Top

Almanya: GDPR ihlalleri için maddi olmayan zararlara ilişkin yeni içtihat

Almanya: GDPR ihlalleri için maddi olmayan zararlara ilişkin yeni içtihat

AB Genel Veri Koruma Yönetmeliği (GDPR) ihlalleri söz konusu olduğunda, akla gelen ilk şey veri koruma yetkilileri tarafından uygulanan işlemler ve para cezalarıdır. GDPR ihlallerinin, GDPR’ın 82. madde kapsamındaki tazminat taleplerini de tetikleyebileceği genellikle ihmal edilmektedir. Esasında, (iddia edilen) GDPR ihlalleri nedeniyle şirketlere karşı tazminat davası açmak veri sahipleri arasında giderek daha popüler hale gelmektedir. Özellikle veri ihlalinden daha fazla sayıda veri sahibinin etkilendiği durumlarda, tazminat talepleri de şirketler için önemli bir finansal risk oluşturabilir. Dolayısıyla, Alman mahkemeleri GDPR ile ilgili tazminat talepleri konusunda her zamankinden daha sık karar vermek zorunda kalmaktadır.  Alman mahkemelerinin en son içtihatlarının bir özetini ve tipik olarak yüksek bir özel icra riskiyle ilişkilendirilen alanları sunuyoruz.

Tazminat talepleri için şartlar nelerdir?


Madde 82 (1) GDPR, GDPR’nin ihlali sonucunda maddi veya maddi olmayan zarara uğrayan veri sahiplerine, veri sorumlusu veya veri işleyen olarak hareket eden şirketten tazminat talep etme hakkı sağlar. Bir hak talebinde bulunan veri sahibinin GDPR’ın ihlal edildiğni göstermesi ve kanıtlaması gerekirken, örneğin, geçerli bir ön izin olmadan e-posta pazarlaması alındığında, şirketin GDPR ihlali nedeniyle yasalara göre hatalı olduğu varsayılır. Bu nedenle, bir anlaşmazlık durumunda, şirketler ihmalen veya kasıtlı olarak ilgili GDPR ihlaline neden olmadıklarını kanıtlamalıdır (Madde 82 (3) GDPR). Aslına bakılırsa, bu ispat yükü çoğu zaman iddiaların savunulmasında büyük bir engel oluşturmaktadır.

GDPR 146 resitale göre, zarar kavramı geniş bir şekilde yorumlanmalıdır. Ayrıca, maddi ve maddi olmayan zararlar arasında bir ayrım yapılmaktadır:

  • Maddi zararlar, özellikle mali kayıplar meydana gelebilir, örn. veri sahibi bir GDPR ihlali nedeniyle kimlik hırsızlığı veya dolandırıcılığın mağduru olursa. İlgili tazminatların miktarının belirlenmesi genellikle nispeten kolaydır.
  • Maruz kalınan maddi olmayan zararlar için tazminatın belirlenmesi doğal olarak daha zordur. İlgili zararlar, ayrımcılık veya itibarın zedelenmesi gibi kişisel dezavantajları içerebilir (bkz.resital 85 GDPR) ve münferit olayda veri sahibi üzerindeki etkiye bağlıdır. Tazminat miktarı belirlenirken, GDPR Madde 82 (1) kapsamındaki maddi olmayan zararlar için tazminatın caydırıcı bir etkisi olması gerektiği dikkate alınmalıdır. (diğerlerinin yanı sıra bkz. Frankfurt am Main Yerel Mahkemesi’nin (“Amtsgericht”) 10 Temmuz 2020 tarihli 385 C 155/19 sayılı kararı).

Şimdiye kadar Alman mahkemelerinin çizgisi neydi?


Son aylarda, Alman mahkemelerinin GDPR 82. Madde kapsamındaki tazminat taleplerine ilişkin kararları gittikçe artmaktadır. Aşağıdaki kararlar özellikle dikkate değerdir:

