Avrupa Birliği Adalet Divanı Hukuk Sözcüsü’nün 06.10.2022 Tarihli Görüşü

Avrupa Genel Veri Koruma Tüzüğü’nün İhlal Edilmesi Nedeniyle Ortaya Çıkan Manevi Zararların 82. Madde Kapsamında Tazminata Konu Edilip Edilmeyeceği

UI v Österreichische Post (Dosya no C-300/21).

Hazirlayanlar: İrem Nazlı GÜVEN & Kübra İSLAMOĞLU BAYER

Görüşe Konu Olay ve Arka Planı:

Avusturya’da lojistik ve posta hizmeti sağlayan Österreichische Post AG isimli şirket, seçimlere ilişkin tanıtım yapmak amacıyla Avusturya vatandaşlarının siyasi parti yakınlıkları hakkında bilgi toplamış ve kullandığı bir algoritma yardımı ile kişileri, hedef gruplara ayırmıştır.

Davacı da kişisel verileri toplanan kişiler arasındadır ve kullanılan algoritma neticesinde kendisi hakkında oluşturulan profile göre bir siyasi partiye yüksek derecede sempati duymaktadır.

Davacının iddiası; var olduğu iddia edilen siyasi parti yakınlığına dair profillemenin kendisi için aşağılayıcı ve utanç verici olduğu, ayrıca itibarını zedelediği, bunun da kendisinde büyük bir üzüntü ve özgüven kaybına yol açtığıdır. Davacı bu gerekçelerle uğramış olduğu manevi zarara karşılık kendisine 1.000 Euro manevi tazminat ödenmesini talep etmiştir.

İlk derece mahkemesi davayı reddetmiş ise de dosyayı inceleyen Avusturya Yargıtay’ı Avrupa Birliği Adalet Divanı’ndan (“ABAD”) aşağıdaki soruların yanıtlanmasını talep etmiştir ki bu dosya Almanya’dan gönderilenler de dahil olmak üzere ABAD önünde bekleyen birçok dosyadan ilki olma özelliği taşımaktadır:

ABAD’a Yöneltilen Sorular

• “[Avrupa Genel Veri Koruma Tüzüğü “GDPR”] 82 uyarınca tazminat ödenmesi için GDPR’ın ihlal edilmiş olmasının yanı sıra başvurucunun bir zarara uğramış olması da gerekiyor mu yoksa tek başına GDPR’ın ihlal edilmiş olması tazminat ödenmesi için yeterli midir? 

• Tazminatın değerlendirilmesi, etkililik ve denklik ilkelerine ek olarak Avrupa Birliği Hukukundaki başka gereksinimlere tabi midir? 

• Manevi zararın tazmin edilmesi için, ihlalin yarattığı üzüntüden daha fazla bir sonuç ortaya çıkması gerektiğini varsaymak gerekir mi ve bu Avrupa Birliği hukukuyla uyumlu mudur?” 

Hukuk Sözcüsü’nün Görüşü:

Hukuk Sözcüsü’nün sorulara ilişkin 06.10.2022 tarihli görüşü aşağıdaki gibidir[1]:

Soru 1:

Hukuk Sözcüsü, GDPR’ın ihlal edilmesinin zararın ortaya çıkıp çıkmamasından bağımsız olarak tek başına tazminat hakkını doğurup doğurmayacağına ilişkin ilk soruyu iki açıdan ele almış ve her iki açıdan da soruyu olumsuz cevaplamıştır.

