AVRUPA BİRLİĞİ ADALET DİVANI 67/23 SAYILI BASIN DUYURUSU

Hazırlayan: Ömer Kaan TİLLEM

Gözden Geçiren: Benay ÇAYLAK

Lüksemburg, 27 Nisan 2023

C-340/21 sayılı davada Başsavcı’nın görüşü | Natsionalna agentsia za prihodite

“Üçüncü kişilerin kişisel verilere hukuka aykırı olarak erişmesi halinde, veri sorumlusunun kusuru bulunduğu varsayılır ve sorumluluğuna yol açar ve bu durum tazminat ödenmesini gerektirebilecek manevi zararlara neden olabilir.”

Veri sorumlusu, sorumluluktan muaf olabilmek için, zarara yol açan olaydan hiçbir şekilde sorumlu olmadığını ispat etmelidir. Verilerin ileride kötüye kullanılması olasılığından duyulan korku, tazminat hakkını doğuran manevi bir zarar teşkil edebilir ancak bunun mümkün olabilmesi için sadece sorun veya rahatsızlık duyulması yeterli değildir, gerçek ve belirli bir duygusal zarar söz konusu olmalıdır.

15 Temmuz 2019 tarihinde, Bulgar medyası, Bulgaristan Ulusal Gelir İdaresi’nin (“NAP”) bilgi sistemine izinsiz şekilde erişim sağlandığı ve milyonlarca kişinin vergi ve sosyal güvenlik bilgilerinden bir kısmının internette yayınlandığına dair haberler yayınladı. V.B.’nin de aralarında bulunduğu birçok kişi, kişisel verilerinin ileride kötüye kullanılacağına dair duydukları endişe ve korku şeklindeki manevi zararlarının tazmin edilmesi için NAP aleyhine dava açtı. V.B.’ye göre, NAP ulusal kuralların yanı sıra veri sorumlusu olarak kişisel verileri, [kişisel verilerin korunması için] uygun güvenliği sağlayacak şekilde işleme yükümlülüğünü ihlal etti. İlk derece mahkemesi, kişisel verilerin [bu şekilde] yayılmış olmasının İdare’ye atfedilemeyeceği, uygulanan tedbirlerin uygunluğuna dair ispat yükünün V.B.’ye ait olduğu ve manevi zararların tazminata uygun olmadığı görüşünü benimseyerek davayı reddetti. Temyiz aşamasında dosyayı görüşen Yüksek İdare Mahkemesi, kişisel verileri, bir kamu kuruluşu tarafından tutulan ve bir hack saldırısı sonrasında internet üzerinde yayınlanan bir kişinin manevi zararlarının tazminine hükmedilmesi için gereken koşulların belirlenmesi açısından Genel Veri Koruma Tüzüğü^[1]’nün yorumlanması konusunda ön duruşma için Avrupa Adalet Divanın’na bir dizi soru yöneltti.

Bugün verilen Görüş’te, Başsavcı Giovanni Pitruzzella, veri sorumlusunun, kişisel verilerin Tüzük’e uygun olarak işlenmesini sağlamak için uygun idari ve teknik tedbirleri alma yükümlülüğü bulunduğunu belirtmiştir. [Başsavcı’nın görüşüne göre] Bu tedbirlerin ‘uygun’ olup olmadığı; işlemenin niteliği, kapsamı, bağlamı ve amaçları ile gerçek kişilerin bu işleme nedeniyle hak ve özgürlüklerine yönünden maruz kalabilecekleri risklerin olasılığı ve ciddiyeti dikkate alınarak, her somut olay özelinde ayrıca değerlendirme yapılmak suretiyle belirlenmelidir.

