Avrupa Birliği – Bulgar Yüksek İdare Mahkemesi ABAD’a 5 Soru Yöneltti

Bulgar Yüksek İdare Mahkemesi, elindeki bir dava ile ilgili olarak Avrupa Birliği Adalet Divanı Usul Kuralları md 98/1 gereğince ABAD’a 5 soru yöneltti. Sorular 74, 85 ve 146 no’lu resitaller ile 2016/679 sayılı Tüzüğün 5(2), 24, 32 ve 82’nci maddelerinin nasıl yorumlanması gerektiğine dair bilgi talebini içeriyor.

 Soru 1:

Tüzüğün 4(12) maddesindeki anlamıyla kişisel verilere, veri sorumlusunun çalışanı ya da kontrolü altına olmayan kişilerin yetkisiz şekilde erişmesi ya da bunları ifşa etmesi, veri sorumlusunun aldığı idari ve teknik tedbirlerin uygun olmadığını varsaymak için yeterli midir, 2016/679 (AB) Tüzüğün 24 ve 32. Maddeler bu şekilde mi yorumlanmalıdır?

Soru 2:

İlk sorunun cevabı olumsuz ise, veri sorumlusu tarafından 2016/679 Sayılı (AB) Tüzüğün 32. maddesi gereğince uygulanan idari ve teknik tedbirlerin uygun olup olmadığı yönünde inceleme yaparken hukuka uygunluğa dair yargısal denetiminin amaç ve kapsamı ne olmalıdır?

Soru 3:

İlk sorunun cevabı olumsuz ise, 74 No’lu resital ile birlikte okunduğunda, 2016/679 Sayılı (AB) Tüzüğün 5(2) ve 24. maddelerindeki hesap verilebilirlik ilkesi, 2016/679 Sayılı (AB) Tüzüğün 82(1) maddesinde belirtilen yasal süreçte, veri sorumlusunun aldığı idari ve teknik tedbirlerin Tüzüğün 32. maddesine uygun olduğunu ispatlamakla yükümlü olduğu şeklinde mi yorumlanmalıdır? Kişisel verilere yetkisiz erişim ya da kişisel verilerin yetkisiz ifşasının, eldeki davada olduğu gibi bir “hackleme saldırısı” neticesinde meydana gelmesi halinde, veri sorumlusu tarafından idari ve teknik tedbirlerin uygulanıp uygulanmadığını belirlemek amacıyla alınan bir uzman görüşü, gerekli ve yeterli bir ispat vasıtası olarak kabul edilebilir mi?

Soru 4:

2016/679 Sayılı (AB) Tüzüğün 4(12) maddesindeki anlamıyla kişisel veriye yetkisiz şekilde erişilmesi ya da bunların açıklanması, mevcut davada olduğu gibi veri sorumlusunun çalışanı ya da denetime tabi olmayan kişiler tarafından gerçekleştirilen bir hackleme saldırı neticesinde meydana gelirse Tüzüğün 82(3). Maddesi, veri sorumlusunun bu olay nedeniyle herhangi bir şekilde sorumlu olmadığı ve sorumluluktan muaf olduğu şeklinde mi yorumlanmalıdır?

Soru 5:

85 ve 146 sayılı resitallerle birlikte okunduğunda, Tüzüğün 82(1) ve (2) maddeleri,  bir “hackleme saldırısı” aracılığıyla kişisel verilere yetkisiz şekilde erişilmesi ve kişisel verinin
yayılması şeklinde gerçekleşen bir kişisel veri ihlalini konu alan eldeki gibi bir davada, ilgili kişilerin bu kişisel verilerin gelecekte kötüye kullanılması ihtimaline dayalı olarak üzüntü, korku ya da endişe yaşaması tek başına, manevi zarar kavramına dahil midir? Yani burada manevi zarar kavramı geniş mi yorumlanmalıdır? Bu kötüye kullanım gerçekleşmese ve ilgili kişi başka bir zarara uğramasa dahi bir tazminata hak kazanır mı?

Kaynak için bkz.