C-340/21 – VB/Natsionalna agentsia za prihodite - General Attorney Mütalaası
Soru: Bir kamu kurumunun elinde bulunan veriler hacker saldırısına konu olduğunda ilgili kişi, sırf gelecekte bu veriler kötüye kullanılabilir iddiasıyla manevi tazminat talebinde bulunabilir mi?
İlgili hükümler: GVKT Art. 32, 82
Tüzük bir bütün olarak incelendiğinde veri sorumlusunun sadece şekli olarak birtakım şartları yerine getirmesinin beklenmesi değil, işlevsellik açısından mümkün olan en iyi sonucun amaçladığını söylemek mümkündür. Bu kapsamda alınması gereken uygun tedbirler nihai olarak sayılmamıştır.
Veri sorumlusu, alınması gereken uygun tedbirler noktasında somut olay şartlarına bağlı olarak bir takdir yetkisine sahiptir. Ancak bu takdir yetkisi mahkemelerce denetlenebilecek bir yetkidir. Bu kapsamda özellikle güncel teknolojilerin dikkate alınması gerekmektedir. Dolayısıyla tehlikenin önlenmesi için alınacak tedbirler ölçülülük ilkesi ışığında belirlenmelidir.
Veri sorumlusu her ne kadar “uygun” tedbirler almış olsa da, bu tedbirlerin de hackerlar tarafından aşılması mümkündür. Zaten Birlik kanun koyucusunun amacı da mutlak surette her türlü veri ihlalinin önlenmesi değildir. Dolayısıyla her ne kadar veri sorumlusundan yüksek seviyede bir sorumluluk beklense de, onun bu tedbirleri almasına rağmen yine de her halükarda sorumlu tutulması isabetli değildir. Bu bağlamda ilgili kişilerin kişisel verilerinin korunmasına ilişkin menfaat ile veri sorumlularının masrafları asgari seviyede tutmaya ilişkin menfaatleri arasında makul bir dengenin gözetilmesi gerekmektedir. Kaldı ki verinin bütünlüğü (Art. 32 f. 1 lit. c) hükmünün varlığı başlı başına veri ihlalinin asla kabul edilemez bir durum olmadığına, bilakis bu gibi durumlarda yedekleme gibi önlemlerle veri kaybının önlenmesi gerektiğine işaret etmektedir.
Mahkemeler tarafından gerçekleştirilecek denetim kapsamında ise veri sorumlusunun takdir yetkisi araştırılırken şekli bir araştırma yerine, önlemlerin içeriği, bunların uygulanmasının şekli ve somut etkileri, somut olay şartları ışığında incelenmelidir.
Veri ihlali kapsamında veri sorumlusunun gerekli önlemleri alıp almadığı noktasında ispat yükü ise veri sorumlusuna ait olmalıdır. Zira ilgili kişinin veri sorumlusu nezdinde alınan tedbirler hakkında bilgi sahibi olması beklenemez.
Öte yandan tazminat talebinde bulunan ilgili kişi, Tüzük hükümlerine aykırı bir davranışın varlığını, bir zararın meydana gelmiş olduğunu ve bu ikisi arasında uygun bir illiyet bağının bulunduğunu ispat etmelidir.
Bu kapsamda veri sorumlusunun tehlike sorumluluğuna dayalı değil, özen/sebep sorumluluğuna dayalı bir tazminat yükümlülüğü söz konusu olmalıdır. Zira veri sorumlusu, uygun tedbirleri aldığını ispat ederek sorumluluktan kurtulabilme imkanına sahip olmalıdır.
Bir hacker saldırısı söz konusu olduğunda veri sorumlusunun gerekli bütün “uygun” tedbirleri aldığını ispat etmesi halinde sorumluluktan kurtulması mümkün olmalıdır. Öte yandan veri sorumlusunun veri güvenliği noktasında bir ihmali söz konusu ise sorumluluk gündeme gelebilmelidir.
Manevi tazminat noktasında ise Tüzük’te öngörülen yaptırım mekanizmasının iki ana unsurdan müteşekkil olduğunu belirtmek gerekir. Bunlardan birincisi idari para cezası iken diğeri ise özel hukuk çerçevesinde ilgili kişilerin tazminat taleplerine ilişkindir. Dolayısıyla tazminat talebi çerçevesinde bu yaptırım mekanizmasını engelleyecek bir yorum isabetli olmayacaktır. Diğer yandan her türlü Tüzük’e aykırı davranışın doğrudan bir zarar meydana getirdiğini söylemek de mümkün değildir. Bu sebeple somut olay bazında ilgili kişinin hacker saldırısı neticesinde maruz kaldığı korkunun fiilen ve somut bir şekilde duygusal bir zarara sebebiyet verdiğini ispat etmesi gerekecektir.
Türk Hukuku Açısından Çıkarımlar
Uygun güvenlik tedbirlerinin içeriği noktasında çok önemli bir karar. Nitekim gerek Tüzük, gerekse KVKK bağlamında veri sorumlusundan beklenen, şekli bir yaklaşım değil, somut olay özellikleri dikkate alınarak mevcut risk ışığında gerekli tedbirlerin alınmasıdır. Bu tedbirlerin alındığı ispat edildiği takdirde artık veri sorumlusunun tazminat sorumluluğu gündeme gelmemelidir. Nitekim Tüzük ve KVKK kapsamında öngörülen tazminat sorumluluğu, tehlike sorumluluğu değil, sebep/özen sorumluluğu esasına dayanmaktadır. Aksi takdirde veri sorumlusu her halükârda tazminat sorumlusu olsaydı, veri sorumlusunun uygun tedbirleri almasının hiçbir anlamı kalmayacaktı.