E-Bülten No 04/23

     Kişisel Verilerin Gizliliğinin İhlal Edilmesi Hallerinde Tazminat Hakkının Söz konusu Olabilmesi İçin İhlal ile Veri Sahibinin Uğradığı Zarar Arasında Sebep-Sonuç İlişkisi Olmalıdır 

     Österreichische Post olarak bilinen C-300/21 sayılı kararında ABAD, GDPR hükümlerinin her ihlal edildiği durumda ilgili veri sahibi kişilerin tazminat hakkı talebinde bulunamayacağına hükmetmiştir. Divan’agöre tazminat hakkının doğması için veri ihlali ile veri sahibinin maruz kaldığı gerçek bir zarar arasında illiyet bağı bulunmalıdır. 

     Avusturya’da faaliyet gösteren Österreichische Post isimli şirket Avusturya vatandaşlarının siyasi eğilimlerine ilişkin verileri toplayarak belirli sosyal ve demografik kriterleri kullanmak suretiyle işleyerek belirli hedef gruplara mensup olunan kişilerin adres bilgilerini tanımlamıştır. Bu şekilde işlenerek oluşturulan veriler hedefli reklamcılık faaliyetlerinde kulanılmak üzere diğer kurumlara satılmıştır. 

     Österreichische Post, topladığı verileri istatiksel çıkarım yönteminden yararlanarak ilgili kişilerin hangi siyasi partiye yatkınlık göstereceklerinin belirlenmesini sağlayacak şekilde işlemiştir. Bu veriler üçüncü taraflarla paylaşılmamış olsa da başvuru sahibi UI siyasi görüşüne ilişkin verilerin işlenmesinden ötürü duygusal olarak zarar gördüğünü iddia ederek manevi tazminat talebinde bulunmuştur. 

     Yerel mahkeme ise veri sahiplerine ödenecek tazminat konusunda açık bir hüküm bulunmaması nedeniyle Avusturya hukukunu uygulayarak manevi tazminata hükmedilebilmesi için ihlalin belirli bir ciddiyet düzeyini aşması gerektiğine hükmetmiştir. Avusturya Anayasa Mahkemesi ise GDPR’ın 82. maddesi ve 146. gerekçe hükmüne atıf yaparak metinde geçen tazminat kavramının otonom bir şekilde yorumlanması gerektiğini ilgili tarafın sorumluluğunun belirlenmesi için ulusal hukukun değil AB hukukunun hüküm ve şartlarının uygulanması gerektiğine işaret ederek ABAD’dan GDPR hükümlerinin açıklanması için ön karar mekanizmasına başvurmuştur. 

     ABAD’a göre GDPR’ın veri sahiplerinin tazminat hakkı ve veri sorumlusu ve işleyenin sorumluluğunu düzenleyen 82. Madde hükmüne göre tazminat hakkının söz konusu olabilmesi için üç şartın yerine getirilmesi gerekmektedir: 

• veri işleme faaliyetinin GDPR hükümlerini ihlal etmesi, 
• işleme faaliyeti nedeniyle veri sahibinin zarara uğraması ve
• kanuna aykırı veri işleme ile yaşanan zarar arasında sebep-sonuç ilişkisinin bulunması. 

     GDPR’ın 75, 78 ve 146 sayılı gerekçe hükümleri incelendiğinde yukarıda zikreidlen yorumun desteklendiği görülmektedir. Spesifik olarak tazminat hakkını ele alan 146 sayılı gerekçe hükmünde GDPR’ın hükümlerini ihlal eden veri işleme faaliyetleri nedeniyle kişilerin upradığı zararlardan dolayı tazmin edilmesi gerektiği ön görülmektedir. Kişisel verilere yetkisiz kişilerce erişilmesi ve kaybolması gibi durumları ele alan 75. Gerekçeye göre ise veri işleme faaliyetlerinin kişilere zarar verme riski ve veri ihlali nedeniyle kişilerin zarara uğraması nedeniyle veri sorumlusu ve veri işleyenin sorumlu olacağı belirtilmektedir. 

     İdari para cezaları kesilmesine ilişkin genel koşullar ve veri koruma kurullarınca verilecek cezalara ilişkin 83. Ve 84. Madde hükümleri ise esasında cezai hükümler olup ilgili bireylerin zarara uğraması koşuluna bağlı değildir. Bahse konu maddeler ile tazminat hakkını düzenleyen 82. Madde hükmü arasındaki kategorik farklılıklar ABAD’a göre GDPR hükümlerine uyum sağlanması amacıyla birbirini tamamlayıcı hükümlerdir. Yalnızca idari para cezası ile yetinilmeyerek veri sahiplerine de belirli durumlarda tazminat hakkı sağlanması hukuka aykırı eylemlerin tekrarlanmasının önüne geçilmesini amaçlamaktadır. 

     146. gerekçe hükmüne göre ise 82. Maddede zikredilen zarar terimi ABAD’ın içtihat hukuku ışığında geniş  bir şekilde yorumlanmalı ve GDPR’ın gerçekleştirmek istediği hedefleri tam anlamıyla yansıtmalıdır. 

     Her ne kadar 82. Maddede uğranılacak maddi ve manevi zararların tazmin edilmesi ön görülse de uygulama için açık bir hükme yer verilmemektedir. ABAD’a göre uğranılan manevi zararların tazmini için belirli bir eşiğin üzerine çıkmasının şart koşulması halinde bahse konu eşiğin derecelendirilmesi başvurulan yerel mahkemeye göre değişebileceği için GDPR’ın ön gördüğü hükümlerin yeknesak bir şekilde uygulanmaması riski söz konusu olacaktır. Bu nedenle tazminat miktarının belirlenmesi için üye devletlerin maddi tazminat hükümleri tatbik edinilirken AB hukukunun eş değerliği ve etkinliği ilkelerine riayet edilmelidir. Eşdeğerlik ilkesine göre AB hukukundan kaynaklanan haklar etkin bir şekilde uygulanabilmesi için kabul edilen ulusal hukuk yollarının ulusal hukukta benzer durumlar için söz konusu olan ulusal hükümlerden daha az elverişli olmaması ve eş değer bir korumaya mazhar olması gerekir.