Hukuk Sözcüsü ilk olarak, herhangi bir zarardan bağımsız olarak salt GDPR’ın ihlal edilmiş olması halinde tazminat ödenmesi gerektiğine ilişkin yorumun kabul edildiği durumu ele almıştır. Hukuk Sözcüsü’ne göre; GDPR madde 82’nin lafzı[2] dikkate alındığında (yani tazminatın ortaya çıkmış olan bir zararın giderilmesi amacıyla verildiği ifadesi karşısında) böyle bir yorum, çeşitli sorunlara sebep olabilir. Bu nedenle GDPR’ın ihlal edilmesi neticesinde ilgili kişinin bir zarar görmüş olması gerekmektedir, ihlal kavramının herhangi bir zarar olmaksızın doğrudan tazminat kavramı ile ilişkilendirilmesi 82. maddeye uygun değildir, nitekim aksi bir yorum GDPR’da öngörülen hukuki sorumluluğun ilgili kişinin zararlarının, tamamen ve etkili olarak tazminat yoluyla tatmin edilmesine ilişkin öncelikli amacı ile de uyumlu değildir.

Hukuku Sözcüsü’ne göre; zararın söz konusu olmadığı hallerde tazminat, ihlalin neden olduğu olumsuz sonuçları ortadan kaldırma fonksiyonundan ziyade cezalandırıcı fonksiyona yaklaşacaktır. Üye devletlerin hukuk sistemleri cezalandırıcı nitelikte tazminat ödenmesini öngörebilecek ise de cezalandırıcı nitelikteki bu tazminatların GDPR kapsamına girip girmediğinin ayrıca incelenmesi gerekmektedir.

İkinci bakış açısı ise, GDPR hükümlerinin ihlal edilmesinin otomatik olarak bir zararın ortaya çıkmasına neden olacağının kabul edilmesi haline ilişkindir. Hukuk Sözcüsü, bu yorumu GDPR’ın ilgili kişinin tazminat hakkına sahip olabilmesi için maddi veya manevi zarara uğraması gerektiğini öngören 82. maddenin lafzını dikkate alarak reddetmiştir.

Ayrıca Hukuk Sözcüsü, salt GDPR’ın ihlal edilmesiyle bir zarar ortaya çıkacağına dair kesin bir karinenin varlığına ilişkin tartışmaları da ele almış, GDPR hükümlerinin ihlal edildiği durumlarda, zarara ilişkin kesin bir karinenin olup olmadığı değerlendirmesini çeşitli yorum yöntemleri çerçevesinde değerlendirmiştir.

Bu karinenin var olduğunu savunanlara göre GDPR’ın ihlal edilmesi, otomatik olarak kişisel veri üzerindeki kontrolün kaybedilmesine yol açmakta bu da 82. maddede düzenlenen tazminatın hükmedilmesini gerektiren zararı ortaya çıkartmaktadır. Ancak Hukuk Sözcüsü, böyle bir yaklaşımın kabul edilmesi halinde herhangi bir zarar olmaksızın salt GDPR’ın ihlal edilmesinin, 82. maddenin uygulanmasına yol açacağından bahisle böyle bir kesin karinenin var olduğunun kabul edilmesinin doğru olmadığı görüşündedir.

Soru 2:

Hukuk Sözcüsü’nün görüşüne göre; etkililik ve denklik ilkeleri, tazminatın değerlendirilmesinde önemli bir rol oynamamaktadır; 82. madde, GDPR’nın ihlal edilmiş olmasının herhangi bir kişide maddi veya manevi zarara yol açması dışında başka bir koşul ileri sürmediği gibi tazminatın hesaplanması konusunda ulusal mahkemelere ek bir rehberlik de sağlamamaktadır. Ayrıca tazminat miktarı, her bir başvurucu tarafından öne sürülen talep ile bağlı olacaktır ve bu talepler– GDPR’da yer almaması nedeni ile- cezalandırıcı nitelikteki tazminatı kapsamayacaktır.

