ABAD onayladı: DSGVO ihlali otomatik olarak manevi tazminat hakkı doğurmaz
Avrupa Adalet Divanı (ABAD), 14 Haziran 2024 tarihli kararıyla (Dosya No.: C-300/21) açıkça belirtti ki, Genel Veri Koruma Tüzüğü’ne (DSGVO) aykırılığın salt varlığı, kendiliğinden tazminat hakkı doğurmaz. Bunun yerine, ilgili kişilerin gerçek bir maddi veya manevi zarar görmüş olması ve anlaşmazlık halinde bu zararı açıklamaları ve kanıtlamaları gerekir. Bu karar, şirketler ve veri işleyen birimler için veri koruma hukuku kaynaklı sorumluluk risklerinin yönetiminde hukuki anlamda bağlayıcı bir rehberlik sunmakta, ayrıca ulusal mahkemelerin veri koruma ihlalleriyle ilgili içtihatlarını da önemli ölçüde etkilemektedir.
Ön karar prosedürünün arka planı
Davanın kökeni Avusturya’ya dayanmaktaydı. Bir davacı, DSGVO’nun ihlali iddiasıyla bir çevrim içi platform işletmecisinden manevi tazminat talebinde bulundu. Davacı, yalnızca kişisel verilerinin hukuka aykırı şekilde işlendiği iddiasına dayanıyordu; ortaya çıkan somut bir dezavantajı – örneğin bir huzursuzluk veya bir rahatsızlık – ise somutlaştırmamıştı. Dava hakkında karar verecek olan Viyana Eyalet Mahkemesi, ABAD’a DSGVO’nun 82. maddesinin yorumu hakkında birkaç soru yöneltti ve özellikle veri koruma hükümlerinin salt ihlalinin tazminat talebi için yeterli olup olmadığının açıklığa kavuşturulmasını talep etti.
ABAD’ın hukuki değerlendirmesi
DSGVO 82. maddeye göre tazminat talebinin şartları
ABAD, DSGVO’nun zararların tazmini için ayrıntılı bir düzenleme öngördüğünü belirtti. Her ne kadar DSGVO’nun 82. maddesi veri koruma hükümlerine aykırılık halinde bir sorumluluk getirse de, tazminat talebi için üç şartın birlikte gerçekleşmesi gerekmektedir:
- DSGVO’ya aykırılık,
- bu aykırılıktan doğan bir zarar ve
- ihlal ile zarar arasında nedensellik bağı.
Mahkeme böylelikle, DSGVO’nun gereklerinden sapmanın her zaman doğrudan tazminat sorumluluğu doğurmayacağını vurgulamaktadır. Bir tazminat hakkı için, gerçekten bir maddi veya manevi zararın meydana gelmiş olması gerekir.
Hak sahibi lehine otomatiklik yok
Bu kararla ABAD, katı bir “Kusursuz Sorumluluğu” reddetmektedir. Yalnızca bir veri koruma ihlalinin tespit edilmesi – örneğin usulüne uygun açıklanmamış bir rıza veya yerine getirilmeyen bir bilgilendirme yükümlülüğü – manevi zarara ilişkin para ödenmesi için yeterli değildir. İlgili kişilerin, ihlal nedeniyle gerçekten ve şahsen bir zarar gördüklerini somut olarak ortaya koymaları gerekmektedir. Bu da, genellikle yaşanan zararın ayrıntılı olarak anlatılmasını – örneğin kaygıların, stresin veya sosyal çevre üzerindeki olumsuz etkilerin meydana gelmesi gibi – ve yalnızca soyut veya genel dezavantajların belirtilmemesini gerektirir.
Manevi zararda ağırlık eşiği aranmaz
ABAD ayrıca, bir zararın varlığı için yalnızca “önemli” manevi zararların tazminat hakkı doğuracağı şeklinde bir eşik olmaması gerektiğini belirtmektedir. Böylece, küçük çaplı zararlar da eğer gerçekten DSGVO ihlali sonucu ortaya çıkmış ve süreçte somutlaştırılmışsa, tazminat talebine konu olabilecektir. Ancak manevi zararın ispatına dair gereklilikler aynen devam etmektedir.
Ulusal ve uluslararası hukuk pratiğine etkileri
Bireysel sorumluluk ilkesinin güçlendirilmesi
ABAD kararı, şirketlerin ve veri işleyenlerin veri koruma alanında yüksek standartları sürdürmeleri gerektiğini açıkça ortaya koymaktadır. Ancak karar, herhangi bir somut zararın ortaya konulmadığı durumlarda, yalnızca teknik veya şekli DSGVO ihlallerinden kaynaklanan sorumluluk risklerinin sınırsız şekilde genişletilmesini önleyerek, hukuki güvenlik de sağlamaktadır.
Pratik uygulamada bu, kişisel verilerle ilgili yalnızca işlem hatalarının – örneğin bilgi verme veya belge düzenleme sırasında – ilgili kişiler için doğrudan bir mali taleple sonuçlanmayacağı anlamına gelir. Ancak somut ve bireysel zararlar açıkça ortaya koyulup kanıtlandığında tazminat hakkı doğar.
Şirketler ve veri koruma sorumluları için anlamı
Son ABAD kararı ışığında, veri işleme süreçlerinin belgelenmesine ve olası risklere daha fazla dikkat edilmesi önerilir. Karar, veri işleyenler için önleme, hassasiyet ve belgelendirme yükümlülükleri açısından bir hafifleme getirmemekte, ancak olası bir tazminat talebinin şartları konusunda daha büyük bir netlik sağlamaktadır.
Sonuç ve gelecek perspektifi
ABAD’ın bu kararı, veri koruma ile sorumluluk hukuku arasındaki ilişkide önemli bir dönüm noktasıdır. Yalnızca hukuki ihlalle gerçek bir zararın ayrımını gerekli kılar. Böylece hem ilgili kişilerin konumu hem de şirketlerin ve veri işleyenlerin menfaatleri dengede tutulmaktadır. ABAD’ın bu kararı, güncel içtihat için olduğu kadar, veri koruma alanında tazminat hukukunun gelecekteki şekillenmesinde de yol gösterici nitelikte olacaktır.
Veri koruma hukuku bağlamında daha detaylı sorularınız veya hukuki belirsizlikleriniz olduğunda MTR Legal Rechtsanwaltları size memnuniyetle danışmanlık sağlamaktan mutluluk duyar.
