Olayın Arka Planı

AB Adalet Divanı (CJEU), EDPS (AB Veri Koruma Denetçisi) ile Tekil Çözüm Kurulu (SRB) arasındaki davada, SRB’nin banka çözüm sürecinde hissedar/alıcılara ait verileri Deloitte’a aktarması bağlamında iki temel noktayı netleştirdi:

1. Pseudonimleştirilmiş bilgi de kişisel veridir (ek bilgiyle ilişkilendirilebilir olduğu sürece),

2. Alıcılar hakkında bilgilendirme, veri toplanırken ve kontrolörün perspektifinden yapılmalıdır. Mahkeme, Genel Mahkeme’nin kararını bozdu ve davayı ikinci hukuki gerekçe yönünden geri gönderdi; ancak “kişisel veri” ve “bilgilendirme yükümlülüğü” ekseninde EDPS’nin yaklaşımını doğruladı.

İş Dünyası İçin Sonuçlar

Karar, bankacılık ve finans sektöründen başlayarak geniş bir etki alanına sahip. Denetim, değerleme ve danışmanlık firmaları (Big Four dahil) artık pseudonim verileri de kişisel veri olarak kabul ederek, alıcı bildirimi yapılmadan bu verileri işleyemeyecek.

Teknoloji, sağlık, telekom ve perakende gibi büyük veri işleyen sektörler için de aynı yaklaşım geçerli; aydınlatma metinleri, rıza süreçleri ve sözleşmelerin buna göre güncellenmesi gerekiyor.

Profesyonel düzeyde ise DPO’lar, hukuk müşavirleri, uyum/risk yöneticileri ve C-level teknik liderler bu dönüşümün merkezinde olacak. Özetle, karar yalnızca hukuk departmanlarını değil, şirketlerin tüm iş süreçlerini yeniden şekillendirecek.

Temel Bulgular

- Pseudonim ≠ anonim

- Alıcı bildirme zorunluluğu: potansiyel alıcı/alıcı kategorileri açıkça bildirilmeli

Mahkeme, SRB’nin Deloitte’a gönderdiği yorumlar ve alfanümerik kodların, SRB’nin elindeki ek bilgilerle eşleştirilebildiği için kişisel veri niteliğini koruduğunu açıkça ortaya koydu. Yani, pseudonimleştirme işlemi verileri anonim hale getirmiyor; veriler hâlâ kişisel veri sayılıyor. Karar ayrıca, alıcıların kim olduğuna dair bilgilendirmenin mutlaka veri toplanırken ve kontrolörün bakış açısıyla yapılması gerektiğini vurguladı. Burada esas alınması gereken ölçüt, alıcı açısından verilerin kişisel olup olmadığı değil, toplama anında kontrolörün sahip olduğu imkânlardır. Bu nedenle, alıcıların veya alıcı kategorilerinin açık biçimde bildirilmesi bir yükümlülük olarak kabul edildi. Bu şeffaflık, yalnızca rızanın geçerliliği için değil, adil bir işleme süreci için de temel bir gereklilik. Sonuç olarak Genel Mahkeme’nin önceki kararı bozuldu ve dosya eksik tespitler nedeniyle yeniden değerlendirilmek üzere geri gönderildi.

Neden Önemli?

Bu karar, AB kurumlarının düzenlediği Reg. 2018/1725’teki “kişisel veri” tanımı ile GDPR m.4(1) arasındaki eşliği yeniden teyit ediyor. Dolayısıyla “pseudonimleştirme artık kişisel veri değildir” yaklaşımı hukuken geçersiz hale geliyor. Alıcıların veri toplanma anında belirtilmemesi, yalnızca aydınlatma yükümlülüğünün ihlali değil, aynı zamanda rızanın geçerliliği açısından da ciddi risk yaratıyor. Ayrıca karar, denetim, değerleme veya danışmanlık gibi günlük iş akışlarında bile pseudonim veri aktarımının, açık bir alıcı bildirimi ve sözleşmesel güvence olmadan yapılamayacağını netleştiriyor.

İş Süreçlerinde Ne Değişecek?

