Avrupa Komisyonu, İspanya hakkında seyahat edenlerin kişisel verilerinin toplanması ve işlenmesinde Avrupa Birliği (AB) veri koruma kurallarına uyulmadığı gerekçesiyle bir ihlal süreci başlattı. Brüksel merkezli Komisyon, İspanyol hükümetinin konaklama sağlayıcılarını, çevrimiçi platformları ve araç kiralama şirketlerini, yolcuların kişisel verilerini merkezi bir devlet veri tabanına toplamaya, saklamaya ve kolluk kuvvetlerinin erişimine açmaya zorlamasının AB direktiflerini ihlal ettiğini belirtiyor. Bu durum, özellikle Kolluk Kuvvetleri Direktifi (Directive 2016/680) kapsamında, kişisel verilerin işlenmesinde belirlenen sınırlamalara ve orantılılık ilkesine aykırı bulunuyor.
Avrupa Komisyonu'nun tespitlerine göre, İspanya'nın uyguladığı bu veri toplama yükümlülüğü, direktifin gerekliliklerini karşılamıyor. Komisyon, toplanan ve saklanan kişisel veri kategorilerinin "aşırı" olduğunu vurguluyor; zira bu veriler arasında ödeme bilgileri ve coğrafi konum (GPS) verileri gibi hassas bilgiler de yer alıyor. Ayrıca, kolluk kuvvetlerinin bu verilere erişiminin, mevzuatın gerektirdiği gibi belirli ve açık amaçlarla sınırlı olmaması da ciddi bir endişe kaynağı olarak gösteriliyor. Bu geniş kapsamlı ve sınırsız erişim, bireylerin mahremiyet hakları açısından önemli riskler taşıdığına işaret ediyor.
Soruşturmanın bir diğer önemli boyutu ise verilerin saklama süresi. Avrupa Komisyonu, İspanyol yetkililerin tüm verileri üç yıl boyunca saklamasını "orantısız" buluyor. Veri koruma hukukunda, kişisel verilerin yalnızca işlenme amacına uygun ve gerekli olduğu süre boyunca saklanması esastır. Üç yıllık bir saklama süresi, birçok durumda bu ilkeye aykırı kabul edilmekte ve veri ihlali riskini artırmaktadır. Bu tespitler üzerine Brüksel, İspanyol hükümetine resmi bir mektup göndererek, tespit edilen eksiklikleri gidermesi için iki ay süre tanıdı. Eğer İspanya bu süre içinde gerekli düzeltmeleri yapmazsa, Komisyon gerekçeli bir görüş yayınlayabilir ve nihayetinde İspanya'yı Avrupa Birliği Adalet Divanı'na (TJUE) sevk edebilir.
AB Veri Koruma Çerçevesi ve İspanya'nın Rolü
Bu ihlal süreci, AB'nin kişisel veri korumasına verdiği önemi bir kez daha gözler önüne seriyor. AB veri koruma çerçevesinin temelini, 2018'de yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR) oluşturur. Ancak, kolluk kuvvetleri ve adli makamlar tarafından kişisel verilerin işlenmesini düzenleyen özel bir direktif olan Kolluk Kuvvetleri Direktifi (Directive 2016/680) de bu çerçevenin önemli bir parçasıdır. Bu direktif, suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ve ceza yaptırımlarının uygulanması amacıyla kişisel verilerin işlenmesine ilişkin kuralları belirlerken, bireylerin temel hak ve özgürlüklerini, özellikle de kişisel verilerin korunması hakkını güvence altına almayı hedefler.
İspanya, Avrupa'nın en büyük turizm destinasyonlarından biri olması nedeniyle, bu tür bir veri toplama uygulamasının potansiyel etkisi oldukça geniştir. Her yıl milyonlarca uluslararası turist ağırlayan İspanya'da, konaklama ve ulaşım hizmetleri aracılığıyla toplanan veri hacmi muazzam boyutlara ulaşabilir. Bu durum, ulusal güvenlik endişeleri ile bireysel mahremiyet hakları arasındaki hassas dengeyi korumanın ne kadar kritik olduğunu göstermektedir. AB, üye devletlerin güvenlik önlemleri alma hakkını tanırken, bu önlemlerin AB hukukuna uygun olması ve temel hakları ihlal etmemesi konusunda ısrarcıdır. İspanya'nın bu uygulaması, bu dengenin bozulduğu yönünde ciddi bir sinyal olarak algılanıyor.
Olası Etkileri ve Türkiye Bağlantısı
Avrupa Komisyonu'nun başlattığı bu ihlal süreci, İspanya için ciddi hukuki ve mali sonuçlar doğurabilir. Avrupa Adalet Divanı'nda aleyhine karar verilmesi durumunda, İspanya'nın hem yasal düzenlemelerinde değişiklik yapması gerekecek hem de yüklü para cezalarıyla karşı karşıya kalabilecektir. Bunun yanı sıra, ülkenin veri koruma konusundaki itibarı da zarar görebilir. Bu durum, özellikle AB vatandaşları ve AB'ye seyahat eden diğer ülke vatandaşları, dolayısıyla Türk vatandaşları için de veri mahremiyeti endişelerini artırabilir. Avrupa'ya seyahat eden herkesin, kişisel verilerinin nasıl toplandığı, saklandığı ve kullanıldığı konusunda daha fazla şeffaflık ve güvence beklentisi olacaktır.
Türkiye de Kişisel Verilerin Korunması Kanunu (KVKK) ile AB standartlarına uyum sağlama çabasındadır. Türkiye'deki oteller ve konaklama tesisleri de misafirlerden kimlik bilgileri ve diğer kişisel verileri toplamakla yükümlüdür. Ancak bu verilerin toplanma şekli, saklanma süresi ve kolluk kuvvetleriyle paylaşım koşulları, KVKK ve ilgili mevzuat çerçevesinde belirlenmiştir. İspanya örneği, ulusal güvenlik ve suçla mücadele gerekçesiyle dahi olsa, kişisel verilerin toplanması ve işlenmesinde uluslararası ve bölgesel hukuki standartlara tam uyumun ne kadar önemli olduğunu göstermektedir. Bu tür ihlal süreçleri, AB hukukunun üstünlüğünü ve bireylerin veri mahremiyeti hakkının ne kadar temel bir değer olduğunu bir kez daha vurgulamaktadır.