Bunlara ek olarak, manevi zararların giderilmesine ilişkin taleplerde, ihlalin gerçekleştiğinin kabulü ile başvuru sahibine belirli bir manevi tatmin sağlanması hususunda yalnızca mali etkenlerin değil bundan farklı başka etkenlerin de göz önünde bulundurulabileceği bu kapsamda bunu öngören hukuk sistemlerinin bir hakkın yerine getirilmesi (sembolik bir tazminatın ödenmesi) yahut bir haksız avantajın etkisiz hale getirilmesi (haksız olarak elde edilen kazancın transferi) gibi yöntemleri öngörebileceği belirtmiş ancak bu yolların GDPR’da öngörülmediğinden ve birçok Üye Devlet uygulamasında da yaygın olmadığından bahsetmiştir.

Soru 3:

Hukuk Sözcüsü üçüncü soruyu [sadece] üzgün olmak (tazminata uygun olmayan) ile manevi zarar (tazminata uygun olan) arasında ayrım yaparak cevaplamıştır. Bu kapsamda GDPR’da belirtilen manevi zararların tazmininin, salt GDPR hükümleri ihlal edildiği için hissedilen üzüntüyü kapsamadığı bildirmiştir. Bununla birlikte, ilgili kişinin yaşadığı öznel hoşnutsuzluk durumunun asgari düzeyi dikkate alınarak bunun de minimis eşiğini[3] aşmadığı durumlarda izin verilen hoşgörü derecesine ilişkin belirli bir zamanda toplumda hakim olan algıyı dikkate alarak hangi durumlarda tazminata uygun manevi zarar kabul edilebileceğini üye devletlerin belirlemesi gerektiğini vurgulamıştır.

Öte yandan GDPR’ın 82. maddesi ile 75 ve 85 no’lu resitaller bu eşiğin varlığına ilişkin bir ibare içermemektedir, 75 no’lu resital[4] veri işleme risklerinin belirlenmesi ve değerlendirilmesi ile bu risklerin önlenmesi ve azaltılmasına yönelik önlemlere ilişkindir. 85 no’lu resital[5] ise olası önemli etkilere uyarıda bulunarak kişisel veri ihlallerine atıfta bulunmaktadır. Bu nedenle Hukuk Sözcüsü’ne göre bu resitaller sorunun cevaplanmasında yardımcı olmamaktadır.

Bunlara ek olarak Hukuk Sözcüsü, 146 no’lu[6] resitali ele almış, resitalin ifadesinden de ilgili sorunun yanıtlanmasına ilişkin kriterlerin çıkartılmasının mümkün olmadığını belirtmiştir. Buna karşılık 146 no’lu resitalde yer alan “herhangi bir zararın tazmin edilmesi” ifadesinden GDPR’ın manevi zararları da kapsadığı anlamının çıkartılabileceğini belirtmiştir. Bununla birlikte Hukuk Sözcüsü, 146 no’lu resitalde yer alan zarar[7] kavramının ABAD içtihatları ışığında ve GDPR’ın öngördüğü amaçlar doğrultusunda geniş yorumlanması gerektiğine ilişkin ifadenin, -GDPR kabul edildiğinde ABAD’ın henüz bu konuda bir karar vermemiş olduğu da dikkate alındığında- veri koruma açısından yararlı olmayacağını eklemiştir.

Hukuk Sözcüsü, ABAD’ın her alanda geçerli, genel bir zarar tanımına karar vermediğini buna karşılık GDPR ile korunması hedeflenen geniş kitle dikkate alındığında zarar tanımının geniş yorumlanması gerektiğini; Ancak her ne kadar ABAD içtihatlarında kullanılan ifadelerde, Avrupa Birliği hukukunda manevi zararların tazmin edilmesi ilkesinin varlığına dair argümana izin verilse de bunun tüm manevi zarar tiplerine uygulanabileceğine dair bir sonuca varılmasının mümkün olmadığını belirtmiştir.

Tüm bunların yanı sıra Hukuk Sözcüsü, GDPR’ın tek amacının kişisel verilerin korunmasına ilişkin temel hakkı korumak olmadığını eklemiştir.

