Almanya – GDPR’a Dayanan Tazminat Taleplerinde Zarar İspat Edilmelidir

Baden-Wuerttemberg (İş) İstinaf Mahkemesi, 25 Şubat 2021 tarihinde verdiği kararı ile (Esas Nı:17 Sa 37/20) Genel Veri koruma Tüzüğü ihlalinden kaynaklı bir davada manevi zararın talep edilmesi için gerekli şartları netleştirdi.

Karara konu uyuşmazlıkta işçi, kişisel verilerinin işverenin Amerika’da bulunan ana şirketine aktarılması nedeniyle manevi zarara uğradığını iddia ederek tazminat talebinde bulunmuştur.

Somut olayda ise işveren bulut tabanlı bir insan kaynakları sistemini test etmek ister, bu amaçla geçici olacak şekilde İK sisteminin kullanılması konusunda işveren, sorumlu işçi konseyi ile bir çalışma sözleşmesi üzerinde anlaşmış ve kullanılacak veri kategorilerini belirlemiştir. Ancak işveren işçilerin rızasını almadan Nisan – Mayıs döneminde sistemi test etmiştir.  Buna karşılık aktarılan veriler kısmen de olsa bu çalışma sözleşmesi kapsamında olmayan verilerdir. GDPR’ın yürürlüğe girmesinden bir gün önce yani 24 Mayıs 2018’de, işveren ve ABD merkezli ana şirket verilerin işlenmesi ve korunması noktasında kapsamlı bir anlaşma yapmıştır. Buna bağlı olarak da işçi, herhangi bir yasal temele dayanmadığından bahisle kişisel verisinin aktarılmasının GDPR’a aykırılık teşkil ettiğini, bu hukuka aykırı durumun neredeyse 2 yıldır sürdüğünü ve kişisel verilerinin ABD’de bulunan kurumlara aktarılması olasılığının söz konusu olduğunu iddia ederek mahremiyet hakkının ihlal edildiğinden bahisle manevi tazminat talebinde bulunmuştur.

Mahkeme kararına bakıldığında hem ilk derece mahkemesi hem de istinaf mahkemesinin işçinin iddialarını kabul etmediği görülmektedir. Baden Wuerttemberg İstinaf Mahkemesi, İK sistemi için test yapılması amacıyla kişisel veri işlemenin çalışma anlaşmasında yer almadığını ve Alman gizlilik kanunlarında dayanağı bulunmadığını ifade ederek, bu durumun kural olarak GDPR uyarınca manevi tazminata hak kazandırabileceğini kabul etti. Ancak mahkeme bu olayda GDPR’daki sınır ötesi kişisel veri aktarımı ile ilgili hükümlerin ihlal edilmediğine şu gerekçelerle karar verdi:

1. Öncelikle aktarımın gerçekleştiği tarihte GDPR henüz yürürlüğe girmemiş olduğundan uygulanabilir değildir,
2. Şirket 25 Mayıs 2018 tarihinden sonraki aktarımlarına standart sözleşme maddelerine (SSC)’ye dayanarak devam etmiştir ki en azından aktarımın gerçekleştiği tarihte bu dayanak hukuka uygun idi,

Mahkemenin kanaatine göre GDPR ihlaline dayalı olarak bir zarar iddia ediliyorsa bu zararı ispat yükü işçinin üzerindedir. Olaysa işveren GDPR hükümlerini ihlal etmemiştir. Federal Veri koruma Kanunu ve çalışma sözleşmesi, tazmin edilmesi gereken bir zarar meydana getirmeye yeterli değildir. Zehirli ağacın meyvesi ilkesi Alman hukukunda uygulanmaz. Dolayısıyla devam eden veri aktarım faaliyetleri, GPDR’ın yürürlüğe girmesinden önceki bir hukuka aykırılıktan etkilenmez. Tek başına verilerin kötüye kullanılması ya da ana şirkete aktarılması olasılığının bulunması işçinin bir zarara uğradığını göstermeye yeterli değildir.

Kaynak: http://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&nr=27411