VB / Natsionalna agentsia za prihodite, C-340/21

VB / Natsionalna agentsia za prihodite, C-340/21
Photo by Christian Lue / Unsplash

Olay:
Olayda Bulgaristan Maliye Bakanlığı'na bağlı bir kurum olan NAP'ın bilgi teknolojisi sistemine yapılan yetkisiz erişim sonucunda kişisel veri ihlali meydana gelmiş, bu ihlalden etkilenen kişiler de NAP'a karşı manevi tazminat davası açmışlardır. Bu bağlamda Varhoven administrativen sad (Yüksek İdare Mahkemesi) tarafından Avrupa Adalet Divanı’na yöneltilen ön soru kapsamında kişisel veri ihlalinin meydana gelmesinin doğrudan veri sorumlusu tarafından alınan önlemlerin yetersiz olduğu sonucunu doğurup doğurmayacağı, kişisel veri ihlalinin üçüncü taraflarca gerçekleştirilmesi halinde veri sorumlusunun sorumluluğunun ortadan kalkıp kalkmayacağı ve nihayet gelecekte kişisel verilerin kötüye kullanılmasından kaynaklanan korkuların manevi zarar olarak nitelendirilip nitelendirilmeyeceğini sormuştur.
Karar:
Art. 32 f. 1 ve 2’de kullanılan “riske uygun koruma seviyesi“ ve “uygun koruma seviyesi“ kavramlarından da anlaşılacağı üzere risk yönetim sistemi kurulmalı; ancak bu önlemlerin mutlak surette her türlü veri ihlalini önlemesi beklenmeyecektir. Söz konusu önlemlerin uygun olup olmadığı noktasında somut olay şartlarının değerlendirilmesi gerekmektedir. Dolayısıyla üçüncü kişi tarafından gerçekleştirilen yetkisiz erişim faaliyeti başlı başına veri sorumlusunun gerekli önlemleri almadığı şeklinde yorumlanamayacaktır. Kaldı ki aksine bir yorum, hesap verilebilirlik ilkesini anlamsız kılacaktır. Zira veri sorumlusunun somut riskleri dikkate alarak gerekli bütün önlemleri aldığını belgeleyebilmesi beklenmektedir (Kn. 29-32).
Her ne kadar veri sorumlusu, hangi uygun tedbirleri alacağı noktasında takdir yetkisine sahip olsa da, ulusal mahkemeler, veri sorumluları tarafından alınan önlemlerin Tüzük tarafından öngörülen koruma seviyesine uygun olup olmadığını denetleyebilmelidirler. Dolayısıyla mahkeme, münhasıran veri sorumlusunun aldığı önlemleri tespit etmekle yetinemeyecek, bu önlemlerin somut olayda olması gereken koruma seviyesi açısından uygun olup olmadığını da denetleyecektir (Kn. 43-46).
Kişisel verilerin korunması hakkını hukuka aykırı şekilde ihlal eden davranış, veri sorumlusu dışında üçüncü bir kişi tarafından gerçekleştirilmişse, bu kişinin fiilinin veri sorumlusuna isnat edilebilmesi için veri sorumlusunun Art. 5 f. 1. B. f), Art. 24 ve Art. 32’den kaynaklanan yükümlülüklerine aykırı davrandığının ve bu sayede üçüncü kişinin davranışını mümkün hale getirdiğinin tespit edilmesi gerekmektedir. Bir diğer ifade ile veri sorumlusu, veri güvenliğine ilişkin yükümlülükleri ile üçüncü kişinin fiili arasında herhangi bir illiyet bağının bulunmadığını ispat ettiği takdirde artık sorumluluktan kurtulacaktır (Kn. 71-72).
Son olarak Divan, kişisel verilerin gelecekte amaca aykırı şekilde kullanılmasından doğan kaygının da başlı başına manevi tazminat talep hakkı doğurabileceğine işaret etmiştir (Kn. 85).