Hukuk Sözcüsü, ABAD’ın ve ulusal hukuk sistemlerinin, (i) tazmin edilmesine karar verilebilen manevi zararlar ile (ii) kanunun suistimal edilmesi (kötüye kullanılması) sonucunda ortaya çıkan ve önemsiz olmaları nedeniyle tazminat hakkı doğurmaya elverişli olmayan rahatsızlıklar arasında yaptığı ayrıma değinmiş ve bu ayrımın GDPR uygulamalarına da aktarılmasında bir engel bulunmadığı yorumunu eklemiştir.

Hukuk Sözcüsü, GDPR’ın 82. maddesi kapsamındaki tazminat hakkının, tüm bu ihlallerin ilgili kişide üzüntü ve/ya rahatsızlık yarattığı durumlarda kişisel veri işlemeyle bağlantılı ihlallere karşı koymak için uygun bir yol olmadığını düşünmektedir. Nitekim belirsiz, gelip geçici hisler ve duygulara ilişkin tazminat hakkının reddedilmesinin ilgili kişiyi korumasız bırakmayacağını; ilgili kişilerin, GDPR’da yer alan sistem çerçevesinde; GDPR’ın 77. maddesinde[8] yer alan şikayet hakkı, 79. maddesinde[9] yer alan dava hakkı ve 80. maddesinde[10] yer alan yetkilendirme yoluyla belirli organlara dava açma yetkisinin verilmesi gibi başkaca çarelere de sahip olduğunu belirtmiştir.

Son olarak Hukuk Sözcüsü, yalnızca üzgün olmak (tazminata uygun olmayan) ile gerçek manevi zarar (tazminata uygun olan) arasında ince bir çizginin olduğunu ve bu ayrımın pratikte uygulanmasının zor olacağını, bu ayrımı ulusal mahkemelerin belirlemesi gerektiğine karar vermiştir.

BONUS: GDPR’ın İhlal Edildiği Gerekçesiyle Manevi Tazminat Talebini Konu Ednen ve ABAD Önünde Bekleyen Diğer Bazı Davalar:

1.Juris GmbH (Dosya no C-741/21) [11]:

Dava, kendisine doğrudan pazarlama yapılmamasını talep eden bir kişi ile ilgili olup ilgili kişi bu talebine rağmen üç tane doğrudan pazarlama mektubu daha almıştır. İlgili kişi, pazarlamanın doğrudan bir sonucu olarak hiçbir mali kayba uğramamış ve hatta hiçbir sıkıntı çekmemiş olsa da bu ihlal nedeniyle tazminat alma hakkı olduğunu savunmaktadır. Bu davada ABAD’a yöneltilen sorular;

• GDPR’nin 85 no’lu resiatli ve 146 no’lu resitalinin üçüncü cümlesi ışığında, (1) GDPR’nin 82(1) maddesindeki “manevi zarar” kavramı, diğer etkileri ve zararın maddi boyutu gözetilmeksizin, korunan hukuki pozisyonun herhangi bir zararını kapsadığı şeklinde mi yorumlanmalıdır? 

• İhlalin GDPR’nin 29. maddesi anlamında veri işleyen veya veri sorumlusunun yetkisi altındaki bir kişinin bireysel nitelikteki insani hatasından kaynaklanması halinde GDPR’nin 82(3) maddesi uyarınca [veri sorumlusu veya veri işleyenin] tazminat sorumluluğu ortadan kalkar mı? 

• Manevi zarar için tazminatın değerlendirilmesinde, GDPR’nin 83. Maddesinde, özellikle de GDPR’nin 83(2) ve 83(5) maddelerinde belirtilen, değerlendirme kriterlerinin kullanılması gerekir mi veya [bu] mümkün müdür? 

• Tazminat her bir ayrı ihlal için mi belirlenmelidir, yoksa birkaç ihlal- en azından aynı nitelikteki birkaç ihlal- tek tek miktarları toplanarak belirlenmemekle birlikte genel bir değerlendirmeye dayanan toplam bir tazminat miktarı ile mi cezalandırılmalıdır?

