GDPR İhlali Tespit Eden Veri Koruma Otoritesi Her Durumda Yaptırım Uygulamak Zorunda mı?

Son güncellenme 
GDPR İhlali Tespit Eden Veri Koruma Otoritesi Her Durumda Yaptırım Uygulamak Zorunda mı?
Photo by Tingey Injury Law Firm / Unsplash

Avrupa Birliği Adalet Divanı (ABAD), C 768/21 sayılı TR / Land Hessen kararında Genel Veri Koruma Tüzüğü (GDPR) kapsamında denetleyici otoritelerin her ihlal durumunda yaptırım uygulamakla yükümlü olmadıklarına hükmetti.

Olayın Gelişimi

Sparkasse X (bir tasarruf bankası) müşterisi olan TR, bankanın bir çalışanının kişisel verilerine hukuka aykırı şekilde eriştiğini öğrendi. Banka, GDPR Madde 33 uyarınca bu ihlali Hessen Veri Koruma ve Bilgi Özgürlüğü Komiserliği'ne (HBDI) bildirdi ancak Madde 34 kapsamında TR'yi doğrudan bilgilendirmedi. Nitekim Banka, ihlalin "yüksek risk" teşkil etmediği kanaatindeydi.

Söz konusu ihlali başka yollarla öğrenen TR, HBDI'ye şikâyette bulundu. Şikayet kapsamında TR, Bankanın kendisine ihlali bildirmesi gerektiğini ve erişim kayıtlarının kısa süreli tutulması ve çalışanların geniş erişim haklarının bulunduğunu dile getirdi.

Otorite ise bunun üzerine gerçekleştirdiği soruşturma sonrası şu sonuca vardı:

  • Madde 34 uyarınca bankanın TR'yi bilgilendirme yükümlülüğü söz konusu değildi, zira yüksek risk teşkil eden bir durum söz konusu değildi.
  • Bankanın erişim kayıtlarının saklama süresini uzatması önerildi.
  • Para cezası gibi ek düzeltici önlemlere gerek olmadığı belirtildi.

Bu sonuca itiraz eden TR, HBDI'nin GDPR Madde 58(2) uyarınca düzeltici yetkilerini kullanması gerektiğini savunarak karara itiraz etti.

Hukuki Soru

ABAD'a yönlendirilen temel mesele şuydu:

Denetleyici bir otorite, kişisel veri koruma ihlalini doğruladığında, GDPR Madde 58(2)'de belirtilen düzeltici yetkilerini (örneğin idari para cezaları) her durumda kullanmak zorunda mıdır?

Mahkemenin Kararı

ABAD, denetleyici otoritelerin her veri ihlali durumunda otomatik olarak düzeltici yetkilerini kullanmak zorunda olmadığına hükmetti. Kararın önemli noktaları şu şekilde özetlenebilir:

1. Takdir Yetkisi: Denetleyici otoriteler, Madde 58(2) uyarınca düzeltici yetkilerini kullanmanın uygun, gerekli ve orantılı olup olmadığı konusunda takdir yetkisine sahiptir.

“37 Bu bağlamda, GDPR'ın tespit edilen eksikliğin nasıl giderileceği konusunda denetleyici otoriteye takdir yetkisi bıraktığı belirtilmelidir; zira Art. 58(2), otoriteye çeşitli düzeltici önlemler alma yetkisi verir. Dolayısıyla denetleyici otorite, hangi eylemin uygun ve gerekli olduğuna karar vermeli, bunu yaparken somut olayın tüm koşullarını dikkate almalı ve GDPR'ın tam olarak uygulanmasını sağlama sorumluluğunu tüm özenle yerine getirmelidir (bu bağlamda bkz. 16 Temmuz 2020 tarihli Facebook Ireland ve Schrems, C 311/18, EU:C:2020:559, paragraf 112).

38 Ancak söz konusu takdir yetkisi, GDPR Dibace No. 7 ve 10’dan da anlaşılacağı üzere, hükümlerin etkili bir şekilde uygulanması yoluyla kişisel verilerin tutarlı ve yüksek düzeyde korunmasını sağlama ihtiyacı ile sınırlıdır.

