Avrupa Adalet Divanı kararı: Kapsamlı tazminat talepleri, GDPR kapsamındadır
Genel Veri Koruma Yönetmeliği’nin (GDPR) yürürlüğe girmesinden yaklaşık beş yıl sonra, Avrupa Adalet Divanı (ECJ), daha önce birbiriyle ilişkili oldukça tartışmalı hukuki meselelerle ilgili iki karara açıklık getirdi. Bir yandan Lüksemburg yargıçları, yönetmeliğin zararlar için bir eşik belirlemediğini açıkça belirtmişlerdir. Bu nedenle başvuru sahiplerinin ciddi maddi olmayan zararları kanıtlamaları gerekmemektedir. Böyle bir sınır, GDPR’nin getirilmesinden önce Alman yasasında mevcuttu. Öte yandan ABAD, düzenleme kapsamında veri sahiplerinin sahip olduğu bilgi edinme hakkının içeriğini ve kapsamını geniş yorumlamıştır.
Avusturya’dan dava
Avusturya Yüksek Mahkemesi’nin (OGH) Avrupa Adalet Divanı’na sunduğu bir dava, Alp Cumhuriyeti’ndeki posta hizmetinin toplu veri istismarının etkileriyle ilgilidir. Hizmet sağlayıcı, 2017’den beri Avusturya nüfusunun siyasi yakınlıkları hakkında bilgi topluyor. Bir algoritma kullanarak, sosyal ve demografik özelliklere dayalı olarak “hedef grup adresleri” tanımladı. Österreichische Post, toplanan verilerden, belirli bir vatandaşın belirli bir Avusturya siyasi partisine – sağcı FPÖ – yüksek bir yakınlığı olduğu sonucuna vardı.
Bu şekilde elde edilen bilgiler üçüncü şahıslara aktarılmamıştır. Bununla birlikte, davacı, verilerinin yasa dışı işlenmesi nedeniyle 1000 avro tazminat talep etmiştir. FPÖ’ye iddia edilen yakınlığın, güven kaybı ve ifşa olma duygusuyla birlikte kendisi için büyük bir sıkıntı olduğunu savundu. Posta, bu maddi olmayan zararı tazmin etmelidir.
Şimdiye kadar, ulusal mahkemeler, manevi zarar için sözde bir “önem eşiğine” ulaşılamadığı için iddiaları sıklıkla reddetmiştir. Ağırlıklı olarak Alman hukukçuların temsil ettiği bu görüşe Yargıtay da ilkesel olarak katılarak, ABAD’dan yorumunu istedi. Şimdi, GDPR’de öngörülen tazminat talebinin birkaç koşulla açıkça bağlantılı olduğunu açıkladı. Örneğin, “zarar ile ihlal arasında illiyet bağı” bulunmalıdır. GDPR’nin her ihlali tazminat hakkını doğurmaz.
Yargısız Tazminat
Ancak Lüksemburglu yargıçlar, tazminat talebinin belirli bir önem düzeyine ulaşan manevi tazminatlarla sınırlı olmadığını da vurguladı. GDPR böyle bir gereklilikten bahsetmiyor, C-300/2 Davasındaki kararda yazıyorlar. Böyle bir sınırlama, kanun koyucu tarafından seçilen “zarar” kavramına ilişkin geniş anlayışla da çelişecek ve düzenlemenin tutarlı bir şekilde uygulanmasını tehlikeye atacaktır. Bu nedenle üye devletlerin bu bağlamda borçlu olunan zararların boyutunu belirlemek için kriterler oluşturmaları gerekmektedir. Diğer şeylerin yanı sıra, tazminatın eksiksiz ve etkili olmasını ve diğer maddi olmayan hak taleplerine eşdeğer olmasını sağlamaları gerekir.
Mahkeme dışı bir anlaşmada, Post kısa süre önce yaklaşık 2.000 kurbana 1.350 Euro’ya kadar tazminat ödedi ve bu da onlara toplamda milyonlara mal oldu. Ancak başlangıçta, başvuranın bunu yasal olarak yapmak zorunda olup olmadığı ve ne ölçüde zorunlu olduğu belirsizliğini koruyordu. Avusturyalı veri koruma kuruluşu Noyb’den Max Schrems bu nedenle kararı memnuniyetle karşıladı: “Bir grup avukat, kullanıcılara tazminat ödemekten kaçınmak için GDPR’yi yeniden yorumlamaya çalıştı. ABAD artık buna bir son verdi.”
Öte yandan, Berlin’deki hukuk firması Noerr’in ortağı Pascal Schumacher, AB Adalet Divanı’nın de minimis sınırı şartından feragat ederek “önceki, bazen taşan içtihat hukukuna bir son verme” fırsatını kaçırmış olmasına üzüldü. Ancak önemli olan, nedensel bir bozulmanın gerekli kanıtıdır: “Bu nedenle, yetersiz güvenlik önlemleri nedeniyle bir bilgisayar korsanının verilerimi ele geçirebildiğini iddia etmek yeterli değildir.”
Puanlama uygulaması büyük ölçüde yasa dışı
Karara bağlanan ikinci dava da Avusturya’dan geliyor. C-487/21 davasında, oradaki Federal İdare Mahkemesi, ABAD’dan GDPR’ye bağlı kişisel veriler hakkında bilgi alma hakkının ne kadar uzandığını öğrenmek istedi. Bunun nedeni, kredi kuruluşu Crif’in (Deltavista) bir müşteriye yalnızca toplu biçimde işlediği bilgilerin bir listesini göndermesi, “e-postalar ve veritabanlarından alıntılar gibi belgelerin kopyalarını” bir “birlikte” göndermemesiydi. standart teknik format”.
Bu nedenle ilgili kişi, önce şikayetini reddeden Avusturya veri koruma makamına ve ardından mahkemelere başvurdu. Avrupa Adalet Divanı şimdi, yıllarca puanlama uygulaması büyük ölçüde hukuka aykırı olduğu düşünülen Avusturyalı Schufa mevkidaşının, davacıya kendisi hakkında işlenen tüm verilerin “aslına uygun, anlaşılır bir kopyasını” sağlaması gerektiğine karar verdi. Bu, “veri sahibinin GDPR tarafından kendisine verilen hakları etkili bir şekilde kullanmasına olanak sağlamak için böyle bir kopyanın sağlanmasının gerekli olması durumunda” belgelerin kopyalarını ve veritabanlarından alıntıları içerir. Üçüncü şahısların hak ve özgürlükleri dikkate alınmalıdır.
Lüksemburg yargıçları aynı zamanda, “Kopya” teriminin bir belgeyi değil, “içerdiği ve eksiksiz olması gereken kişisel verileri” ifade ettiğini açıkladı. İlgili kişinin, kendisi hakkında toplanan bilgilerin izin verilen bir şekilde işlenip işlenmediğini kontrol etmesi mümkün olmalıdır. Kontrolörler ayrıca ilgili tüm verileri “açık ve sade bir dil kullanarak kısa, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde” iletmek için uygun önlemleri almalıdır. Özellikle, kişisel bilgiler diğer verilerden üretiliyorsa veya boş alanlara dayalıysa, işlemenin bağlamı da önemlidir.
(mho)
Haberin Sonu