Change of Purpose in Data Processing: The Question of Compatibility Criteria

Yıl 2021, Cilt: 3 Sayı: 2, 15 - 33, 31.12.2021

Cenk Konukpay Uğur Tabak

Öz

Purpose limitation principle is of fundamental importance in data protection law. This principle has two aspects. The first is that the purpose of data collection must be specified, explicit and legitimate. In other words, the purpose of data processing should be limited to a certain extent, it should be explicit to the extent that third parties can also understand it, and it should be in accordance with the legal basis and other legal regulations. However, new and different purposes that were not foreseen when collecting data may arise later. In this case, the second aspect of the purpose limitation, which is the subject of this study, “further processing compatible with the purpose of data collection” comes into question. Whether the further processing carried out for a different purpose is compatible with the purpose of data collection depends on the compatibility test in the fourth paragraph of the article six of the General Data Protection Regulation. On the other hand, exceptions to the compatibility test are also included in the Regulation. In Turkey, there is no statutory provision requiring a compatibility test in further processing. The Personal Data Protection Board considers such data processing activities as a new processing and requires that it has a new legal basis and comply with the principles in the article four of the Law No. 6698. In this regard, it would be appropriate to eliminate the difference between EU law and Turkish law through legal regulation. Such a regulation will, at first, strengthen and reinforce the purpose limitation principle. On the other hand, problems that may arise from the differences between EU law and Turkish law will be prevented.

Anahtar Kelimeler

purpose limitation principle, further processing, compatibility, protection of personal data

KİŞİSEL VERİLERİN İŞLEME AMACININ SONRADAN DEĞİŞMESİ: UYUMLULUK KRİTERLERİNİN UYGULANMASI SORUNU

Öz

Amaca bağlılık ilkesi veri koruma hukukunda temel bir öneme sahiptir. Bu ilkenin iki yönü bulunmaktadır. Bunlardan birincisi, verinin toplanma amacının belirli, açık ve meşru olması gerekliliğidir. Diğer bir ifadeyle veri işleme amacı belirli olacak düzeyde sınırlandırılmış olmalı, üçüncü kişilerin de anlayabileceği ölçüde açık olmalı, ayrıca hukuki sebebe ve diğer hukuki düzenlemelere uygun olmalıdır. Ancak veri toplanırken öngörülmeyen bazı yeni ve farklı amaçlar sonradan ortaya çıkabilir. İşte bu durumda, amaca bağlılık ilkesinin bu çalışmanın konusunu oluşturan ikinci yönü olan “ikincil işlemenin verinin toplanma amacıyla uyumlu olması” şartı gündeme gelir. Farklı bir amaçla yapılan ikincil işlemenin verinin toplanma amacıyla uyumlu olup olmadığı, Genel Veri Koruma Tüzüğü’nün altıncı maddesinin dördüncü fıkrasında yer alan uyumluluk testine bağlıdır. Öte yandan aynı düzenlemede uyumluluk testinin istisnalarına da yer verilmiştir. Türkiye’de ise ikincil işlemede uyumluluk testi öngören bir kanuni düzenleme bulunmamaktadır. Kişisel Verileri Koruma Kurulu da bu tür veri işleme faaliyetlerini yeni bir işleme olarak değerlendirmekte olup yeni bir hukuki sebebe dayanmasını ve 6698 sayılı Kanunun dördüncü maddesindeki ilkelere uygun olmasını gerekli görmektedir. Bu konuda AB hukuku ile Türk hukuku arasındaki farklılığın kanuni düzenleme yoluyla giderilmesi isabetli olacaktır. Böyle bir düzenleme öncelikle amaca bağlılık ilkesini güçlendirecek ve pekiştirecektir. Öte yandan AB hukuku ile Türk hukuku arasındaki farklılıklardan kaynaklanabilecek sorunların da önüne geçilmiş olacaktır.

