"Medinagate" ve bazı belediyelerin öğrenmediği dersler

1 Yaklaşık dört yıl önce Lizbon Belediyesi, Aleksey Navalny'yi desteklemek için düzenlenen gösterinin organizatörlerine ait kişisel verileri, Rusya Federasyonu Büyükelçiliği ve Rusya Dışişleri Bakanlığı da dahil olmak üzere çok sayıda ulusal ve yabancı kurumla usulsüz bir şekilde paylaşarak manşetlere çıkmıştı .

Sonuçları çok geçmeden görüldü: Hukuken, Ulusal Veri Koruma Komisyonu (CNPD) bu davranışı 1.250.000,00 Avro para cezasına çarptırdı (o dönemde, kişisel verilerin korunmasına ilişkin geçerli düzenleyici çerçeveyi ihlal ettiği için Portekiz'de verilen en yüksek para cezasıydı); siyasi olarak, muhalefet bu davayı dönemin Belediye Başkanı Fernando Medina'ya karşı bir "bayrak" olarak kullandı, onun kamuoyundaki imajını zedeledi ve en sonunda yaklaşan yerel seçimlerde Carlos Moedas'a karşı şaşırtıcı bir yenilgiye yol açtı.

2 Bunca yıl sonra, tarih anlaşılmaz bir şekilde tekerrür ediyor. İki farkla: "Suçlu" artık Lizbon Belediyesi değil, Faro Belediyesi; "mağdurlar" ise artık Navalny'nin serbest bırakılması için dayanışma ve protesto eylemi düzenleyenler değil, "Filistin'i desteklemek ve Gazze Şeridi'ndeki soykırıma karşı Pot-a-Pot" adlı gösteriyi düzenleyenler.

Geriye kalanlara gelince -gerçekten önemli olan- her şey aynı: Ağustos 2025'te olduğu gibi Haziran 2021'de de, ulusal bir belediye, yasal bir dayanağı olmaksızın, tespit edilen kişilerle ilgili bilgileri üçüncü taraflara (bu durumda iddiaya göre otuzdan fazla kuruluşa) gönderdi. Bunun nedeni, bu gazetede daha önce de yer verdiğimiz bir makalede açıkladığımız gibi, 29 Ağustos tarihli 406/74 sayılı Kanun Hükmünde Kararname'nin yalnızca bir yandan "kamuya açık veya halka açık yerlerde toplantı, miting, gösteri veya yürüyüş düzenlemek isteyen kişi veya kuruluşların, yargı yetkisine sahip belediyenin belediye başkanına en az iki iş günü önceden yazılı bildirimde bulunmaları gerektiğini" (madde 2, no. 1) ve ikinci olarak, "bildirimin, adları, meslekleri ve adresleri usulüne uygun olarak tespit edilmiş üç girişimci veya dernekler söz konusu olduğunda ilgili yöneticileri tarafından imzalanması gerektiğini" (madde 2, no. 2) hükme bağlamasıdır. Ancak bu mevzuat hiçbir zaman bu tür verilerin üçüncü taraflara iletilmesini zorunlu kılmıyor ve buna izin vermiyor; üstelik Lizbon Bölge İdare Mahkemesi geçen yıl yukarıda bahsi geçen Medinagate davasında verdiği kararda bunu doğruladı.

Ayrıca, CNPD'nin 21 Aralık tarihli ve 2021/1569 sayılı meşhur Kararında da belirttiği gibi, 29 Ağustos tarihli ve 406/74 sayılı Kanun Hükmünde Kararname'de belirtilen şartlar ve amaçlar doğrultusunda toplanan kişisel veriler, sıradan kişisel veriler değil, veri sahiplerinin siyasi görüşlerini, dini veya felsefi inançlarını ortaya çıkarabilecek bilgilerdir. Başka bir deyişle, sözde "özel kategorilerdeki kişisel veriler" kapsamına giren ve bu nedenle Genel Veri Koruma Yönetmeliği'nin (GDPR) 9. maddesinin 1. ve 2. fıkraları hükümleri uyarınca güçlendirilmiş bir koruma rejimine tabi olan bilgilerdir. Bu durum, verileri işleyenlerin daha fazla özen göstermesini gerektirmiştir; özellikle de kamu tüzel kişileri olmaları, yasallık ilkesine bağlı olmaları ve örnek teşkil etme yükümlülüğüne ahlaki olarak bağlı olmaları nedeniyle.

3 Bu bağlamda -ve şimdiye kadar bildirilen gerçekler doğrulanırsa- tek bir sonuç çıkarılabilir: Bazı ulusal belediyeler (başta Faro Belediyesi olmak üzere) Medinagate davasından çok az ders çıkarmış veya hiçbir şey öğrenmemiş gibi görünüyor . Bu durum, "dijital dönüşüm" ve özellikle Yapay Zeka gibi yıkıcı teknolojilerin yerel idari faaliyetlere dahil edilmesi hakkında çok fazla konuşulduğu bir dönemde daha da endişe verici hale geliyor. Bu, hem kamu yararı (bir yandan) hem de vatandaş hakları (diğer yandan) açısından beraberinde getirdiği tüm fayda ve risklerle birlikte ele alındığında daha da endişe verici.

Bu nedenle CNPD'nin yalnızca güçlü değil, aynı zamanda tutarlı bir duruş benimsemesi gerekmektedir. Güçlü bir duruş, GDPR ve kişisel verilerin korunmasına ilişkin diğer geçerli mevzuata uyulmamasının -özellikle de daha önce Komisyon tarafından kınanan ve hatta ağır yaptırımlara maruz kalan uygulamalardan kaynaklandığında- "normalleştirilemeyeceğini" açıkça ortaya koymalıdır. Tutarlılık ise, CNPD için hiçbir veri sorumlusunun diğerlerinden daha eşit olmadığını ve 2021 yılında Lizbon Belediyesi'ne verilen yüksek para cezasının herhangi bir siyasi veya medya baskısının sonucu olmadığını, aksine hukukun üstünlüğüyle yönetilen demokratik bir devlette tahammül edilemeyecek bir davranışa verilebilecek tek olası tepki olduğunu açıkça ortaya koymalıdır.

Seçmenler sandıkta tepkilerini ortaya koymak zorunda kalacaklar. Bu aynı zamanda, kişisel veri koruma haklarına ne kadar değer verdiklerini ve bu hakkın ihlalini cezalandırmak için ne kadar ileri gidebileceklerini (başka bir şey olmasa bile, Fernando Medina'nın son yerel seçimlerdeki eylemleriyle ilgili anlaşmazlıkları çözmek için) ölçmek için de bir fırsat olacak.

Not: Bu makalede ifade edilen görüşler bireysel olarak formüle edilmiştir ve yazarın çalıştığı kurumu bağlamaz.