İlgili Kişinin Kişisel Verilerine Erişim Talebinin Reddedilmesi Tazminat Sorumluluğu Doğurmaz!

Hazırlayan: İrem Nazlı Güven

Nürnberg Bölge İş Mahkemesi Kararı

(Landesarbeitsgericht Nürnberg 25/01/2023 Tarih ve 4 Sa 201/22 Sayılı Karar)

Olayın Arka Planı:

Davacı/ilgili kişi, davalı işveren/veri sorumlusu ile 210 Mart 2014’te akdettiği iş sözleşmesi ile davalı/veri sorumlusu bünyesinde çalışmakta olup Nisan 2020’de davalının talebi ile taraflar arasındaki iş ilişkisinin sona erdirilmesi amacıyla görüşmeler yapılmış ancak bu görüşmeler olumsuz sonuçlanmıştır. Devamında davacı/ilgili kişi, ilk olarak Haziran 2020’de veri sorumlusuna başvurmuş ve Avrupa Genel Veri Koruma Tüzüğü’nün (European General Data Protection Regulation) (“GVKT”) madde 15(1)[1] kapsamında bilgi edinme ve 15(3)[2] kapsamında işlenen kişisel verilerin bir kopyasının kendisine verilmesi talebinde bulunmuştur. Veri sorumlusu tarafından bu talep reddedilmiş ve ilgili kişiye bilgi verilmemiştir.

Buna karşılık davacı da Temmuz 2020’de iş akdini feshetmiş, Kasım 2020’de veri sorumlusuna karşı açtığı dava ile taleplerini yeniden ileri sürmüştür. Davacı, ayrıca veri sorumlusu tarafından eksiksiz bilgi verme yükümlülüğüne aykırı davranıldığı zira talep edilen kişisel verilerin kopyasının kendisine verilmediği ve bundan dolayı acı ve ıstırap duyduğu iddiasıyla GVKT madde 82 uyarınca en az 5.000,00 € tutarında manevi tazminatın kendisine ödenmesine karar verilmesini talep etmiştir.

Davalı ise, davacıya ait kişisel verilerin GVKT madde 6(1)-b[3] kapsamında işlendiğini ve saklandığını, davacının, ileri sürdüğü kişisel verilerinin bir kopyasının kendisine verilmemiş olması nedeniyle manevi bir zarar ortaya çıktığı iddiasının gerçeği yansıtmadığını, ilgili kişinin zararı yoksa tazminat da talep edemeyeceğini nitekim GVKT kapsamında ileri sürülen taleplerin başvuru sahibini zenginleştirmek amacı taşımadığını ileri sürmüştür.

Yargılamanın devamında veri sorumlusu tarafından ilk kez Ocak 2021 tarihinde işlenen kişisel veriler hakkında bilgi verilmişse de bu bilgilendirmenin tam ve eksiksiz yapılıp yapılmadığı hususu taraflar arasında ihtilaflı kalmıştır.

Davanın görüldüğü ilk derce mahkemesi olan Bamberg İş Mahkemesi 11 Mayıs 2022 tarih ve 2 Ca 942/20 no’lu kararı ile GVKT’nün amacına ulaşmasına yardımcı olmak adına ihlallerin etkili yaptırıma tabi tutulması ve tazminatların caydırıcı etkiye sahip olması gerektiğini belirten ilkeler kapsamında davacıya 4.000,00 € ve faiz ödenmesine hükmedilmiştir.

İlgili karar, davalı tarafından temyiz edilmiştir.

Davalının Temyiz Gerekçeleri:

Davalı veri sorumlusu temyiz başvurusunda, davacının kötü niyetli davrandığını, davacının asıl amacının kişisel verilerin kullanımına ve işlenmesine ilişkin bilgilere erişmek olmayıp haksız şekilde zenginleşmek olduğunu, davacının başlatılan fesih müzakerelerindeki hoşnutsuzluğunu tazminat talebiyle gidermeye çalıştığını, buna karşılık zararını ispat edemediğini, bu kapsamda mahkeme tarafından hükmedilen tazminat miktarının uygunsuz olduğunu iddia ederek Bamberg İş Mahkemesi’nin 11 Mayıs 2022 tarih ve 2 Ca 942/20 no’lu kararının bozulmasını ve davanın reddine karar verilmesini talep etmiştir.

