Avrupa Adalet Divan’ından Yeni Bir Karar
- YAZARLAR
- 5 Ocak 2024
Avrupa Adalet Divanın Avrupa Genel Veri Koruma Tüzüğünün (GVKT, alm. DSGVO) ön gördüğü tazminat talebiyle alakalı yeni bir karar açıklandı. Daha önce de ele aldığımız kararda[1] zarar sunulmadan tazminat talebinde bulunulmayacağı belirtildi. Manevi tazminat için bazı mahkemelerce ve Avrupa Adalet Divanı başsavcısına göre “önemli ölçü eşiği” (Alm.: Erheblichkeitschwelle) gerekmemektedir.
Dolayısıyla basit bir manevi zarar bile tazminat istemek için yeterli. Mahkeme manevi zararın ne olduğunu ve bir zarardan bahsetmek için hangi şartların yerine gelmesi gerektiğini ise açıklamadı.
TAZMİNATLARIN ÖNÜNÜ AÇAN KARAR
Avrupa Adalet Divanı 14.12.2023 tarihinde daha önce tazminatla ilgili verilen kararı tekrar tasdiklemekle beraber açık kalan soruları da cevaplandırdı. Kararda[2] kişisel veriler işleyenlein yükümlülüğünü ağırlaştırdı.
Genel Veri Koruma Tüzüğü (GVKT)‘nün 85. gerekçesine dayanarak kişisel verilerin kontrolden çıkması bile manevi bir zarar olarak kabul edilmektedir. Yani bir hacker[3] saldırısıyla kişisel verilerin başka birisinin eline geçmiş olması, yani koruma altında olmaması zarar olarak kabul edilmektedir.
Zarar olarak nitelendireceğimiz durumda 2 şart yerine gelmesi gerekmektedir. Bunlar: GVKT‘nin ihlali ve zararın bu ihlale binaen gerçekleşmiş olması şartlarıdır.
GVKT‘ye göre işletme tarafından belli bir veri koruma standardının oluşturulması gerekmektedir.
Hukuksal meselelerde işletmelerin bu standardın yerine getirildiğini ise ispat etmesi gerekmektedir. Yeni karara göre işletmenin „hasardan hiçbir şekilde sorumlu olmadığını“ kanıtlaması gerekiyor. Ufak bir ihmal ve gerekli standardlardan aykırı bir veri koruma sisteminin olması yükümlülüğü ortadan kaldırmak için yeterli değildir.
TAZMİNAT İÇİN ŞARTLAR
Eğer bir şirket bir siber saldırıda bu kanıtı sunamaz ise, bu durumda üç şart da yerine gelmektedir:
Birincisi Veri Koruma kanıt olarak sunulmamıştır. İkincisi kişisel bilgiler kontrolsüz olarak başkaların eline geçmiştir. Üçüncüsü ise bu zarar GVKT’nin ihmali sebebiyle meydana gelmiştir.
Kısacası manevi tazminat için tüm şartlar yerine geldiğinden dolayı tazminat talep edilebilir.
Dolaysıyla geçmişte ve günümüzde de devam eden siber saldırılarda, misal Facebook gibi sistemin kullanıcısı veya başka şekilde sizin bilgileriniz muhafaza edilmiş ise tazminat talep etmeyi ihmal etmeyiniz.
[1] Karar: 04.05.23, Az. C-300/21
[2] Karar: 14.05ç23, Az. C-340/21
[3] Bilgisayar Korsanlığı