Anahtar Kelimeler

amaca bağlılık ilkesi, ikincil işleme, uyumluluk, kişisel verilerin korunması

Kaynakça

• AŞIKOĞLU, Şehriban İpek (2018). “Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri”. İstanbul. On İki Levha Yay.
• CUSTERS, Bart and U VRABEC, Helena (2016). “Big Data and Data Reuse: A Taxonomy of Data Reuse for Balancing Big Data Benefits and Personal Data Protection”. International Data Privacy Law. https://ssrn.com/abstract=3046774. [21.02.2021].
• ÇEKİN, Mesut Serdar (2020). “Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku”. On İki Levha Yay.
• DÜLGER, Murat Volkan (2020). “Kişisel Verilerin Korunması Hukuku”. İstanbul: Hukuk Akademisi.
• European Data Protection Board (2020). “Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak”.
• European Data Protection Supervisor (2019). “Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data”.
• FORGÓ, Nikolaus and HÄNOLD, Stefanie vd (2017). “The Principle of Purpose Limitation and Big Data”, New Technology, Big Data and the Law. 17-42. https://link.springer.com/chapter/10.1007/978-981-10-5038-1_2 [24.02.2021].
• Information Commissioner's Office (2021). “Guide to the General Data Protection Regulation”.
• Kişisel Verileri Koruma Kurumu (2019). “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”. Ankara: KVKK Yayınları No: 1.
• KOSTADINOVA, Zhasmina Radkova. “Purpose limitation under the GDPR: can Article 6(4) be automated?”. Master Thesis. Netherlands. Tilburg University. http://arno.uvt.nl/show.cgi?fid=146471. [16.02.2021].
• KUNER, Christopher and SVANTESSON, Dan Jerker B. vd. (2016). “The Language of Data Privacy Law (and How It Differs from Reality)”. Articles by Maurer Faculty. 259-260. https://www.repository.law.indiana.edu/cgi/viewcontent.cgi?article=3632&context=facpub. [27.02.2021].
• KÜZECİ, Elif (2019). “Kişisel Verilerin Korunması”. Ankara: Turhan Kitabevi.
• Madde 29 Çalışma Grubu [Article 29 Data Protection Working Party] (2013). On Purpose Limitation, WP 203.
• MOEREL, Lokke and PRINS, Corien. (2016). “Privacy for the Homo Digitalis: Proposal for a New Regulatory Framework for Data Protection in the Light of Big Data and the Internet of Things”. http://dx.doi.org/10.2139/ssrn.2784123. [21.02.2021].
• SCHWARTZ, Paul M. (2000) “Privacy and Democracy in Cyberspace”. Vanderbılt Law Revıew. Vol. 52: 1609-1701. http://dx.doi.org/10.2139/ssrn.205449. [21.02.2021].
• VOIGT, Paul / BUSSCHE, Axel von dem (2017). “The EU General Data Protection Regulation (GDPR)”. Springer, Cham. https://doi.org/10.1007/978-3-319-57959-7 [21.02.2021].
• WESTERMANN, Hannes (2018). “Change of Purpose: The effects of the Purpose Limitation Principle in the General Data Protection Regulation on Big Data Profiling”. Master Thesis. Sweden. Lund University. https://lup.lub.lu.se/student-papers/search/publication/8941820. [16.02.2021].
• ZARSKY, Tal (2017). “Incompatible: The GDPR in the Age of Big Data”. Seton Hall Law Review. Vol. 47, No. 4(2), 995-1020. https://ssrn.com/abstract=3022646. [22.02.2021].
• 108 sayılı Sözleşme [Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data] (28.I.1981). Council of Europe.
• 108+ Sözleşmesi [Amending protocol to the Convention for the Protection of Individuals with Regard to the Processing of Personal Data] (18.05.2018). Council of Europe.
• 95/46/AT sayılı Direktif [Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data] (1995).
• Avrupa Birliği Genel Veri Koruma Tüzüğü [Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC] [2016].
• Özel Hayatın Gizliliği ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber [Guidelines on the Protection of Privacy and Transborder Flows of Personal Data] (23.09.1980). Organisation for Economic Co-operation and Development.
• Resolution 1973 [Res(73)22 on the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector] (26/09/1973). Council of Europe.
• Resolution 1974 [Res(74)29 on the protection of the privacy of individuals vis-à-vis electronic data banks in the public sector] (20/09/1974). Council of Europe.
• BİLİR, Faruk (2020). “Veri, dijital dönüşümün gerçekleştirilmesinde kilit rol oynuyor”. https://www.bthaber.com/veri-dijital-donusumun-gerceklestirilmesinde-kilit-rol-oynuyor/. [27.02.2021].
• BUTTARELLI, Giovanni, (2016). “Ethics at the Root of Privacy”. https://edps.europa.eu/sites/default/files/publication/16-04-19_mit_ethics1_en.pdf [25.02.2021].
• Madde 29 Çalışma Grubu [Article 29 Data Protection Working Party] (2015). “Press Release: Press release on Chapter II of the draft regulation for the March JHA Council”.
• Türkiye Büyük Millet Meclisi (2016). “Kanun Tasarısı”. https://www2.tbmm.gov.tr/d26/1/1-0541.pdf. [27.02.2021].
• Türkiye Cumhuriyeti Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı (2019). “On Birinci Kalkınma Planı (2019-2023)” https://www.sbb.gov.tr/wp-content/uploads/2019/07/On-Birinci-Kalkinma-Plani.pdf. [28.02.2021].
• Avrupa Birliği Adalet Divanı (2003). C-13/16. https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A62016CJ0013. [27.02.2021].
• Avrupa İnsan Hakları Mahkemesi (2003). Bărbulescu v. Romanya Başvuru No: 61496/08. https://hudoc.echr.coe.int/eng#{%22tabview%22:[%22document%22],%22itemid%22:[%22001-177082%22]}. [27.02.2021].
• Avrupa İnsan Hakları Mahkemesi (2003). Luordo/İtalya Başvuru No: 32190/96. https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-4774%22]}. [27.02.2021].
• Doolin/İrlanda Veri Koruma Komisyonu (2020): Başvuru No: IEHC 90, https://www.courts.ie/acc/alfresco/d08c47b8-1bf6-4101-b072-dd45536fa56b/2020_IEHC_90.pdf/pdf#view=fitH. [01.03.2021].
• Hollanda Veri Koruma Otoritesi (2019). https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf. [01.03.2021].
• Kişisel Verileri Koruma Kurulu (2019). Karar S: 2019/122.
• Kişisel Verileri Koruma Kurulu (2019). Karar S: 2019/277.
• Kişisel Verileri Koruma Kurulu (2019). Karar S: 2019/78.
• Kişisel Verileri Koruma Kurulu (2020). Karar S: 2020/167.
• Kişisel Verileri Koruma Kurulu (2020). Karar S: 2020/34.
• Kişisel Verileri Koruma Kurulu (2020). Karar S: 2020/58.
• Kişisel Verileri Koruma Kurulu (2020). Karar S: 2020/59.