Üst Derece Mahkemesinin Değerlendirmesi:

Dava, davalının itirazlarını incelemesi için Nürnberg Bölge İş Mahkemesi önüne gelmiş ve Mahkeme, davalı veri sorumlusunun itirazlarını haklı bulmuştur.

Mahkeme kararında, davacının GVKT madde 82(1)[4] ve 82(2)[5] uyarınca manevi tazminat talep etme hakkının bulunmadığına hükmetmiştir. Şöyle ki Mahkeme, GVKT madde 82(1) uyarınca maddi veya manevi zarara uğrayan herhangi bir kişinin veri sorumlusu veya veri işleyene karşı tazminat talebinde bulunma hakkına sahip olduğuna değinilerek kararında, GVKT madde 82(1)’in geniş ve dar yorumlandığı iki ayrı değerlendirmeye yer vermiştir:

• İlk değerlendirmeye göre; GVKT madde 82(1), lafzı ve amacı göz önünde bulundurularak geniş yorumlanmalı, GVKT’nün herhangi bir şekilde ihlal edilmesi yani hukuka aykırı veri işlemenin ötesindeki durumlar da sorumluluk kapsamında yer alan bir ihlal olarak kabul edilmelidir.
• İkinci değerlendirmeye göre ise; GVKT madde 82(1) dar yorumlanmalıdır. Bu değerlendirmede, “Veri sorumlusu veya veri işleyen, bu Tüzük’ü ihlal eden veri işleme faaliyeti sonucunda bir kişinin uğrayabileceği her türlü zararı tazmin etmelidir (…)” düzenlemesinin yer verildiği, GVKT’nün 146 no’lu resitaline[6] dayanılmaktadır. Bu kapsamda veri sorumlusunun ilgili kişiye işlenen kişisel veriler ile ilgili bilgi verme yükümlülüğüne aykırı davranması, GVKT madde 4(2)’de[7] yer alan tanımdan da anlaşılacağı üzere, veri işleme ile ilgili değildir, dolayısıyla veri sorumlusunun bilgi verme yükümlülüğünü düzenleyen GVKT madde 15’e aykırı davranması otomatik olarak veri sorumlusunun bir zarar yönünden sorumluluğunu doğurmaz.

Mahkemenin görüşü, dar yorumda yer verilen değerlendirmenin kabul edilmesi gerektiği. Mahkeme bu görüşünde bir Birlik hükmü yorumlanırken bu hükmün sadece lafzının değil aynı zamanda bağlamı ve parçasını oluşturduğu GVKT tarafından izlenen hedeflere dikkat çekmiştir. Kurul’a göre Birlik hukukunun bir hükmüne ilişkin yasama geçmişi de yorumlama yönünden emareler sağlayabilir.

Tüm bu değerlendirmeler dikkate alındığında; özellikle Tüzük maddesinin yorumlanmasında, uygun ve önemli rehber olarak görülen GVKT’nün 146 no’lu resitalinde belirtilen ilgili kişinin tazminat talebinin, GVKT madde 4(2) uyarınca hukuka aykırı veri işleme ihlalleriyle sınırlı olduğu ve GVKT madde 15(1) uyarınca ilgili kişiye gecikmeli ve yanlış bilgi verilmesinin hatta tamamen ihmal edilerek hiç bilgi verilmemesinin, sorumluluğu ortaya çıkartmadığı belirtilmiştir.

