Veri Koruma Uyarısı’na Giriş
Veri Koruma Uyarısı, Genel Veri Koruma Tüzüğü (GDPR) uyumunu sağlamak için veri koruma hukukundaki merkezi bir araçtır. 2018 yılında GDPR’nin yürürlüğe girmesinden bu yana, şirketler ve organizasyonlar, kişisel verileri işlerken en yüksek özeni göstermekle yükümlüdür. Bu kurallara aykırı bir durum oluşursa, örneğin kullanıcıların yeterince bilgilendirilmemesi veya uygunsuz veri işleme gibi, bir uyarı yapılabilir. Bu uyarı, yalnızca veri koruma otoritelerinden değil, aynı zamanda rakiplerden, tüketici koruma derneklerinden veya doğrudan etkilenen kişilerden de gelebilir. Veri Koruma Uyarısının amacı, şirketi veri koruma ihlalini durdurmaya ve veri koruma haklarına uymaya teşvik etmektir. Bu durum, şirketlerin süreçlerini ve kişisel verilerle ilgili uygulamalarını düzenli olarak gözden geçirmeleri ve uyarlamaları gerektiği anlamına gelir; aksi takdirde uyarılar ve olası hukuki takip riskleriyle karşı karşıya kalabilirler.
Hukuki Temeller
Veri koruma alanındaki uyarıların hukuki temelleri, başta GDPR ve Haksız Rekabet Kanunu (UWG) olmak üzere birkaç yasa ile düzenlenir. GDPR, kişisel verilerin nasıl toplanacağı, saklanacağı ve işleneceği konusunda detaylı düzenlemeler getirir. Bu düzenlemelere aykırı işlemler – örneğin, uygunsuz işlem veya şeffaflık eksikliği – yalnızca veri koruma otoriteleri tarafından değil, aynı zamanda rekabet hukuku kapsamında da kovuşturulabilir. UWG, rekabeti haksız ticaret uygulamalarından korur ve bir veri koruma ihlalinin, eğer bir şirketin haksız bir avantaj elde etmesine neden oluyorsa, UWG’ye aykırı bir eylem olarak değerlendirilebileceğini öngörür. Böylece, veri koruma ihlalleri nedeniyle uyarılar hem GDPR hem de UWG temelinde yapılabilir. Bu nedenle, şirketler kişisel verilerin işlenmesine dair yasal gerekliliklere sıkı sıkıya uymalı ve uyarılar ile diğer hukuki sonuçlardan kaçınmalıdır.
Rakipler Uyarı Yapabilir – BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19 Kararları
Rakipler ve tüketici koruma dernekleri, şirketlerin veri koruma ihlallerini uyarabilir; bu bağlamda mahkeme, veri koruma ihlalleri nedeniyle uyarılar hakkında karar verirken merkezi bir role sahiptir. Federal Adalet Divanı (BGH), 27 Mart 2025 tarihli birden fazla kararında (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19) bunu belirlemiştir. Geçmişte farklı mahkemeler, veri koruma ihlallerinde uyarı yetkisi konusunda farklı kararlar almıştır. Veri koruma ihlalleri konusunda çok sayıda vaka, bu konunun pratik önemini göstermektedir. Mevcut BGH kararı, rakiplerin ve tüketici derneklerinin de aktif olabileceğini açıkça ortaya koymaktadır. Mart 2025 tarihli BGH kararları, tüketici dernekleri ve rakipler tarafından sivil mahkemelerde veri koruma ihlallerinin takibini mümkün kıldığı için uyarı pratiği açısından büyük önem taşımaktadır. GDPR uyarısı, veri koruma hukuku açısından farklılık gösteren bir uyarı türüdür ve GDPR’ye yönelik ihlallere odaklanır. Tüketici merkezi, veri koruma haklarının uygulanmasında önemli bir rol oynar. Tüketici dernekleri, veri koruma ihlalleri için uyarı verilmesinde etkili bir şekilde yer alır. Ayrıca rakipler de veri koruma ihlallerini takip edebilir ve rekabeti koruyabilir. BGH’nin kararı, veri koruma ihlallerinin pratiği ve hukuki değerlendirmesi üzerinde önemli etkiler yaratmaktadır.
Veri koruma ihlalleri yalnızca denetim otoriteleri tarafından cezalandırılabilir durumda değildir. Mahkemelerin veri koruma ihlalleri konusundaki karar yetkisi, burada merkezi bir öneme sahiptir. BGH’nin kararlarının gösterdiği gibi, rakipler ve tüketici dernekleri de bu ihlallere karşı harekete geçebilir. Bu tür davaların kapsamında, dava edilen taraf da önemli bir rol oynar. Şirketler için bu durum, özellikle çevrimiçi ticaret ve hassas verilerin işlenmesinde ciddi sonuçlar doğurabilir, diyor hukuk firması MTR Legal, IT hukuku ve veri koruma hukuku konularında danışmanlık yapan. GDPR ihlalleri, özellikle ihtiyati tedbir talepleri ileri sürüldüğünde ciddi hukuki sonuçlara yol açabilir. Tekrarlanan GDPR ihlallerinde sıkılaştırılmış yaptırımlar ve diğer önlemler gündeme gelebilir. Veri koruma ihlalleri hem mahkemeler hem de dernekler tarafından takip edilmektedir. İlgili paragraflardaki birinci cümle ve birinci cümle numarasının önemi, hukuki sınıflandırma açısından belirleyicidir. Bu mesele, veri koruma hukukunun gelişimi ve tüketici haklarının uygulanması için büyük bir önem arz etmektedir.