39 GDPR Art. 58(2)(i)’de öngörülen idari para cezalarına bakıldığında, bu düzenlemenin Art. 83(2) hükmünden, bu cezaların her bir somut olayın koşullarına bağlı olarak, Art. 58(2)’de atıfta bulunulan diğer önlemlere ek olarak veya onların yerine uygulandığı anlaşılmaktadır. Ayrıca, Art. 83(2), bir idari para cezası verilip verilmeyeceğine ve cezanın miktarına karar verirken, denetleyici otoritenin her bir vakada, bu hükmün (a) ila (k) bentlerinde belirtilen faktörlere—örneğin ihlalin niteliği, ciddiyeti ve süresi gibi—gereken özeni göstermesi gerektiğini belirtir.”

2. Değerlendirme Kriterleri: Otoriteler, aşağıdakiler de dahil olmak üzere tüm koşulları değerlendirmelidir:

  • İhlalin niteliği, ciddiyeti ve süresi.
  • Veri sorumlusunun zararı hafifletmek için aldığı önlemler.
  • Denetleyici otorite ile işbirliği düzeyi.
  • Önceki ihlaller ve veri sorumlusunun uyum geçmişi.

3. Düzeltici Önlemlerin Amacı: Amaç, GDPR ile uyumu sağlamak ve eksiklikleri gidermektir; her durumda veri sorumlusunu cezalandırmak değildir.

“41 Dolayısıyla denetleyici otoritenin Art. 58(2) GDPR ya da Art. 83 GDPR hükümlerinden, kişisel verilerin ihlal edildiğini tespit ettiği her durumda, özellikle idari para cezası uygulama yetkisi olmak üzere, bir düzeltici yetki kullanma yükümlülüğü altında olduğu sonucuna varılamaz. Bu gibi durumlarda denetleyici otoritenin yükümlülüğü, tespit edilen eksikliği gidermek için uygun şekilde tepki vermektir. Bu koşullar altında, Hukuk Sözcüsü Görüşünün 81. paragrafında belirttiği gibi, hakları ihlal edilen bir şikayetçinin, denetleyici otoritenin veri sorumlusuna idari para cezası uygulamasını talep etme konusunda öznel bir hakkı yoktur.”

4. İstisnai Durumlarda Eylemsizlik: İhlale rağmen, veri sorumlusunun gelecekteki ihlalleri önlemek için yeterli düzeltici önlemleri almış olması durumunda, düzeltici yetkilerin kullanılması gerekmeyebilir.

“43 Bu bağlamda, kişisel verilerin ihlal edildiği tespit edilmiş olsa bile, denetleyici otoritenin, istisnai olarak ve somut olayın özel koşulları ışığında, bir düzeltici yetki kullanmaktan kaçınabileceği göz ardı edilemez. Bu durum, özellikle de tespit edilen ihlalin devam etmediği hallerde söz konusu olabilir. Örnek olarak Art. 24 GDPR kapsamında uygun teknik ve idari tedbirleri alan ve uygulayan veri sorumlusunun, bu ihlalden haberdar olur olmaz, başta Art. 5(2) ve 24 GDPR çerçevesindeki yükümlülükleri doğrultusunda, ihlalin sona ermesini ve tekrarlanmamasını sağlamak için uygun ve gerekli önlemleri aldığı durumlarda ihlalin devam etmediği durumlar söz konusu olabilir.”

Değerlendirme

Kişisel verilerin korunması hukuku, çok iyi hukukçuluk gerektiren bir alandır. Nitekim gündelik hayatımızda gerçekleştirdiğimiz birçok faaliyetlerimizde dahi kişisel veri işlememiz söz konusu olmaktadır. Bir kişinin kartvizitini aldığımızda, cep telefon numarasını kaydettiğimizde, resim, video gibi belgeler gönderdiğimizde kişisel veri işlemiş oluruz. Bu faaliyetler esnasında kanunlara her zaman uyumlu davrandığımız da söylenemez. Yeni tanıştığı bir kişinin telefon numarasını kaydederken ona, whatsapp sebebiyle yurtdışı veri aktarımında bulunacağına ilişkin aydınlatma yapan bir insanla henüz karşılaşmadım; bunu beklemek de hayatın olağan akışına uygun değil kanaatindeyim. Öte yandan kişisel verilerin korunması hukuku, münhasıran ilgili kişi menfaatlerine odaklanmamakta, aynı zamanda veri sorumlusunun da menfaatlerini dikkate almak zorundadır. Dolayısıyla bura iyi hukukçuluk gerektiren husus, bu iki menfaati yine hukuk düzenine uygun şekilde, hassas bir dengeye oturtmaktır.

