel olarak orta-düşük seviyelerde seyrettiği ve yine orta-düşük seviyelerde bir hiyerarşik yapıya sahip olduğu halde, soruşturma yapmayı ve veri sorumlularını yüksek oranlarda para cezalarına çarptırmayı beceriyor. Bu KVKK’nın ceza kesmek konusundaki bu dışsal motivasyonu, yasayı uygulama yönteminin sınırlarını aşacak eylemlerde bulunmasında da rol oynuyor muhtemelen.
Özet olarak bu çalışma,GDPR’nin yürürlüğe girmesinden sonra, bu yasalara tabi ulusların yasayı infaz stratejileri üzerindeki Avrupalılaşma etkilerini anlamak için bir başlangıç noktası sunuyor. KVKK’larının infaz stratejileri arasındaki farkların zaman içinde ortadan kalkıp kalmayacağını bekleyip göreceğiz. KVKK’ların yasal yaptırım usullerinin birbirine yakınlaştığına ilişkin geçmişte yapılmış açıklamalar artık güncellenebilir: Yasal yaptırım stratejileri söz konusu olduğunda ulusal farklılıklar artıyor, GDPR sonrası veri koruma sisteminin ne kadar Avrupalı olduğunu tartışmaya açıyor, ancak bu çalışmada KVKK’ların neredeyse yarısında caydırıcılığı artırma eğiliminin yükseldiği ortaya çıktı. Gerçekte ise GDPR sonrasında veri koruma sistemi hâlâ Avrupaya özgü olmaktan çok uzak. KVKK’nın kapasitesinin, bazı çalışmalarda kurumun izleme ve denetleme serbestliğiyle, bazılarında stratejisi ile eylemleri arasındaki tutarsızlıkla ilişkilendirilmesi şaşırtıcı değilse de, bu çalışma kaynakların ve uzmanlığın hangi bağlamda işe yaradığını ortaya koyuyor ve kaynak ve uzmanlığın KVKK’ların operasyonları üzerindeki çeşitli etkilerini çözümlüyor. Veri sorumlularının mahkeme seçme hakkı sorunken ve sorun olmaya devam ederken, KVKK’larının devam eden yetersiz personel ve mali kaynak sorunları bu durumu daha da kötüye götürebilir ve veri sorumlularının tümden AB’nin veri koruma sisteminden kaçmasını sağlayabilir. Bu durum AB’nin yapay zekâ çağına ne kadar hazır olduğunun sorgulanmasına neden oluyor, zira yapay zekâ çağında veri koruması, AB vatandaşlarının risk ve çıkarlarını dengelemede kilit unsur konumunda. Yasal yaptırım bir güç mücadelesi nihayetinde ve bu çalışma KVKK’ların genel olarak bu savaş için yeterli teçhizata sahip olmadığını ampirik olarak ortaya koyuyor.
Bu yazıda ifade dilen görüşler tümüyle yazar(lar)a aittir ve Heinrich Böll Stiftung'u ve/veya İsrail Kamu Politikaları Enstitüsü’nü (IPPI), personelini, paydaşlarını ve/veya çalışmalarını destekleyen örgütleri bağlamaz.