- Aydınlatma metinleri güncellemesi: Toplama anında alıcı/alıcı kategorilerini somutlayın; “iş ortakları” gibi muğlak ifadeleri daraltın.

- Pseudonim veri yönetimi: Pseudonim, kişisel veri muamelesi görür; DPIA, erişim kontrolü, saklama süreleri ve aktarım kayıtları buna göre revize edilmelidir.

- Tedarikçi sözleşmeleri: Deloitte benzeri alıcılara aktarımda işleyenin yükümlülükleri, alt-işleyen zinciri, teknik/organizasyonel tedbirler ve yeniden tanımlama yasağı net yazılmalı.

- Rıza ve hukuki dayanak kontrolü: Rıza kullanılıyorsa, alıcı bilgisi rızanın önkoşulu; meşru menfaat/ sözleşme dayanaklarında dahi şeffaflık şart.

Şirketler, aydınlatma metinlerinde alıcı veya alıcı kategorilerini belirsiz “iş ortakları” gibi ifadelerle değil, somut ve anlaşılır şekilde tanımlamak zorunda. Pseudonim verilerin de kişisel veri kapsamında olduğunun kabulü, DPIA’ların, erişim kontrollerinin, saklama sürelerinin ve aktarım kayıtlarının buna göre güncellenmesini gerektiriyor. Deloitte benzeri üçüncü taraflara aktarım yapılırken, sözleşmelerde işleyenin yükümlülükleri, alt-işleyen kullanımı, teknik ve organizasyonel tedbirler ile yeniden tanımlama yasağı net biçimde düzenlenmeli. Rıza hukuki dayanak olarak tercih ediliyorsa, alıcı bilgisinin verilmesi artık bir önkoşul. Ancak rıza dışındaki hukuki dayanaklarda da şeffaflık ilkesi hiçbir şekilde esnetilemiyor.

Son Söz:

Bu karar, “pseudonimleştirme yaptım, artık kişisel değil” savunusunu hukuken sürdürülemez kılıyor ve alıcı bilgilendirmesini toplanma anına sabitliyor. Özellikle denetim/danışmanlık gibi dış paydaşlı akışlarda, aydınlatma metinleri + sözleşmeler + DPIA üçlüsünün uyumlu çalışması artık daha da kritik

Karar sonrası uygulanacak Checklist örneği:

Aydınlatma & Şeffaflık (KVKK m.10):

- Aydınlatmada alıcı/alıcı grupları açık ve belirgin mi?

- “Pseudonim veri aktarımı” da dâhil tüm işleme amaçları ve hukuki sebepler net mi?

Aktarım (KVKK m.8–9):

- Yurtiçi/yurtdışı aktarımda alıcı tipi ve ülke/kuruluş seviyesi mümkün olduğunca somut mu?

- Sözleşmesel hükümler: yeniden tanımlama yasağı, alt-işleyen bildirimi, denetim hakkı, ihlal bildirimi.

Pseudonim Veri Disiplini:

- Pseudonim = kişisel veri; anonim değildir. Envanter, saklama-imha politikaları bu kabulle güncel mi?

- Ayrı tutulan anahtarlara erişim kısıtlı ve loglanıyor mu?

Rıza Geçerliliği:

- Rıza kullanılıyorsa, alıcılar bilgisi toplanma anında verildi mi?

DPIA:

- Üçüncü taraflara aktarım (denetim, danışmanlık, test) için DPIA yapıldı mı?

Sözleşmeler & Tedarikçiler:

- İşleyen sözleşmeleri KVKK 12 güvenlik tedbirleri ve “alıcı bildirimi” gereklilikleriyle uyumlu mu?

- Denetim hakkı ve ihlal bildirim süresi net mi?

Kayıt & Delillendirme:

-Aydınlatma versiyonları, banner’lar, formlar ve alıcı listesi güncellemeleri versiyonlanıp saklanıyor mu?

Kaynak: https://curia.europa.eu/juris/document/document.jsf?cid=16803864&dir=&docid=303863&doclang=EN&mode=req&occ=first&pageIndex=0&part=1&text=&utm_medium=email&utm_source=substack