  • Sadece bir GDPR ihlali, bir tazminat talebini otomatik olarak haklı çıkarmaz – Birçok Alman mahkemesi, bir veri sahibinin, sırf GDPR ihlali meydana geldiği için otomatik olarak tazminat talebinde bulunma hakkına sahip olmadığı görüşündedir. Bunun yerine, birçok Alman mahkemesi, davacının gerçekten ilgili zarara uğradığını kanıtlamasını istemiştir. Özellikle mahkemeler, davacının GDPR ihlalinin nesnel olarak önemli ve göze çarpan sosyal veya kişisel dezavantajlara yol açtığını kanıtlaması gerektiğini açıklığa kavuşturmuştur, Örneğin, kamuya ifşa veya aşağılama şeklinde (bkz. Karlsruhe Bölge Mahkemesi (“Landgericht”), 2 Ağustos 2019 tarihli karar, 8 O 26/19 dava). Kişisel verilerin izinsiz ifşa edilmesinden kaynaklanan dezavantaj korkusu (Hamburg Bölge Mahkemesinin 4 Eylül 2020 tarihli 324 S 9/19 kararında olduğu gibi) veya sadece bir kişinin kişisel verilerinin bir veri ihlali sonucunda yetkisiz üçüncü şahıslar tarafından kullanılabileceğine dair huzursuz duygu (bkz. Frankfurt am Main Yerel Mahkemesi’nin 10 Temmuz 2020 tarihli kararında, 385 C 155/19 numaralı dava), GDPR 82. Maddesi uyarınca bir talep için yeterli görülmemiştir.
  • Daha ciddi GDPR ihlalleri için muafiyetler – Alman mahkemelerinin yukarıda belirtilen genel kısıtlayıcı yaklaşımına rağmen, tazminat taleplerinin veri sahibinin GDPR’ın 15-22. Madde  kapsamındaki haklarının ihlaline dayandığı durumlarda işler hızla değişebilir. Düsseldorf İş Mahkemesi (“Arbeitsgericht”), 5 Mart 2020 tarihli çok tartışılan bir kararda (dava no. 9 Ca 6557/18), GDPR’ın 82 (1) Maddesi uyarınca veri sahibi lehine 5.000 € tutarında tazminata karar vermiştir. Esas davada, şirket bir veri sahibinin erişim talebine beş ay geç ve kısmen yetersiz yanıt vermiştir. Mahkeme, GDPR’ın 15 (1) Maddesi uyarınca veri erişim hakkından mahrum bırakılması halinde veri sahibinin maddi olmayan zarara uğrayabileceği sonucuna varmıştır. Veri sahibinin erişim hakkı, aynı zamanda AB Temel Haklar Şartı Madde 8 (2) ‘de bir Avrupa temel hakkı olarak kesin bir şekilde tesis edildiği için özel bir öneme sahip kabul edilmiştir. Mahkeme ayrıca, bunun dışında para cezalarının hesaplanmasında kullanılan GDPR’ın 83 (2) Maddesi kriterlerine göre tazminat miktarının belirlenebileceğini belirtmiştir. Bu davada mahkeme, şirketin mali gücünü ve yüksek derecede kusurlu olduğunu, ihlal edilen hakkın önemini ve ihlalin ciddiyetini özellikle değerlendirmiştir.

Bugüne kadar, Alman Federal Adalet Divanı (“Bundesgerichtshof”) GDPR’nin 82 (1). Maddesi ile ilgili bir karar vermemiştir. Ancak, bu konudaki içtihatların gelişimini yakından takip etmenizi tavsiye ederiz. Özellikle, Alman Federal İş Mahkemesi yakın zamanda halen devam etmekte olan bir davada bu konuyla ilgili karar verebilir (dava no. 8 AZR 253/20). Esas davada davacı, davalının sağlık verilerini yetkisiz erişime karşı korumak için uygun önlemleri alıp almadığı sorusuyla ilgili GDPR’nin 82 (1) Maddesi uyarınca 20.000 € tazminat talebinde bulunmuştur. Düsseldorf Bölge Çalışma Mahkemesi (“Landesarbeitsgericht”) 11 Mart 2020 tarihli kararla (dava no. 12 Sa 186/19) talebi reddetmiştir.

Diğer Avrupa mahkemelerinin yaklaşımı nedir?


Diğer Avrupa mahkemeleri de GDPR’nin 82 (1)Madde  kapsamında tazminat taleplerine karar vermiştir:

  • Avusturya Yüksek Mahkemesi (“Österreichischer Oberster Gerichtshof”) 27 Kasım 2019 tarihli kararında (dava no. 6 Ob 217 / 19h), Alman mahkemelerinin yaklaşımına benzer şekilde, üye devletin ulusal hukukunda tazminatlarla ilgili olarak belirlenen ilkelerin GDPR’nin 82 (1). Maddesi bağlamında da uygulanması gerektiğine karar vermiştir.  Davacının, bir veri koruma ihlali sonucunda zarara uğradığını iddia ettiği iddiası yeterli değildir. Her durumda, şirket değil, davacı olarak veri sahibi zararların meydana geldiğini kanıtlamalıdır. Innsbruck Yüksek Bölge Mahkemesi (“Oberlandesgericht Innsbruck”) 13 Ocak 2020 tarihli kararında Yüksek Mahkeme’ye katılmıştır (dava no. 1R182 / 19b), ancak ulusal yasaların veri sahiplerinin tazminat taleplerine aşılmaz bir engel oluşturmaması gerektiğini bir kez daha vurgulamıştır.
  • Benzer şekilde, Hollanda Danıştay İdari İşler Bölümü 1 Nisan 2020’de (dava no. 201905087/1 / A2), GDPR ihlalinin genel olarak veri sahiplerine tazminat talebinde bulunma hakkı vermediğine karar vermiştir. Davacının, uğradığı fiili zararlara ilişkin her zaman yeterli kanıt sunması gerektiğini tespit etmiştir.