Oyun Uygulaması Verileri Yayınlıyor
I ZR 186/17 numaralı dosyada, sosyal bir ağda üçüncü tarafların oyunlar sunduğu bir “Uygulama Merkezi” söz konusuydu. Uygulama Merkezi, çeşitli üçüncü taraf uygulamaların sunulduğu merkezi bir platform olarak hizmet verir. Uygulama Merkezi’nde, çevrimiçi oyunlar önemli bir rol oynamaktadır çünkü teklifin büyük bir kısmını oluştururlar. Uygulamanın kullanımı sırasında e-posta adresiniz gibi kişisel veriler de işlenebilir. Bir kullanıcı bir oyuna başlamadan önce, uygulamanın belirli izinler alacağı, örneğin durum güncellemeleri yayınlama izni, kendisine gösterilir. Ancak bu uyarılar belirsizdi ve hangi belirli verilerin işlendiği, alıcıların kim olduğu ve bunun ne amaçla yapıldığı hakkında bilgi vermiyordu. Bunu, eyaletlerin Tüketici Merkezleri çatı örgütü başarıyla dava etti.
BGH böyle belirsiz ve genel bilgilendirmenin, Genel Veri Koruma Tüzüğü’nün (GDPR) gerekliliklerini karşılamadığını netleştirmiştir. Kullanıcıların verilerinin toplanması esnasında, kapsamlı bir şekilde bilgilendirilmeleri gerekmektedir. Ayrıca toplanan ve işlenen verilerin kapsamı şeffaf bir şekilde sunulmalıdır. Veri Gizliliği Bildirimi’ndeki kullanımlara dair hukuken geçerli bir dil kullanmak bu bağlamda özellikle önemlidir. GDPR’nin 12. ve 13. maddeleri uyarınca bilgilendirme yükümlülükleri, ilgili kişilerin açık, net ve anlaşılır bir şekilde bilgilendirilmesini talep eder. GDPR’nin bu gereklilikleri, aynı zamanda rekabet hukuku anlamında da piyasa davranışlarını düzenlediği için (§ 3a UWG), bunlara uyulmaması bir rekabet ihlali olarak değerlendirilir. Bu nedenle rakipler veya nitelikli tüketici koruma dernekleri, BGH’ye göre medeni hukuk kapsamında bu tür veri koruma ihlallerine karşı hareket edebilir. Bu durum, bir kullanıcının şikayet edip etmediğine bakılmaksızın geçerlidir.
Eczacılar İlaçları İnternet Üzerinden Satıyor
Benzer sorular I ZR 222/19 ve I ZR 223/19 numaralı davalarda ele alınmıştır. Burada iki eczane, ilaçları Amazon platformu üzerinden satmışlardır. Müşterilerin ad, adres veya sipariş edilen ilaçlar gibi kişisel verileri, hatta sağlık bilgileri işlenmiştir; bu da işlemleri merkez konu haline getirmiştir. Eczacılık alanında veri koruma ihlalleri ile ilgili çok sayıda vaka söz konusu olmuştur. Diğer eczacılar bu durumlara karşı dava açmıştır. Bu davalar da başarılı olmuş, BGH sipariş verilerinin GDPR madde 9 paragraf 1 anlamında sağlık verileri olduğunu belirtmiştir. İlaçlar reçetesiz olsa dahi bu geçerlidir. Veriler sadece müşterilerin açık rızası varsa işlenebilir, ki eczacılar bu rızayı almamışlardı.
BGH, Avrupa Adalet Divanı’nın, siparişten sağlık durumu veya tedavi ile ilgili sonuçlar çıkarılabileceğine dair değerlendirmesini teyit etti. Davalarda, verilerin işlenmesinden sorumlu olan davalı taraf kritik bir rol oynadı. Sağlık verilerinin işlenmesinde etkilenen kişilerin korunmasının önemi özellikle vurgulandı. Burada da BGH, bir rekabet ihlali tespit etti. GDPR Madde 9 Paragraf 1 bir piyasa davranış kuralı olarak kabul ediliyor; bu nedenle, bu kurala karşı yapılan ihlaller, bir rakip tarafından rekabet hukuku kapsamındaki bir dava ile sivil mahkemelerde takip edilebilir, dedi Karlsruhe hakimleri. İlgili paragraflardaki birinci cümle ve birinci numaranın önemi, özellikle vurgulandı.
