Avrupa Birliği Adalet Divanı GDPR İhlalinin Manevi Tazminat İçin Yeterli Olmadığına Karar Verdi
Giriş
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[1], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini talep etmek için yeterli olmadığına karar verdi. Adalet Divanı, (i) mevcut bir zararın olması, (ii) GDPR hükümlerinin ihlal edilmiş olması ve (iii) oluşan zarar ile bu ihlal arasında bir nedensellik bağının bulunması gerektiğini değerlendirmiştir. Ayrıca, Adalet Divanı, uğranılan manevi zararın asgari bir ciddiyet eşiğine ulaşmış olmasının gerekmediğine ve Avrupa Birliği (“AB”) hukuku ilkelerinden eşitlik ve etkililik ilkelerine uyulması kaydıyla, tazminat bedelinin belirlenmesinde her bir Üye Devletin iç hukuk kurallarını uygulanması gerektiğine dikkat çekmiştir.
Karara Konu Olay
Karara konu olayda, Avustralyalı veri sahibinin Avusturya posta kurumuna ("Österreichische Post AG") karşı yürüttüğü hukuki ihtilaf yer alır. Buna göre, Avusturya nüfusunun siyasi eğilimleri hakkında bilgi toplayan Österreichische Post AG, çeşitli sosyal ve demografik kriterleri göz önünde bulunduran bir algoritma kullanarak hedef grup adreslerini tanımlamış ve bu şekilde elde edilen verileri, hedeflenmiş reklam gönderimi sağlamak amacıyla çeşitli kuruluşlara satmıştır.
Avusturya siyasi partilerinden biri ile ilişkilendirilen başvuran, Avusturya mahkemelerinde dava açmış ve manevi zararının tazmini için 1.000,00 Euro talep etmiştir. Başvuranın kişisel verileri üçüncü kişilere aktarılmamış olmasına rağmen, başvuran, kişisel verilerinin işlenmesine rıza göstermediğini ve söz konusu siyasi partiyle ilişkilendirilmesinden rahatsız olduğunu, sözde siyasi görüşlerine ilişkin verilerin söz konusu şirkette saklanmasının kendisinde büyük bir üzüntüye, güven kaybına ve ifşa edilmişlik hissine neden olduğunu ileri sürmüştür.
Avusturya mahkemeleri, Avusturya Hukuku uyarınca kişisel verilerin korunmasına ilişkin kuralların ihlalinin otomatik olarak manevi zararla ilişkilendirilmediği ve yalnızca zararın belirli bir "ciddiyet eşiğine" ulaşması halinde tazminat hakkının doğduğu gerekçesiyle tazminat talebini reddetmiştir.
Temyiz incelemesini gerçekleştiren Avusturya temyiz mahkemesi, aşağıdaki sorulara ilişkin bir karar vermesi için konuyu Adalet Divanı’na havale etmiştir:
- GDPR madde 82 (1), GDPR hükümlerinin tek başına ihlal edilmiş olmasının ilgili kişinin tazminat talebinde bulunması için yeterli olduğu şeklinde mi yorumlanmalıdır?
- Manevi tazminat talebinin kabulü açısından, GDPR madde 82 (1), veri sahibinin uğradığı zararın tazminini zararın belirli bir ciddiyet eşiğine ulaşmış olması koşuluna tabi kılan ulusal bir kural veya uygulamayı engelleyecek şekilde mi yorumlanmalıdır?
- Ulusal mahkemeler, tazminat bedelinin belirlenmesine ilişkin olarak her bir Üye Devletin kendi iç kurallarını mı uygulamalıdır?
Adalet Divanı’nın Kararı
Soru 1: GDPR madde 82 (1), GDPR hükümlerinin tek başına ihlal edilmiş olmasının ilgili kişinin tazminat talebinde bulunması için yeterli olduğu şeklinde mi yorumlanmalıdır?
GDPR madde 82 (1) aşağıdaki gibidir:
"Bu Tüzüğün ihlali sonucunda maddi veya manevi zarara uğrayan herhangi bir kişi, uğradığı zarar için veri sorumlusu veya işleyenden tazminat talep etme hakkına sahiptir."
Adalet Divanı, GDPR'ın "maddi veya manevi zarar" ve "uğranılan zararın tazmini" kavramlarına ilişkin olarak Üye Devletlerin iç hukukuna herhangi bir atıfta bulunmaması nedeniyle, bu kavramları GDPR'ın uygulanması amacıyla, tüm Üye Devletlerde yeknesak bir şekilde yorumlanması gereken AB hukukunun özerk kavramları olarak kabul eder.
Bununla birlikte Adalet Divanı, öncelikle hükmün lafzını değerlendirir. Adalet Divanı’na göre, hükmün lafzından, aşağıdaki koşulların kümülatif olarak mevcut olması gerektiği açıkça anlaşılır;
- "Mevcut bir zararın” varlığı,
- GDPR hükümlerinin ihlal edilmiş olması,
- Oluşan zarar ile bu ihlal arasında bir nedensellik bağının bulunması.