Bu açıdan bakıldığında özellikle Almanya’daki bazı otoritelerin emredici regülasyon mantığından imtina ettiğini gözlemlemek mümkündür. Emredici regülasyon modelinde düzenleyici/denetleyici otoritenin görevini ifa ederken başvurduğu öncelikle enstrüman yaptırımdır. Buna karşılık özellikle teknoloji alanında iş birliği modellerinin tercih edildiğini gözlemlemek mümkündür. Deutsche Wohnen SE kararının sefahatine bakıldığında bunu açıkça gözlemlemek mümkündür. Nitekim Berlin Veri Koruma Otoritesi, doğrudan yaptırım uygulamak yerine önce veri sorumlusuyla toplantılar yapmış, ardından talimat vermiş, bu talimatların yerine getirilmemesi üzerine ağır yaptırım uygulamıştır.

Somut olayda da otorite, veri ihlalinin yüksek risk teşkil etmemesi ve talimatlarının yerine getirilmesi üzerine yaptırım uygulama gereksiniminin ortadan kalktığı gerekçesiyle herhangi bir yaptırım öngörmemiştir.

ABAD, ilgili kararında kişisel veri ihlalinin tespit edildiği her durumda ilgili otoritenin doğrudan yaptırım uygulama şeklinde bir yükümlülüğünün olmadığına hükmetmiştir. Gerçekten de kişisel verilerin korunması hukukunun amacı, yaptırım uygulamadan da hasıl olmuşsa, artık idarenin yaptırım uygulamaktan imtina edebilmesi mümkündür. Bir diğer ifade ile kişisel veri ihlalinin tespit edilmiş olması, otoritenin takdir yetkisini ortadan kaldırmaz, ona doğrudan yaptırım uygulama yükümlülüğü getirmez. Şayet ihlal, ölçülülük ilkesi doğrultusunda başka yöntemlerle de düzeltilebiliyorsa, otoritenin takdir yetkisini kullanıp yaptırım uygulamaktan imtina etmesi de mümkün olmalıdır.

İdarenin takdir yetkisi aynı zamanda, kişisel veri ihlaline uğrayan bireyin doğrudan idareden yaptırım uygulamasını talep etme hakkını haiz olmadığı anlamına da gelmektedir. Nitekim hak, hukuk düzenince korunan ve ilgili kişiye de bu korumadan istifade etme imkânı sağlayan bir menfaat olarak tanımlanmaktadır. Ancak kişisel veri ihlali yaşandığında idarenin yaptırım noktasında takdir yetkisi mevcutsa, bireyin idareyi yaptırım uygulamaya zorlaması da söz konusu olmayacaktır. Bilakis ilgili kişi, ilgili kanunlar çerçevesinde doğrudan veri sorumlusuna karşı taleplerde bulunabilecektir.

Türk hukuku ve uygulamasına bakıldığında ise bağımsız denetleyici ve düzenleyici otoritelerin genellikle emredici regülasyon modelini tercih ettiklerini gözlemlemek mümkündür. Buna karşılık özellikle uluslararası çapta faaliyet gösteren teknoloji şirketlerinin co-regülasyon ve self-regülasyon modellerini tercih ettiği dikkate alındığında bu farklı yaklaşımların anlaşmazlıklara sebebiyet vermesi ihtimal dahilindedir. Kanaatimizce hassas bir alan olan kişisel verilerin korunması hukuku çerçevesinde co-regülasyon modellerinin tercih edilmesi, Türkiye pazarının tercih edilmesi açısından daha isabetli bir yaklaşım olacaktır.