Mahkeme, bu yorumun sadece GVKT’ne aykırı olarak “veri işleme”’den bahseden 146 no’lu resitalin lafzıyla değil, GVKT madde 82’nin yasama geçmişiyle de desteklendiğini bildirmiştir. Bu kapsamda Mahkeme, komisyon taslağının[8] 77. maddesinde yer alan, tazminat yükümlülüğüne ilişkin olarak “Hukuka aykırı bir işleme faaliyeti veya bu Tüzük ile bağdaşmayan başka herhangi bir eylem sonucunda zarara uğrayan herhangi bir kişi, uğradığı zarar için veri sorumlusu veya veri işleyenden tazminat alma hakkına sahiptir.” şeklindeki orijinal ifadesine atıfta bulunmuş, bu ifade ile tazminat yükümlülüğünün, Tüzük’e uygun olmayan bir işleme faaliyeti sonucunda ilgili kişinin uğradığı zararlar ile ilgili olduğunu, bununla birlikte taslak 118 no’lu resital[9] ve daha sonraki 146 no’lu resital ifadelerinin en başından beri hukuka aykırı veri işleme veya Tüzük’ü ihlal eden veri işleme faaliyetleri ile sınırlı olduğunu eklemiştir.

Tüm bunlar ışığında GVKT madde 15 kapsamında bilgi verme yükümlülüğünü ihlal edilmesi halinde veri sorumlusuna yalnızca GVKT madde 83(5)-b[10] uyarınca yaptırımlar uygulanabilecektir.

Karar:

Nürnberg Bölge İş Mahkemesi, 25/01/2023 tarih ve “4 Sa 201/22” sayılı kararı ile veri sorumlusu tarafından yapılan temyiz başvurusunu kabul etmiş, veri sorumlusunun bilgi verme yükümlülüğüne ilişkin GVKT madde 15’i ihlal etmiş olmasının, doğacak zararlar bakımından otomatik olarak sorumlu olmasını gerektirmediğine karar vermiştir.

Karara göre GVKT madde 82(1) kapsamındaki herhangi bir tazminat talebi, GVKT madde 4(2) kapsamında tanımlanan bir veri işlemenin varlığı halinde söz konusu olabilir bu kapsamda veri sorumlusu tarafından GVKT madde 15’in ihlal edilerek, ilgili kişiye yanlış veya gecikmeli bilgi verildiği durumlar, GVKT madde 82(1) kapsamında değildir ve bu nedenle de ilgili kişiye, manevi zararları yönünden tazminat talep etme hakkı vermez.

***

Karar metni için bkz.

https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2023-N-5047

[1] GVKT md. 15(1) şu şekildedir:” İlgili kişi, veri sorumlusundan kendisiyle ilgili kişisel verilerin işlenip işlenmediğine ilişkin teyit alma ve böyle bir durumda kişisel verilere ve aşağıdaki bilgilere erişim hakkına sahiptir:

(a) işleme amaçları;

(b) ilgili kişisel veri kategorileri;

(c) özellikle üçüncü ülkelerdeki veya uluslararası kuruluşlardaki alıcılar olmak üzere, kişisel verilerin ifşa edildiği veya edileceği alıcılar veya alıcı kategorileri;

(d) mümkün olması halinde, kişisel verilerin saklanacağı öngörülen süre veya mümkün olmaması halinde, bu sürenin belirlenmesinde kullanılan kriterler;

(e) veri sorumlusundan kişisel verilerin düzeltilmesini veya silinmesini ya da ilgili kişi ile ilgili kişisel verilerin işlenmesinin kısıtlanmasını talep etme veya söz konusu işlemeye itiraz etme hakkının varlığı;

(f) bir denetim makamına şikayette bulunma hakkı;

(g) kişisel verilerin ilgili kişiden toplanmadığı durumlarda, bunların kaynağına ilişkin mevcut her türlü bilgi

(h) 22(1) ve (4) maddelerinde atıfta bulunulan profil oluşturma da dahil olmak üzere otomatik karar alma süreçlerinin varlığı ve en azından bu durumlarda, ilgili mantık hakkında anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin ilgili kişi açısından önemi ve öngörülen sonuçları.”

[2] GVKT md. 15(3) şu şekildedir:” Veri sorumlusu işlenmekte olan kişisel verilerin bir kopyasını sağlar. İlgili kişi tarafından talep edilen diğer kopyalar için veri sorumlusu idari masraflara dayalı olarak makul bir ücret talep edebilir. İlgili kişi talebi elektronik yollarla yapması halinde ve ilgili kişi tarafından aksi talep edilmedikçe, bilgiler yaygın olarak kullanılan bir elektronik formda sağlanır.”