 2.VB v Natsionalna agentsia za prihodite (Dava C-340/21)[12][13]:

Bu davada, bir siber saldırının ardından ilgili kişinin yaşadığı endişe, korku ve kaygıların, kişisel verilerinin kötüye kullanıldığına dair herhangi bir delil bulunmadığı durumlarda dahi tazminatı haklı kılmak için yeterli olup olmadığı sorulmaktadır.

Bu davada ABAD’a yöneltilen sorular;

• Tüzüğün 4(12) maddesindeki anlamıyla kişisel verilere, veri sorumlusunun çalışanı ya da kontrolü altına olmayan kişilerin yetkisiz şekilde erişmesi ya da bunları ifşa etmesi, veri sorumlusunun aldığı idari ve teknik tedbirlerin uygun olmadığını varsaymak için yeterli midir, 2016/679 (AB) Tüzüğün 24 ve 32. maddeleri bu şekilde mi yorumlanmalıdır? 

• İlk sorunun cevabı olumsuz ise, veri sorumlusu tarafından 2016/679 Sayılı (AB) Tüzüğün 32. maddesi gereğince uygulanan idari ve teknik tedbirlerin uygun olup olmadığı yönünde inceleme yaparken hukuka uygunluğa dair yargısal denetiminin amaç ve kapsamı ne olmalıdır? 

• İlk sorunun cevabı olumsuz ise, 74 no’lu resital ile birlikte okunduğunda, 2016/679 Sayılı (AB) Tüzüğün 5(2) ve 24. maddelerindeki hesap verilebilirlik ilkesi, 2016/679 Sayılı (AB) Tüzüğün 82(1). maddesinde belirtilen yasal süreçte, veri sorumlusunun aldığı idari ve teknik tedbirlerin Tüzüğün 32. maddesine uygun olduğunu ispatlamakla yükümlü olduğu şeklinde mi yorumlanmalıdır? Kişisel verilere yetkisiz erişim ya da kişisel verilerin yetkisiz ifşasının, eldeki davada olduğu gibi bir “hackleme saldırısı” neticesinde meydana gelmesi halinde, veri sorumlusu tarafından idari ve teknik tedbirlerin uygulanıp uygulanmadığını belirlemek amacıyla alınan bir uzman görüşü, gerekli ve yeterli bir ispat vasıtası olarak kabul edilebilir mi? 

• 2016/679 Sayılı (AB) Tüzüğün 4(12). maddesindeki anlamıyla kişisel veriye yetkisiz şekilde erişilmesi ya da bunların ifşa edilmesi  mevcut davada olduğu gibi veri sorumlusunun çalışanı ya da denetime tabi olmayan kişiler tarafından gerçekleştirilen bir hackleme saldırı neticesinde meydana gelirse Tüzüğün 82(3). maddesi, veri sorumlusunun bu olay nedeniyle herhangi bir şekilde sorumlu olmadığı ve sorumluluktan muaf olduğu şeklinde mi yorumlanmalıdır? 

• 85 ve 146 no’lu resitallerle birlikte okunduğunda, Tüzüğün 82(1) ve (2) maddeleri, bir “hackleme saldırısı” aracılığıyla kişisel verilere yetkisiz şekilde erişilmesi ve kişisel verinin yayılması şeklinde gerçekleşen bir kişisel veri ihlalini konu alan eldeki gibi bir davada, ilgili kişilerin bu kişisel verilerin gelecekte kötüye kullanılması ihtimaline dayalı olarak üzüntü, korku ya da endişe yaşaması tek başına, manevi zarar kavramına dahil midir? Yani burada manevi zarar kavramı geniş mi yorumlanmalıdır? Bu kötüye kullanım gerçekleşmese ve ilgili kişi başka bir zarara uğramasa dahi bir tazminata hak kazanır mı? 