Şu ana kadarki içtihatlardan ne çıkarılabilir?


Son kararlar, Alman mahkemelerinin şu anda GDPR’nin 82 (1). Maddesini kısıtlayıcı bir şekilde uygulama eğiliminde olduğunu ve tazminatlarla ilgili ulusal Alman yasaları tarafından belirlenen herkesçe bilinen ilkelere bağlı kaldığını göstermektedir: Davacı, özellikle maddi olmayan zararlar durumunda, her zaman fiili zarara uğradığını kanıtlamalıdır. Bununla birlikte, yeterli kanıt sağlanırsa, Düsseldorf Bölge Çalışma Mahkemesinin kararının da gösterdiği gibi, hükmedilen tazminatlar birkaç bin avroyu bulabilir.

Bu kısıtlayıcı yaklaşımın Avrupa hukuku ile uyumlu olup olmadığı görülecektir. Gelecekte Avrupa Birliği’nde GDPR’nin etkin bir şekilde uygulanması amacıyla mahkemelerin daha yüksek tazminatlara hükmetmesi mümkündür. Şirketler, risk değerlendirmelerinde, bir veri koruma ihlalinin çoğu zaman çok sayıda veri sahibini etkileyebileceğini de hesaba katmalıdır. Bu durumlarda, potansiyel davacıların sayısı hızla artabilir ve bireysel tazminat talepleri, önemli bir ekonomik risk oluşturan bir meblağa yükselebilir.

Tazminat taleplerinden kaçınmak için ne yapılabilir?


Tazminat taleplerinden kaçınmanın en iyi yolu (para cezaları ve diğer yaptırımların yanı sıra), mümkün olan en yüksek GDPR uyum düzeyini sağlamak için etkili bir veri koruma yönetimi sistemi uygulamaktır. Yine de tazminat taleplerinin ortaya çıkması durumunda, alınan tüm veri koruma önlemlerinin kapsamlı dokümantasyonu (Madde 5 (2) GDPR) değerli bir savunma aracı olacaktır.

Aşağıdaki hususlar, tazminat talepleriyle ilgili olarak özellikle yüksek veri koruma riskleri gerektirir:

  • GDPR ihlallerinin bireysel olarak uygulanmasına ilişkin yüksek riskler, çalışan verilerinin işlenmesiyle ilgili olarak mevcuttur; bu, Alman iş mahkemeleri tarafından GDPR 82. Madde kapsamındaki iddialara ilişkin birkaç ilgili karar çıkarılmış olması gerçeğiyle yansıtılmaktadır.
  • Veri sahibi haklarının işlenmesindeki eksiklikler, genellikle veri sahiplerinden gelen şikayetlerin konusudur. Düsseldorf Bölge İş Mahkemesinin kararının gösterdiği gibi, bu tür ihlaller hızla önemli tazminat taleplerine yol açabilir.
  • Güvenlik olayları (veri ihlalleri) durumunda, şirketler genellikle potansiyel olarak tazminat alma hakkına sahip olabilecek çok sayıda davacı ile karşı karşıya kalırlar.
  • Doğrudan pazarlama (örneğin, e-posta reklamcılığı veya kişiselleştirilmiş başlık reklamı yoluyla) ile iştigal eden şirketler benzer risklerle karşı karşıyadır. Doğrudan pazarlama, veri koruma kanununda her zaman en alakalı konu olmuştur ve geleneksel olarak mahkemelerin, tüketici koruma kurumlarının ve veri koruma yetkililerinin odak noktasında yer almaktadır.
  • Benzer riskler, çerezlerin veya diğer izleme teknolojilerinin kullanımıyla ilişkilidir.
  • Avrupa Adalet Divanı’nın 16 Temmuz 2020 tarihli çok tartışılan “Schrems-II” kararı göz önüne alındığında,  dava no. C-311/18, uluslararası veri aktarımları düzenleyiciler ve veri sahiplerinin odak noktası haline gelmiştir. İhlal durumunda, kişisel verileri aktarılan tüm veri sahipleri potansiyel olarak tazminat alma hakkına sahip olabilir.

Yazar : Hogan Lovells
Çeviri : Meryem Günay
Orjinal Kaynak : JDSUPRA
İlk Yayın Tarihi : 26 Ekim 2020

Meryem Günay
Meryem Günay
Yorum Bulunmuyor

Yorum Yapın