Avrupa Birliği Adalet Divanı GDPR İhlalinin Manevi Tazminat İçin Yeterli Olmadığına Karar Verdi

Karara Konu Olay

Karara konu olayda, Avustralyalı veri sahibinin Avusturya posta kurumuna ("Österreichische Post AG") karşı yürüttüğü hukuki ihtilaf yer alır. Buna göre, Avusturya nüfusunun siyasi eğilimleri hakkında bilgi toplayan Österreichische Post AG, çeşitli sosyal ve demografik kriterleri göz önünde bulunduran bir algoritma kullanarak hedef grup adreslerini tanımlamış ve bu şekilde elde edilen verileri, hedeflenmiş reklam gönderimi sağlamak amacıyla çeşitli kuruluşlara satmıştır.

Avusturya siyasi partilerinden biri ile ilişkilendirilen başvuran, Avusturya mahkemelerinde dava açmış ve manevi zararının tazmini için 1.000,00 Euro talep etmiştir. Başvuranın kişisel verileri üçüncü kişilere aktarılmamış olmasına rağmen, başvuran, kişisel verilerinin işlenmesine rıza göstermediğini ve söz konusu siyasi partiyle ilişkilendirilmesinden rahatsız olduğunu, sözde siyasi görüşlerine ilişkin verilerin söz konusu şirkette saklanmasının kendisinde büyük bir üzüntüye, güven kaybına ve ifşa edilmişlik hissine neden olduğunu ileri sürmüştür.

Avusturya mahkemeleri, Avusturya Hukuku uyarınca kişisel verilerin korunmasına ilişkin kuralların ihlalinin otomatik olarak manevi zararla ilişkilendirilmediği ve yalnızca zararın belirli bir "ciddiyet eşiğine" ulaşması halinde tazminat hakkının doğduğu gerekçesiyle tazminat talebini reddetmiştir.

Temyiz incelemesini gerçekleştiren Avusturya temyiz mahkemesi, aşağıdaki sorulara ilişkin bir karar vermesi için konuyu Adalet Divanı’na havale etmiştir:

1. GDPR madde 82 (1), GDPR hükümlerinin tek başına ihlal edilmiş olmasının ilgili kişinin tazminat talebinde bulunması için yeterli olduğu şeklinde mi yorumlanmalıdır?
2. Manevi tazminat talebinin kabulü açısından, GDPR madde 82 (1), veri sahibinin uğradığı zararın tazminini zararın belirli bir ciddiyet eşiğine ulaşmış olması koşuluna tabi kılan ulusal bir kural veya uygulamayı engelleyecek şekilde mi yorumlanmalıdır?
3. Ulusal mahkemeler, tazminat bedelinin belirlenmesine ilişkin olarak her bir Üye Devletin kendi iç kurallarını mı uygulamalıdır?

Adalet Divanı’nın Kararı

Soru 1: GDPR madde 82 (1), GDPR hükümlerinin tek başına ihlal edilmiş olmasının ilgili kişinin tazminat talebinde bulunması için yeterli olduğu şeklinde mi yorumlanmalıdır?

GDPR madde 82 (1) aşağıdaki gibidir:

"Bu Tüzüğün ihlali sonucunda maddi veya manevi zarara uğrayan herhangi bir kişi, uğradığı zarar için veri sorumlusu veya işleyenden tazminat talep etme hakkına sahiptir."

Adalet Divanı, GDPR'ın "maddi veya manevi zarar" ve "uğranılan zararın tazmini" kavramlarına ilişkin olarak Üye Devletlerin iç hukukuna herhangi bir atıfta bulunmaması nedeniyle, bu kavramları GDPR'ın uygulanması amacıyla, tüm Üye Devletlerde yeknesak bir şekilde yorumlanması gereken AB hukukunun özerk kavramları olarak kabul eder.

Bununla birlikte Adalet Divanı, öncelikle hükmün lafzını değerlendirir. Adalet Divanı’na göre, hükmün lafzından, aşağıdaki koşulların kümülatif olarak mevcut olması gerektiği açıkça anlaşılır;

• "Mevcut bir zararın” varlığı,
• GDPR hükümlerinin ihlal edilmiş olması,
• Oluşan zarar ile bu ihlal arasında bir nedensellik bağının bulunması.

Kararda, AB yasama organının GDPR'ın ihlalinin tazminat hakkı için yeterli olabileceğini düşünmüş olması halinde, GDPR madde 82 (1)'de "zarar" ve "ihlale" ayrı ayrı atıfta bulunulmasının gereksiz olacağının altı çizilir. Ayrıca, Adalet Divanı idari para cezalarının ve diğer cezaların uygulanmasına izin veren GDPR madde 83 ve 84’ün de esasen cezalandırıcı bir amaca sahip olduğunu ve bireysel zararın varlığına bağlı olmadığını belirterek bu argümanı destekler.