3.BL v Saturn Electro (Dava C-687/21 [14]:

Bu davada ise, bir ev aletine ilişkin satış sözleşmesinin yanlışlıkla başka bir müşteriye verilmesinin ardından, hataen ifşa edilen satış sözleşmesinin otuz dakika içinde kurtarılmasına ve ilgili kişinin hatanın telafi edilmesi için kendisine teklif edilen ücretsiz teslimat önerisini reddetmesine karşılık, ilgili kişinin tazminat alma hakkına sahip olup olmadığını sormaktadır.

Bu davada ABAD’a yöneltilen sorular;

• Avrupa Genel Veri Koruma Tüzüğü’ndeki (Madde 82) tazminat standardı, manevi tazminat durumunda hükmedilecek hukuki sonuçlara ilişkin belirlilik olmaması nedeniyle manevi zarar hallerinde uygulanmamakta mıdır? 

• Tazminat hakkının amaçları dikkate alındığında, tazminat talebinde bulunabilmesi için, talepte bulunanın kişisel verilerinin yetkisiz olarak yetkisiz bir üçüncü kişiye ifşa edildiğinin yanında, bir manevi zararı ortaya çıktığını da ispat etmesi gerekli midir? 

• İşlemeyi gerçekleştiren kuruluşun çalışanlarının bir hatası sonucu, ilgili kişinin kişisel verileri (ad, adres, meslek, gelir, işveren) yanlışlıkla bir kağıt belgede basılı olarak üçüncü bir tarafa ifşa edilmesi Genel Veri Koruma Tüzüğü’nün ihlali için yeterli midir? 

• Otomatik veri işleme sistemine girmiş verinin kuruluşun çalışanları aracılığıyla kazaen yetkisiz bir üçüncü tarafa basılı şekilde ifşa edilmiş olması halinde, bu kazaen ifşa (Genel Veri Koruma Tüzüğü madde 2(1), 5(1)(f), 6(1) ve 24 kapsamında) üçüncü kişinin kişisel verileri hukuka aykırı olarak ikincil [further] işlemesi olarak nitelendirilir mi? 

• Kişisel verileri içeren belgeyi alan üçüncü taraf, bilgileri okumadan belgeyi geri vermiş olsa bile, Genel Veri Koruma Tüzüğü’nün 82. maddesi anlamında manevi zarar meydana gelir mi, yoksa her yetkisiz kişisel veri ifşasının, kişisel verilerin sayısız kişiye iletilmesi ve hatta kötüye kullanılması riskini ortaya çıkartması ve bu riskin ortadan kaldırılamayacak olması nedeniyle kişisel verileri hukuka aykırı şekilde ifşa edilen ilgili kişinin yaşadığı rahatsızlık Genel Veri Koruma Tüzüğü’nün 82. Maddesi anlamında manevi zararın ortaya çıkması için yeterli midir? 

• Örneğin, tahsilatları sözleşme belgelerinden ayrı olarak (özellikle finansman belgeleri) ayrı tahsilat makbuzları altında ele almak veya basılı belgeleri ve tahsilat makbuzunu müşteriye vermeden dahili olarak tahsilat gişesine göndermek gibi, Kuruluşun yardımcılarının daha iyi denetlenmesi ve/veya daha iyi veri güvenliği düzenlemeleri yoluyla kişisel verilerin kazara üçüncü kişilere ifşa edilmesinin önlenebilir olduğu durumlarda ihlalin (Genel Veri Koruma Tüzüğü’nün 32(1) ve (2), 4(b.7) çerçevesinde) ağırlığı ne kadar ciddi olarak değerlendirilmelidir? 

• Manevi zararın tazmini, sözleşme cezasına benzer bir ceza olarak mı kabul edilmelidir?