GDPR Rekabet Hukuku Açısından da Önemli
Kararlar, GDPR düzenlemelerinin – burada özellikle bilgilendirme yükümlülükleri ve onay verilmesiyle ilgili hükümler – rekabet hukuku açısından da önemli olduğunu göstermektedir. Belirli durumlarda, veri koruma ihlalleriyle elde edilen kazançlar geri alınabilir; bu, gizlilik kurallarına uygun olarak belirlenen para cezaları ve diğer cezai önlemlerle bağlantılıdır. Kişisel veya hassas verileri yeterli bilgi olmadan veya geçerli bir onay olmaksızın işleyen şirketler, rekabete aykırı hareket etmektedirler. Sadece veri koruma otoriteleri değil, aynı zamanda rakipler veya nitelikli dernekler bu ihlallere karşı harekete geçebilir. Bu, BGH’nin rekabet hukuku uygulama alanını büyük ölçüde genişlettiği anlamına geliyor. Veri koruma kurallarını ihlal eden şirketler, veri koruma otoriteleri tarafından verilen para cezalarının yanı sıra, rakiplerden ve tüketici koruma derneklerinden maliyetli uyarılar ve ihtiyati tedbir davaları ile karşılaşabilirler.
Şirketler İyi Danışmanlık Almalıdır
Bu nedenle, şirketlerin bilgilendirme yükümlülüklerini dikkatlice inceleyip yerine getirmeleri önerilir. Bu, kullanıcıların hangi verilerin hangi amaçla işlendiği, bunun hangi yasal dayanakla yapıldığı, alıcıların kimler olduğu ve etkilenen kişilere hangi hakların tanındığı konusunda şeffaf, net ve kapsamlı bir şekilde bilgilendirilmesini içerir. Ayrıca hassas verilerin işlenmesinden önce – örneğin sağlık verileri – açık bir onay alınmalı ve belgelenmelidir. Genel veya gizli hükümler yeterli değildir.
Çevrimiçi Pazaryerleri ve Veri Koruma
Amazon Marketplace gibi çevrimiçi pazaryerleri, modern e-ticaretin vazgeçilmez bir parçası haline gelmiştir. Ancak burada veri koruma uyumuna özel bir önem verilmesi gerekmektedir. Bu tür platformlarda faaliyet gösteren sağlayıcılar, müşteri verilerini işlerken – örneğin isimler, adresler veya sipariş verileri – GDPR’nın sıkı gerekliliklerine uymak zorundadır. I ZR 186/17, I ZR 222/19 ve I ZR 223/19 numaralı davalardaki BGH kararları, müşterilerin açık rızası olmadan sağlık verilerinin işlenmesi gibi GDPR ihlallerinin yalnızca gizlilik hukuku değil, aynı zamanda rekabet hukuku açısından da sonuçları olabileceğini gösterdi. Bu tür durumlarda rakipler veya tüketici koruma dernekleri tarafından uyarılar yapılabilir ve bu, şirketler için ciddi sonuçlar doğurabilir. Yüksek Mahkeme kararları, çevrimiçi pazaryerlerinde veri koruma uyumunun sadece bir uyum meselesi değil, aynı zamanda rekabet meselesi olduğunu vurgulamaktadır.
Bir Uyarının Sonuçları
Bir veri koruma uyarısı, şirketler için geniş kapsamlı sonuçlar doğurabilir. İhtar edilen kişisel veri işleme türünün derhal durdurulmasını içeren yükümlülüğün yanında, tekrarlanan bir ihlal durumunda ciddi para cezaları veya yaptırımlar tehlikesi bulunmaktadır. GDPR, bu durumlar için ya 20 milyon Euro’ya ya da dünya genelindeki yıllık cironun %4’üne kadar ceza öngörmektedir – hangisi daha yüksekse. Ayrıca bir uyarı, bir şirketin itibarını kalıcı şekilde zedeleyebilir çünkü veri koruma ihlali, müşteriler ve kamuoyu tarafından ciddi bir güven ihlali olarak algılanabilir. Şirketler, bu nedenle, yalnızca hukuki nedenlerle değil, itibar nedenleriyle de veri koruma koşullarına en üst düzeyde dikkat etmelidir.
Uyarılara Karşı Savunma
Veri koruma alanında uyarılara karşı etkili bir şekilde korunmak için şirketler, veri koruma uygulamalarını düzenli olarak gözden geçirmeli ve GDPR’nin güncel gerekliliklerine uyarlamalıdır. Bu, özellikle şeffaf ve eksiksiz bir Gizlilik Beyanı hazırlamayı, hassas verilerin işlenmesi için açık rıza almayı ve verilerin korunmasına yönelik teknik ve organizasyonel önlemleri uygulamayı içerir. Bir uyarı durumunda hızlı bir şekilde yanıt vermek ve kendi çıkarlarını en iyi şekilde savunmak için hukuki danışmanlık almak mantıklı olacaktır. Proaktif hareket ederek ve veri koruma gerekliliklerine sadık kalarak, şirketler uyarılar ve diğer hukuki adımlar riskini önemli ölçüde azaltabilirler.
MTR Legal Hukuk Bürosu, danışmanlık yapar Veri Koruma,GDPR ve IT Hukuku’ndaki diğer konular.
Lütfen bizimle iletişime geçin!