Soru 2: Manevi tazminat talebinin kabulü açısından, GDPR madde 82 (1), veri sahibinin uğradığı zararın tazminini zararın belirli bir ciddiyet eşiğine ulaşmış olması koşuluna tabi kılan ulusal bir kural veya uygulamayı engelleyecek şekilde mi yorumlanmalıdır?

Bu soruya ilişkin olarak Adalet Divanı, Üye Devletlerin iç hukukuna atıfta bulunulmadığı için "manevi zarar" kavramına AB hukukuna özgü özerk ve yeknesak bir tanım verilmesi gerektiğini hatırlatır. Buna göre, GDPR madde 82 (1), herhangi bir ciddiyet eşiğine atıfta bulunulmaksızın "manevi zararın" tazminat hakkı doğurabileceğini ifade eder. Ayrıca, GDPR 146 numaralı resitalde "zarar kavramının Adalet Divanı içtihadı ışığında bu Tüzüğün amacını tam olarak yansıtacak şekilde geniş yorumlanması gerektiği" belirtilir. Dolayısıyla, "zarar" kavramını yalnızca belirli bir ciddiyet eşiğine ulaşmış zararla sınırlandırmak, bu kavramın geniş yorumlanması gerekliliğine aykırı olacaktır.

Karar, manevi zararların tazminini belirli bir ciddiyet eşiğine tabi tutmanın GDPR tarafından oluşturulan kuralların tutarlılığını zayıflatma riski taşıyacağının altını çizer. Zira böyle bir eşik, davayı gören mahkemelerin değerlendirmesine göre değişkenlik gösterecektir. Bununla birlikte, Adalet Divanı her halükârda GDPR hükümlerinin ihlali nedeniyle olumsuz sonuçlara maruz kalan bir kişinin bu sonuçların GDPR madde 82 anlamında manevi zarar teşkil ettiğini kanıtlamak zorunda olduğunu belirtir.

Soru 3: Ulusal mahkemeler, tazminat bedelinin belirlenmesine ilişkin olarak her bir Üye Devletin kendi iç kurallarını mı uygulamalıdır?

Son soruya ilişkin Adalet Divanı, GDPR hükümlerinin ihlal edilmesi yoluyla zarara uğrayan veri sahibine ödenmesi gereken tazminat tutarının belirlenmesine ilişkin herhangi bir değerlendirmenin GDPR’da yer almadığına dikkat çeker.  Bu nedenle, ödenmesi gereken tazminat tutarının belirlenmesine yönelik kriterler her Üye Devletin kendi hukuk sistemine göre belirlenmelidir. Ancak Adalet Divanı, AB hukukunun eşitlik ve etkililik ilkelerine uyulması gerektiğinin altını çizer. Etkililik ilkesi, ulusal hukukun AB hukuku doğrultusunda yorumlanması, ulusal hukukun çelişkili hükümlerinin uygulanmaması ve AB hukuku ihlallerinden kaynaklanan sonuçların geçersiz kılınması gerekliliklerini ifade eder. Etkililik ilkesi aynı zamanda, bireylerin AB hukukundan kaynaklanan haklarının korunmasına yönelik eylemleri düzenleyen ayrıntılı usul kurallarının, bu hakların kullanılmasını pratikte imkânsız kılmaması veya aşırı derecede zorlaştırmaması gerektiği anlamına gelir. Eşitlik ilkesi ise, Üye Devletlerin AB hukuku kapsamındaki konulara tamamen ulusal konulardan daha az elverişli davranmamasını gerektirir.

Sonuç

Sonuç olarak, bu kararın GDPR madde 82 ile ilgili tartışılan birçok konuya açıklık getirdiği açıktır. Örnek olarak, GDPR hükümlerinin ihlalinden kaynaklanan bir zararın mevcut olması gerektiği, bu zararın asgari bir ciddiyet eşiğine ulaşmasının aranmadığı ve tazminat miktarının eşitlik ve etkililik ilkeleri göz önünde bulundurularak Üye Devletlerin iç hukukuna uygun şekilde belirlenmesi gerektiği açıklığa kavuşturulmuştur. Buna karşılık, Adalet Divanı ispat yükünün davacı üzerinde olduğunu belirtilmekle birlikte, manevi zararın nasıl ispat edileceğinin detayına girmemiştir. Bu bakımdan, GDPR madde 82’nin manevi zarar taleplerine ilişkin uygulanması açısından hala cevaplanması gereken sorular olduğu söylenebilir.