***

Görüşe ulaşmak için tıklayınız:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=266842&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=336478 (Erişim Tarihi: 03.05.2023)

Dipnotlar

[1]https://curia.europa.eu/juris/document/document.jsf?text=&docid=266842&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=796219 (E.T.16.04.2023)

[2] GDPR md. 82’nin ilgili bölümü şu şekildedir: “Bu Tüzük’ün ihlal edilmesi sonucunda maddi veya manevi zarara uğrayan herhangi bir kişi uğradığı zarar için veri sorumlusu veya veri işleyenden tazminat alma hakkına sahiptir(…)”

[3] Bu kavram Üye Devletlerin manevi zarar tazminatı uygunluk kriteri olarak, yalnızca belirli bir ciddiyet eşiğini aşan sonuçları dahil etmek suretiyle zarar gören taraf yönünden, bu kişiye tazminat verilmeyecek bir alt sınırın var olup olmadığı ile ilgilidir

[4] Resital 75 şu şekildedir: “Gerçek kişilerin hak ve özgürlüklerine yönelik risk, değişen olasılık ve şiddette, özellikle fiziksel, maddi veya manevi zarara yol açabilecek kişisel veri işleme faaliyetlerinden kaynaklanabilir: İşlemenin ayrımcılığa, kimlik hırsızlığına veya dolandırıcılığa, mali kayba, itibarın zedelenmesine, mesleki gizlilikle korunan kişisel verilerin gizliliğinin kaybına, kimliği gizli hale getirme işleminin (pseudonymisation) yetkisiz şekilde geri çevrilmesine/kimliğin ortaya çıkmasına veya diğer önemli ekonomik veya sosyal dezavantajlara yol açabileceği durumlar; ilgili kişileri- hak ve özgürlüklerinden mahrum bırakılabileceği veya kişisel verileri üzerinde kontrol sahibi olmalarının engellenebileceği durumlar; Irk veya etnik köken, siyasi görüş, din veya felsefi inanç, sendika üyeliği ve genetik verilerin işlenmesi, sağlıkla ilgili veriler veya cinsel yaşamla ilgili veriler veya cezai hükümler ve suçlar veya ilgili güvenlik önlemlerini ortaya koyan kişisel verilerin işlenmesi; kişisel profillerin oluşturulması veya kullanılması amacıyla, özellikle işteki performans, ekonomik durum, sağlık, kişisel tercihler veya ilgi alanları, güvenilirlik veya davranış, konum veya hareketlerle ilgili hususların analiz edilmesi veya tahmin edilmesi gibi kişisel hususların değerlendirildiği durumlarda; özellikle çocuklar olmak üzere savunmasız gerçek kişilerin kişisel verilerinin işlendiği durumlarda; veya işlemenin büyük miktarda kişisel veri içerdiği ve çok sayıda ilgili kişiyi etkilediği durumlarda.”

[5] Resital 85 şu şekildedir: “Bir kişisel veri ihlali, uygun bir şekilde ve zamanında ele alınmazsa, gerçek kişilerde kişisel verileri üzerindeki kontrolün kaybedilmesi veya haklarının sınırlandırılması, ayrımcılık, kimlik hırsızlığı veya dolandırıcılık, mali kayıp, kimliği gizli hale getirme işleminin (pseudonymisation) yetkisiz şekilde geri çevrilmesine/kimliğin ortaya çıkmasına, itibarın zedelenmesi, mesleki gizlilik ile korunan kişisel verilerin gizliliğinin kaybedilmesi veya ilgili gerçek kişi için diğer önemli ekonomik veya sosyal dezavantajlar gibi fiziksel, maddi veya manevi zararlara yol açabilir. Bu nedenle, veri sorumlusu bir kişisel veri ihlalinin gerçekleştiğinin farkına varır varmaz, hesap verebilirlik ilkesi uyarınca -kişisel veri ihlalinin gerçek kişilerin hak ve özgürlüklerine yönelik bir riske yol açma ihtimalinin düşük olduğunu gösterebildiği durumlar haricinde- kişisel veri ihlalini aşırı bir gecikme olmaksızın ve mümkün olduğu hallerde, söz konusu ihlalin farkına varmasından itibaren en geç 72 saat içerisinde denetim makamına bildirmelidir. Bu tür bir bildirimin 72 saat içerisinde gerçekleştirilemediği hallerde, gecikmenin nedenleri bildirime eşlik etmelidir ve bilgiler gereksiz yere daha fazla gecikme olmaksızın aşamalı olarak sağlanabilir.”