[3] GVKT md. 6(1)-b’nin ilgili kısmı şu şekildedir:”İlgili kişinin tarafı olduğu bir sözleşmenin ifası için ya da bir sözleşmeye taraf olmadan önce ilgili kişinin talebi üzerine adımlar atılması amacıyla işlemenin gerekli olması”

[4] GVKT md. 82(1) şu şekildedir: “Bu Tüzük’ün ihlal edilmesi sonucunda maddi veya manevi zarara uğrayan herhangi bir kişi uğradığı zarar için veri sorumlusu veya veri işleyenden tazminat alma hakkına sahiptir (…)”

[5] GVKT md. 82(2) şu şekildedir: “İşleme faaliyetine dahil olan her veri sorumlusu, bu Tüzük’ü ihlal eden işleme faaliyetinin neden olduğu zarardan sorumludur. Veri işleyen, yalnızca bu Tüzük’ün özellikle işleyicilere yönelik yükümlülüklerine uymadığı veya veri sorumlusunun yasal talimatlarının dışında veya aksine hareket ettiği hallerde işleme faaliyetinden kaynaklanan zarardan sorumludur(…)”

[6] Resital 146 ‘nın ilgili bölümü şu şekildedir: “Veri sorumlusu veya veri işleyen, bu Tüzük’ü ihlal eden veri işleme faaliyeti sonucunda bir kişinin uğrayabileceği her türlü zararı tazmin etmelidir (…)”

[7] GVKT md. 4(2) şu şekildedir: “İşleme; toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha etme gibi otomatik yollarla olsun veya olmasın kişisel veriler veya kişisel veri kümeleri üzerinde gerçekleştirilen herhangi bir işlem veya işlemler dizisi anlamına gelir (…)”

[8] Avrupa Komisyonu 25.12.20212 Tarih, 2012/0011 Sayılı “kişisel verilerin işlenmesine ilişkin olarak bireylerin korunması ve bu tür verilerin serbest dolaşımı (Genel Veri Koruma Tüzüğü)” Avrupa Parlamentosu ve Konsey Tüzüğü Teklifi madde 77’nin ilgili kısmı şu şekildedir: “Hukuka aykırı bir işleme faaliyeti veya bu Tüzük ile bağdaşmayan başka herhangi bir eylem sonucunda zarara uğrayan herhangi bir kişi, uğradığı zarar için veri sorumlusu veya veri işleyenden tazminat alma hakkına sahip olacaktır(…)”https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:en:PDF (Erişim Tarihi: 08.06.2023)

[9] Avrupa Komisyonu 25.12.20212 Tarih, 2012/0011 Sayılı “kişisel verilerin işlenmesine ilişkin olarak bireylerin korunması ve bu tür verilerin serbest dolaşımı (Genel Veri Koruma Tüzüğü)” Avrupa Parlamentosu ve Konsey Tüzüğü Teklifi resital 118’nin ilgili kısmı şu şekildedir: “Hukuka aykırı işleme sonucunda bir kişinin uğrayabileceği herhangi bir zarar aşağıdaki durumlarda sorumluluktan muaf tutulabilecek olan veri sorumlusu veya veri işleyen tarafından tazmin edilir(…)”https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:en:PDF  (Erişim Tarihi: 08.06.2023)

[10] GVKT md. 83(5)-b şu şekildedir: “Aşağıdaki hükümlerin ihlali halinde, 2. paragraf uyarınca, 20.000.000 Euro’ya kadar veya bir teşebbüs söz konusu olduğunda, bir önceki mali yılın dünya çapındaki toplam yıllık cirosunun %4’üne kadar (hangisi daha yüksekse) idari para cezası uygulanır: (b)- GVKT md. 12 (ilgili kişinin haklarını kullanması için şeffaf bilgilendirme, bildirim ve yöntemler) ila md. 22 (profil oluşturma da dahil olmak üzere otomatik bireysel karar verme) uyarınca veri sahiplerinin hakları (…)”