Kararda, AB yasama organının GDPR'ın ihlalinin tazminat hakkı için yeterli olabileceğini düşünmüş olması halinde, GDPR madde 82 (1)'de "zarar" ve "ihlale" ayrı ayrı atıfta bulunulmasının gereksiz olacağının altı çizilir. Ayrıca, Adalet Divanı idari para cezalarının ve diğer cezaların uygulanmasına izin veren GDPR madde 83 ve 84’ün de esasen cezalandırıcı bir amaca sahip olduğunu ve bireysel zararın varlığına bağlı olmadığını belirterek bu argümanı destekler.
Soru 2: Manevi tazminat talebinin kabulü açısından, GDPR madde 82 (1), veri sahibinin uğradığı zararın tazminini zararın belirli bir ciddiyet eşiğine ulaşmış olması koşuluna tabi kılan ulusal bir kural veya uygulamayı engelleyecek şekilde mi yorumlanmalıdır?
Bu soruya ilişkin olarak Adalet Divanı, Üye Devletlerin iç hukukuna atıfta bulunulmadığı için "manevi zarar" kavramına AB hukukuna özgü özerk ve yeknesak bir tanım verilmesi gerektiğini hatırlatır. Buna göre, GDPR madde 82 (1), herhangi bir ciddiyet eşiğine atıfta bulunulmaksızın "manevi zararın" tazminat hakkı doğurabileceğini ifade eder. Ayrıca, GDPR 146 numaralı resitalde "zarar kavramının Adalet Divanı içtihadı ışığında bu Tüzüğün amacını tam olarak yansıtacak şekilde geniş yorumlanması gerektiği" belirtilir. Dolayısıyla, "zarar" kavramını yalnızca belirli bir ciddiyet eşiğine ulaşmış zararla sınırlandırmak, bu kavramın geniş yorumlanması gerekliliğine aykırı olacaktır.
Karar, manevi zararların tazminini belirli bir ciddiyet eşiğine tabi tutmanın GDPR tarafından oluşturulan kuralların tutarlılığını zayıflatma riski taşıyacağının altını çizer. Zira böyle bir eşik, davayı gören mahkemelerin değerlendirmesine göre değişkenlik gösterecektir. Bununla birlikte, Adalet Divanı her halükârda GDPR hükümlerinin ihlali nedeniyle olumsuz sonuçlara maruz kalan bir kişinin bu sonuçların GDPR madde 82 anlamında manevi zarar teşkil ettiğini kanıtlamak zorunda olduğunu belirtir.
Soru 3: Ulusal mahkemeler, tazminat bedelinin belirlenmesine ilişkin olarak her bir Üye Devletin kendi iç kurallarını mı uygulamalıdır?
Son soruya ilişkin Adalet Divanı, GDPR hükümlerinin ihlal edilmesi yoluyla zarara uğrayan veri sahibine ödenmesi gereken tazminat tutarının belirlenmesine ilişkin herhangi bir değerlendirmenin GDPR’da yer almadığına dikkat çeker. Bu nedenle, ödenmesi gereken tazminat tutarının belirlenmesine yönelik kriterler her Üye Devletin kendi hukuk sistemine göre belirlenmelidir. Ancak Adalet Divanı, AB hukukunun eşitlik ve etkililik ilkelerine uyulması gerektiğinin altını çizer. Etkililik ilkesi, ulusal hukukun AB hukuku doğrultusunda yorumlanması, ulusal hukukun çelişkili hükümlerinin uygulanmaması ve AB hukuku ihlallerinden kaynaklanan sonuçların geçersiz kılınması gerekliliklerini ifade eder. Etkililik ilkesi aynı zamanda, bireylerin AB hukukundan kaynaklanan haklarının korunmasına yönelik eylemleri düzenleyen ayrıntılı usul kurallarının, bu hakların kullanılmasını pratikte imkânsız kılmaması veya aşırı derecede zorlaştırmaması gerektiği anlamına gelir. Eşitlik ilkesi ise, Üye Devletlerin AB hukuku kapsamındaki konulara tamamen ulusal konulardan daha az elverişli davranmamasını gerektirir.
Sonuç
Sonuç olarak, bu kararın GDPR madde 82 ile ilgili tartışılan birçok konuya açıklık getirdiği açıktır. Örnek olarak, GDPR hükümlerinin ihlalinden kaynaklanan bir zararın mevcut olması gerektiği, bu zararın asgari bir ciddiyet eşiğine ulaşmasının aranmadığı ve tazminat miktarının eşitlik ve etkililik ilkeleri göz önünde bulundurularak Üye Devletlerin iç hukukuna uygun şekilde belirlenmesi gerektiği açıklığa kavuşturulmuştur. Buna karşılık, Adalet Divanı ispat yükünün davacı üzerinde olduğunu belirtilmekle birlikte, manevi zararın nasıl ispat edileceğinin detayına girmemiştir. Bu bakımdan, GDPR madde 82’nin manevi zarar taleplerine ilişkin uygulanması açısından hala cevaplanması gereken sorular olduğu söylenebilir.
- Avrupa Birliği Adalet Divanı Kararı, Case-300/21 04.05.2023, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0300 (Erişim Tarihi: 22.05.2023)
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