Başsavcı, ilk olarak salt bir ‘kişisel veri ihlali’ meydana gelmiş olmasının, veri sorumlusu tarafından uygulanan idari ve teknik tedbirlerin, veri korumasını sağlamak için “uygun” olmadığı sonucuna varmak için tek başına yeterli olmadığını belirtmiştir. Veri sorumlusu bu tedbirleri seçerken bir dizi faktörü dikkate almalıdır ki bunlar arasında uygulanacak tedbirlerin teknolojik seviyesini, uygulama zamanındaki makul derecede mümkün olanla sınırlayan ‘teknolojinin mevcut durumu’ ve ayrıca uygulama maliyetleri yer almaktadır. Veri sorumlusunun kararı, muhtemel bir yargısal uygunluk denetimine tabidir. Bu tedbirlerin uygunluğunun değerlendirilmesi, genel orantılılık ilkesine uygun olarak, ilgili kişinin menfaatleri ile veri sorumlusunun ekonomik menfaatleri ve teknolojik kapasitesi arasında kurulacak bir dengeye dayanmalıdır.

İkinci olarak, Başsavcı, tedbirlerin uygunluğunu teyit ederken, ulusal mahkemenin, bu tedbirlerin içeriğinin, uygulanma şeklinin ve pratik etkilerinin özel olarak analiz edilmesine varacak derecede bir inceleme yapması gerektiğini belirtmektedir. Bu nedenle, yargısal denetimde, Tüzük’te belirtilen tüm faktörleri dikkate alınmalıdır. Bunların arasında, davranış kurallarının veya sertifikasyon sistemlerinin benimsenmesi, ispat yükümlülüğünün yerine getirilmesi açısından yerinde bir değerlendirme kriteri teşkil edebilir. Sertifikasyon başlı başına bir veri işlemenin Tüzük ile uyumlu bir şekilde yürütüldüğüne delil teşkil ederken, veri sorumlusunun davranış kurallarında düzenlenen tedbirleri gerçekten uyguladığını ispatlama yükü bulunduğu belirtilmelidir. Bu tedbirlerin gerektiğinde gözden geçirilmesi ve güncellenmesi gerektiğinden, mahkeme bunların gerçekleştirilmiş olup olmadığını da değerlendirmelidir.

Üçüncü olarak, Başsavcı, tedbirlerin uygun olduğunu ispat yükünün veri sorumlusunda olduğunu belirtmektedir. Usul özerkliği ilkesi uyarınca, her Üye Devlet’in ulusal hukuk düzeni, kabul edilebilir ispat yöntemlerini ve bunların ispat değerini, soruşturma tedbirlerini de içerecek şekilde belirlemelidir.

Dördüncü olarak, söz konusu düzenlemeye aykırılığı meydana getirenin üçüncü bir kişi olması, veri sorumlusunun muaf tutulması için tek başına bir dayanak teşkil etmez. Sorumluluktan muaf olmak için, veri sorumlusu, zarara neden olan olaydan hiçbir şekilde sorumlu olmadığını yüksek bir ispat standardı ile ortaya koymalıdır. Kişisel verilerin hukuka aykırı olarak işlenmesi, esasında, varsayılan kusur nedeniyle ağırlaştırılmış sorumluluk niteliğindedir, bu nedenle veri sorumlusu kusuru bulunmadığını gösteren delilleri sunmalıdır.

Son olarak, Başsavcı’ya göre, bir kişinin kişisel verilerinin ileride kötüye kullanılması olasılığına dair duyulan korkudan kaynaklanabilecek zarar -ki varlığı ilgili kişi tarafından varlığı kanıtlanmalıdır- tazminat hakkını doğuran manevi zarar teşkil edebilir. Ancak bunun mümkün olabilmesi için sadece sorun veya rahatsızlık duyulması yeterli değildir, gerçek ve belirli bir duygusal zarar söz konusu olmalıdır.

^[1] 95/46/EC sayılı Direktifi yürürlükten kaldıran, kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak gerçek kişilerin korunmasına ilişkin 27 Nisan 2016 tarihli, (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Resmi Gazete Mevzuat Bölümü 119, s. 1).

***

Kaynak: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-04/cp230067en.pdf