Bir veri sızıntısının ardından, varlık yöneticisi Scalable Capital, Münih Eyalet Mahkemesi tarafından Genel Veri Koruma Yönetmeliği – GDPR – ihlal ettiği için tazminata mahkûm edildi.
Veriler güven meselesidir ve müşterilerin uygun koruma hakkı vardır. Bu özellikle hassas kişisel veriler söz konusu olduğunda geçerlidir. Veri hırsızlığı durumunda, tüketiciler Genel Veri Koruma Yönetmeliği uyarınca tazminat talep etme hakkına sahip olabilirler, diyor ekonomi hukuk bürosu MTR Rechtsanwälte.
Bu, Münih Eyalet Mahkemesi’nin Scalable Capital aleyhine verdiği kararla (Az. 31 O 16606/20) açıktır. Ekim 2020’de çevrimiçi broker, bir veri sızıntısının meydana geldiğini bildirildi. Bu şekilde yetkisiz kişiler, 33.000’den fazla müşterinin adresi, e-posta adresi, hesap numarası, vergi kimliği veya kimlik kopyası gibi son derece hassas kişisel verilerine erişim sağladı. Scalable, eski bir hizmet sağlayıcıya yapılan bir hacker saldırısının ardından kendi erişim alanlarında da güvenlik açıklarının oluştuğunu ve bu nedenle hackerlerin verilere ulaştığını kabul etti.
Davacı, Scalable Capital’de menkul kıymet ve hisse yatırımları için kullandığı bir müşteri hesabı bulunduruyordu. Veri hırsızlığının mağduru olarak zarar tazminatı talep etti. Ele geçirilen veriler sayesinde kimlik hırsızlığı, kullandığı hizmetlere erişim girişimleri ve diğer dolandırıcılık girişimleri riski altında kaldı.
Dava başarıya ulaştı. Münih Eyalet Mahkemesi, güvenlik açığının önlenebilir olduğu sonucuna vardı. Ancak Scalable Capital, gerekli organizasyonel önlemleri almayı ihmal etti. Hizmet sağlayıcının erişim bilgilerinin iş ilişkisi sona erdikten sonra değiştirilmediği belirtiliyor. Her ne kadar davacı veri hırsızlığının ardından maddi bir kayıp yaşamamış olsa da, Münih Eyalet Mahkemesi, GDPR madde 82 (1) uyarınca kişisel verilerinin çalınması nedeniyle 2.500 Euro tutarında manevi tazminat hakkına sahip olduğuna hükmetti. Ayrıca, Scalable, veri hırsızlığından kaynaklanabilecek gelecekteki tüm zararlar için de sorumlu tutulmalı.
Köln Eyalet Mahkemesi de Scalable Capital’deki veri hırsızlığının bir kurbanına tazminat verdi (Az.: 28 O 328/21).
Kararlar, GDPR’nin veri hırsızlığı durumunda zararı tazmin talepleri için iyi bir dayanak oluşturduğunu göstermektedir. Bu nedenle, şirketler müşterilerinin verilerini yeterince korumaya daha fazla dikkat etmelidir.
Bilişim hukukunda deneyimli avukatlar danışmanlık yapabilir.
