Veri koruma denetim otoritelerine karşı yaptırımların bireysel olarak uygulanamaması – Güncel bir ABAD kararının arka planı
Avrupa Birliği Adalet Divanı (ABAD), 14 Mart 2024 tarihli kararında (C-768/21 sayılı dava), ilgili kişilerin bir veri koruma denetim otoritesinden, bir veri koruma ihlaline neden olan sorumlulara idari para cezası veya başka bir iyileştirici tedbir uygulanmasını talep etme konusunda dava açılabilir bir hakka sahip olmadıklarını açıkça belirtmiştir. Bu karar, denetim otoritelerinin rolünü ve hareket alanını netleştirirken, ilgili kişilerin hukuki korunmasında önemli sonuçlar doğurmaktadır.
Yasal Çerçeve ve Denetim Otoritelerinin Görevi
Veri Koruma Tüzüğünün Yapısı
Avrupa veri koruma hukukunun temel mevzuatı olan Genel Veri Koruma Tüzüğü (GDPR), veri koruma yükümlülüklerine aykırılıklar için kademeli bir yaptırım ve iyileştirme sistemi öngörmektedir. Bunların uygulanmasından öncelikli olarak ulusal veri koruma denetim otoriteleri sorumludur. Yetkili otoriteler GDPR’nın 57 ve devamı maddeleri uyarınca şikayetleri incelemek, olayları aydınlatmak ve tespit edilen ihlaller halinde kendi sorumlulukları çerçevesinde uygun önlemleri almakla yükümlüdür.
“Veri koruma hukukunun koruyucusu” olarak görev
Denetim otoritelerinin rolü, yalnızca bireysel vakalarda hukuku uygulamakla sınırlı değildir. Onlar ayrıca ilgili kişiler ile veri sorumluları arasında bağımsız bir merci olarak aracılık yapan ve veri koruma hukukunun uygulanmasını sağlayan taraflardır. Faaliyetleri, çeşitli ihlallere duruma uygun şekilde tepki verebilmek için usule ilişkin takdir yetkisi ile şekillenir.
Konu: Yaptırım veya iyileştirici önleme bireysel olarak hak kazanılamaz
Gündem ve ABAD Kararı
Kararda, ilgili bir kişinin bir veri sorumlusuna para cezası verilmesini talep ettiği bir vaka incelenmiştir. Denetim otoritesi soruşturma başlatmış ancak herhangi bir yaptırım uygulamamıştır. ABAD’a göre, makamın önlem seçiminde ve değerlendirmesinde bireysel taleplere bağlı olması gerekmez.
Kararın özü, ilgili kişilerin şikayetlerinin etkili şekilde ele alınması ve sonucunun kendilerine bildirilmesi hakkına sahip olmalarına rağmen, belirli bir önlem – örneğin bir para cezası – talep etme hakkına sahip olmadıklarıdır. Olası yaptırımların seçimi ve şiddeti makamın takdirindedir.
Mahkemenin Gerekçesi
Yargıçlar, GDPR’nın yaptırım hükümlerinin öncelikli olarak kamu çıkarlarını koruduğunu ve bireysel tazminat veya tatmin taleplerini düzenlemek üzere getirilmediğini vurgulamıştır. Bir veri koruma ihlali tespit edildiğinde, makam takdir yetkisi çerçevesinde uygun önlemleri almakla yükümlüdür. Yaptırım türü ve miktarına ilişkin karar, ilgili kişinin talebinden bağımsız olarak verilir.
İlgililerin Hak Arama Yollarındaki Sonuçları
İlgili kişinin hakları
İlgililer, şikayette bulunmaya ve ayrıntılı inceleme talep etmeye devam edebilirler. Bir şikayet halinde yetkili denetim makamı olayları objektif biçimde incelemek ve sonucunu bildirmekle yükümlüdür. Ancak belirli bir yaptırım uygulanmasını talep etme hakkı mahkemede ileri sürülemez. İlgili kişi veri sorumlusuna yönelik daha ileri işlem yapmak isterse, bunun için ayrı olarak ileri sürülmesi gereken özel hukuk kapsamında tazminat davası yolu açıktır.
Uygulama için Önemi
Şirketler, kamu kurumları ve diğer veri işleyenler için bu karar, ilgililerden gelen talepler ve şikayetlerle başa çıkmada daha fazla hukuki güvenlik sağlamaktadır. Şirket içi uyum süreçlerinde ve denetim prosedürlerinde makamların takdir yetkisine dikkat edilmelidir. İlgililer ise, veri sorumlusunun yaptırıma tabi tutulmasını zorunlu olarak sağlayamayacaklarını ve idarenin takdirine bağlı kalacaklarını göz önünde bulundurmalıdır.
Gelecek Görünümü ve Devam Eden Gelişmeler
Karar, Avrupa veri koruma hukukunda bireysel hak korumasının sınırlarını net biçimde ortaya koymaktadır. Denetim otoritelerinin rolü bu şekilde güçlenmekte, bireysel tazminat veya para cezası taleplerinin uygulanabilirliği ise özel mevzuat ve ayrı yargı süreçlerine tabi olmaya devam etmektedir. Ulusal mahkemeler ve makamların kararı uygulamada nasıl hayata geçireceği ve şikayet süreçlerinde herhangi bir uyum ihtiyacı görüp görmeyeceği ise zamanla netlik kazanacaktır.
Veri koruma hukuku ile ilgili sorularınız, idari işlemler veya yaptırım uygulamaları hakkında daha fazla bilgi almak isterseniz, MTR Legal avukatları veri koruma hukuku alanındaki derin uzmanlığı ve tecrübeleriyle size sağlam hukuk danışmanlığı sunmaktan memnuniyet duyar.
Kaynak:
EuGH, Urteil vom 14.03.2024, C-768/21, https://curia.europa.eu/juris/document/document.jsf?docid=284844