[6] Resital 146 ‘nın ilgili bölümü şu şekildedir: “Veri sorumlusu veya veri işleyen, bu Tüzük’ü ihlal eden veri işleme faaliyeti sonucunda bir kişinin uğrayabileceği her türlü zararı tazmin etmelidir (…)”

[7] Resital 146’nın ilgili bölümü şu şekildedir: “(…) Zarar kavramı [Avrupa Birliği] Adalet Divanı içtihadı ışığında bu Tüzük’ün amaçlarını tam olarak yansıtacak şekilde geniş yorumlanmalıdır (…)”

[8] GDPR . md77’nin ilgili bölümü şu şekildedir: “Diğer idari veya adli çözüm yollarına halel gelmeksizin, her ilgili kişi kendisiyle ilgili kişisel verilerin işlenmesinin bu Tüzük’ü ihlal ettiğini düşünmesi halinde, özellikle mutat meskeninin, işyerinin veya iddia edilen ihlalin gerçekleştiği yerin bulunduğu üye devletteki bir denetim makamına şikayette bulunma hakkına sahiptir (…)”

[9] GDPR md. 79’nun ilgili bölümü şu şekildedir: “Her ilgili kişi, 77. madde uyarınca bir denetim makamına şikayette bulunma hakkı da dahil olmak üzere, mevcut herhangi bir idari veya adli olmayan hukuk yoluna halel gelmeksizin, kişisel verilerinin bu Tüzük ile uyumlu olmayan bir şekilde işlenmesi sonucunda bu Tüzük kapsamındaki haklarının ihlal edildiğini düşündüğü hallerde etkili bir adli hukuk yoluna başvurma hakkına sahiptir (…)”.

[10] GDPR md. 80 şu şekildedir: “İlgili kişi, bir Üye Devletin hukukuna uygun şekilde oluşturulmuş, kamu yararına olan yasal hedefleri bulunan ve kişisel verilerinin korunmasına ilişkin olarak ilgili kişilerin hak ve özgürlüklerinin korunması alanında faaliyet gösteren kar amacı gütmeyen bir organ, kuruluş veya derneği kendi adına şikayette bulunmak, 77, 78 ve 79. maddelerde atıfta bulunulan hakları kendi adına kullanmak ve Üye Devlet hukuku tarafından öngörüldüğü hallerde 82. maddede atıfta bulunulan tazminat alma hakkını kendi adına kullanmak üzere yetkilendirme hakkına sahiptir.

Üye devletler, bu maddenin 1. paragrafında atıfta bulunulan herhangi bir organ, kuruluş veya birliğin, bir ilgili kişinin yetkisinden bağımsız olarak, söz konusu üye devlette 77. madde uyarınca yetkili olan denetim makamına şikayette bulunma ve bir ilgili kişinin bu Tüzük kapsamındaki haklarının işleme faaliyeti sonucunda ihlal edildiğini düşünmesi halinde 78 ve 79. maddelerde atıfta bulunulan hakları kullanma hakkına sahip olmasını sağlayabilir.”

[11] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CN0741 (Erişim Tarihi: 03.05.2023)

[12] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CN0340&qid=1681746181584 (Erişim Tarihi: 03.05.2023)

[13] Bu dosyada 27.04.2023 tarihinde hukuk sözcüsü görüşü yayınlanmış olup, görüşe erişmek için https://curia.europa.eu/juris/documents.jsf?num=C-340/21 (Erişim Tarihi: 03.05.2023)

[14] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CN0687&qid=1681746719686 (Erişim Tarihi: 03.05.2023)