Olayın Arka Planı

AB Adalet Divanı (CJEU), EDPS (AB Veri Koruma Denetçisi) ile Tekil Çözüm Kurulu (SRB) arasındaki davada, SRB’nin banka çözüm sürecinde hissedar/alıcılara ait verileri Deloitte’a aktarması bağlamında iki temel noktayı netleştirdi:

1. Pseudonimleştirilmiş bilgi de kişisel veridir (ek bilgiyle ilişkilendirilebilir olduğu sürece),

2. Alıcılar hakkında bilgilendirme, veri toplanırken ve kontrolörün perspektifinden yapılmalıdır. Mahkeme, Genel Mahkeme’nin kararını bozdu ve davayı ikinci hukuki gerekçe yönünden geri gönderdi; ancak “kişisel veri” ve “bilgilendirme yükümlülüğü” ekseninde EDPS’nin yaklaşımını doğruladı.

İş Dünyası İçin Sonuçlar

Karar, bankacılık ve finans sektöründen başlayarak geniş bir etki alanına sahip. Denetim, değerleme ve danışmanlık firmaları (Big Four dahil) artık pseudonim verileri de kişisel veri olarak kabul ederek, alıcı bildirimi yapılmadan bu verileri işleyemeyecek.

Teknoloji, sağlık, telekom ve perakende gibi büyük veri işleyen sektörler için de aynı yaklaşım geçerli; aydınlatma metinleri, rıza süreçleri ve sözleşmelerin buna göre güncellenmesi gerekiyor.

Profesyonel düzeyde ise DPO’lar, hukuk müşavirleri, uyum/risk yöneticileri ve C-level teknik liderler bu dönüşümün merkezinde olacak. Özetle, karar yalnızca hukuk departmanlarını değil, şirketlerin tüm iş süreçlerini yeniden şekillendirecek.

Temel Bulgular

- Pseudonim ≠ anonim

- Alıcı bildirme zorunluluğu: potansiyel alıcı/alıcı kategorileri açıkça bildirilmeli

Mahkeme, SRB’nin Deloitte’a gönderdiği yorumlar ve alfanümerik kodların, SRB’nin elindeki ek bilgilerle eşleştirilebildiği için kişisel veri niteliğini koruduğunu açıkça ortaya koydu. Yani, pseudonimleştirme işlemi verileri anonim hale getirmiyor; veriler hâlâ kişisel veri sayılıyor. Karar ayrıca, alıcıların kim olduğuna dair bilgilendirmenin mutlaka veri toplanırken ve kontrolörün bakış açısıyla yapılması gerektiğini vurguladı. Burada esas alınması gereken ölçüt, alıcı açısından verilerin kişisel olup olmadığı değil, toplama........

© Hukuki Haber