Avrupa Birliği Adalet Divanı: Tek Başına GDPR’ın ihlal edilmiş olması tazminat hakkını doğurmaz

Çeviren: Kübra İSLAMOĞLU BAYER

AVRUPA BİRLİĞİ ADALET DİVANI

72/23 SAYILI BASIN DUYURUSU

Lüksemburg, 04 Mayıs 2023

C 300/21 sayılı davada Mahkeme Kararı | Österreichische Post (Kişisel Verilerin Hukuka Aykırı İşlenmesinden Doğan Manevi Zarar)

Tek Başına GDPR’ın ihlal edilmiş olması tazminat hakkını doğurmaz

Ancak tazminat hakkına başvurulması için manevi zararın belli bir ciddiyet eşiğini aşmasına da gerek bulunmamaktadır.

2017 yılından bu yana Österreichische Post, Avusturya’da yaşayan kişilerin siyasi eğilimleri hakkında bilgi toplamış ve kullandığı bir algoritma vasıtasıyla, [belirlediği] sosyodemografik kriterlere göre “hedef grup adresleri” belirlemiştir. Toplanan veriler, Österreichische Post’un (belirli) bir vatandaşın, hangi (Avusturya) siyasi partiye [görüşüne] (yüksek derecede) sempati duyduğunu tespit edebilmesine yaramıştır. Ne var ki toplanan bu veriler üçüncü kişilere iletilmemiştir.

İncelenen dosyadaki vatandaş -ki kişisel verilerinin işlenmesine açık rıza vermemiştir- kendisi ile söz konusu parti arasında böyle bir yakınlık tespit edilmiş olması nedeniyle büyük üzüntü duyduğunu, [bunun kendisinde] özgüven eksikliği yarattığını, kendisini teşhir edilmiş hissettiğini iddia ederek bu nedenle uğradığı manevi zararının giderilmesi amacıyla kendisine toplamda 1.000 Euro tazminat ödenmesi için Avusturya Mahkemelerinden talepte bulunmuştur.

Avusturya (Yargıtay) Yüksek Mahkemesi, Genel Veri Koruma Tüzüğü’nün ihlal edilmesinden doğan maddi ve manevi zararların tazminine ilişkin olarak GDPR’daki tazminatın kapsamı konusundaki şüphelerini dile getirmiştir. Bu bağlamda da tek başına GDPR’ın ihlal edilmiş olmasının tazminat hakkı sağlamak için yeterli olup olmadığına ve tazminatın yalnızca belirli bir ciddiyet düzeyini aşan zararlar için söz konusu olup olmadığına dair sorularını Adalet Divanı’na yöneltmiştir. Ayrıca, [bu sorulara ek olarak] zarar miktarının belirlemesinde Avrupa Birliği hukukunda aranan koşulların neler olduğunu da sormuştur.

Mahkeme bugün verdiği karar ile şu hususları ifade etmiştir: Öncelikle GDPR’da yer alan tazminat hakkının kümülatif üç koşula tabi olduğu açıktır: GDPR’ın ihlal edilmesi, bu ihlalden dolayı maddi ya da manevi bir zararın ortaya çıkması ve zarar ile ihlal arasında bir nedensellik bağının bulunması. Dolayısıyla, GDPR’ın her bir ihlali, kendiliğinden bir tazminat hakkını ortaya çıkartmaz. Aksine bir yorum, GDPR’ın açık lafzına aykırı olacaktır. Buna ek olarak, GDPR’ın özellikle tazminat hakkıyla ilgili resitallerine göre, [her] GDPR ihlali illaki bir zararla sonuçlanmak zorunlu değildir ve tazminat hakkının ortaya çıkabilmesi için ilgili ihlal ile uğranılan zarar arasında bir nedensellik bağı bulunmalıdır.

İkinci olarak, Mahkeme tazminat hakkının, manevi zararın belli bir ciddiyet eşiğine ulaşması ile sınırlı olmadığına karar vermiştir. GDPRda böyle bir gereklilik yer almamaktadır ve böyle bir kısıtlama AB mevzuatı tarafından kabul edilmiş olan ‘zararın’ geniş yorumlanması konseptine de aykırı olacaktır. Gerçekten de ilgili tazminatı alma olasılığı ya da tam tersinin [tazminatı almama] tabi olacağı bir eğişin derecelendirmesi, başvuruların mahkemelerin değerlendirmesine göre değişme (dalgalanma) eğiliminde olacaktır.

Üçüncü ve son olarak, Mahkeme, GDPR’ın zararın değerlendirilmesinde uygulanacak herhangi bir kuralı içermediğini belirtmektedir. Bu nedenle de bireylerin GDPR’dan doğan haklarının korunmasını amaçlayan eylemlerin ayrıntılı kurallarını ve özellikle bu bağlamda ödenebilecek tazminatın kapsamını belirlemek için kriterleri ortaya koymak, eşitlik ve etkililik ilkelerine uyulması kaydıyla, her bir Üye Devletin hukuk sisteminin görevidir. Bu bağlamda, Mahkeme GDPR’ın sağladığı tazminat hakkının telafi edici işlevine dikkat çekmekte ve bu aracın, yaşanan zararın tam ve etkili bir şekilde tazmin edilmesini sağlamayı amaçladığını hatırlatmaktadır.

Basın için resmi olmayan bir belgedir ve Adalet Divanı tarafından bağlayıcı değildir.

Kararın tam metni, tebliğ gününde CURIA web sitesinde yayınlanmaktadır. (…)

***

Kaynak: /https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-05/cp230072en.pdf