Avrupa Birliği Adalet Divanı Kararı: Veri İhlallerinde Denetleyici Otoritelerin Takdir Yetkisi ve Orantılılık İlkesi
Avrupa Birliği Adalet Divanı ("ABAD") tarafından verilen oldukça yakın tarihli bir karar; kişisel verilerin korunması alanındaki denetleyici otoritelerin yaptırım uygulama yükümlülüğü ile yine bu otoritelerin sahip olduğu takdir yetkisi arasındaki dengenin nasıl kurulması gerektiğine ilişkin değerli bir bakış açısı getiriyor.
ABAD'ın C-768/21 sayılı ve 26 Eylül 2024 tarihli bu kararı; Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") kapsamında denetleyici otoritelerin veri ihlallerinde zorunlu olarak bir yaptırım uygulama yükümlülüğünde olmadığını, orantılılık ilkesine uygun olarak somut durumun değerlendirilmesi gerektiğini vurgulayarak "GDPR'ın sadece cezalandırıcı değil, aynı zamanda uyumu teşvik edici bir düzenleme olduğunun" da altını çiziyor.
Kararın Özeti
Karara konu olayda; Sparkasse X adlı bir bankanın çalışanının, banka müşterisi TR'ye ait kişisel verilere hukuka aykırı şekilde erişim sağladığı banka tarafından tespit ediliyor ancak bu ihlal GDPR'ın 34. maddesi kapsamında "yüksek risk" olarak değerlendirilmediğinden, banka; yetkili veri koruma otoritesi olan Hessen Veri Koruma ve Bilgi Özgürlüğü Komiserliği'ne ("HBDI") ihlal bildirim yapsa da müşteri TR'yi doğrudan bilgilendirmemeyi tercih ediyor.
GDPR kapsamında; veri ihlal durumlarında risk temelli bir yaklaşık benimsenmekte ve ihlal, ilgili kişilerin temel hak ve özgürlüklerine ne derece etki ettiğine göre risk kategorilerine ayrılmaktadır. Yine bu yaklaşım kapsamında bir ihlalin ancak "yüksek risk" kategorisinde olması durumunda veri sorumlusunun ilgili kişileri ihlalden haberdar etme zorunluluğu bulunmaktadır.
Müşteri TR bu durumu farklı bir kanaldan öğrendiğinde, HBDI'ye konu hakkında şikâyette bulunuyor. Ancak HBDI, söz konusu ihlalin yüksek risk teşkil etmediği ve bankanın gerekli güvenlik önlemlerini aldığı gerekçesiyle, herhangi bir cezai yaptırım uygulanmamasına karar veriyor.
Müşteri TR daha sonra, HBDI kararını temyiz ederek bir üst yargı makamı olan ABAD'a taşısa da ABAD tarafından verilen karar da denetleyici otoritenin kararı ile paralel yönde çıkıyor.
Kararda Öne Çıkanlar
ABAD'ın "orantılılık" ilkesine vurgu yaptığı ve GDPR'ın amacının salt veri sorumlularını cezalandırmak değil, veri sorumlularının veri güvenliği kurallarına uygun davranmalarını sağlamak olduğunu belirttiği kararda öne çıkanları şu üç başlık altında ele alabiliriz:
Otoritelerin Takdir Yetkisi
GDPR'ın 58. maddesi, GDPR kurallarının uygulanması bakımından ulusal denetleyici otoritelere geniş yetkiler tanıyor.
Bu yetkiler arasında veri ihlallerine ilişkin denetimler, veri sorumlularından bilgi talep etme, ihlalin durdurulması için veri sorumlusuna talimat verme ve para cezası uygulama yetkisi de yer alıyor.
Ancak GDPR; denetleyici otoritelere her veri ihlali durumunda mutlaka cezai yaptırım uygulama zorunluluğu getirmiyor ve bu konuda otoritelere önemli bir takdir yetkisi bırakıyor.
ABAD da bu kararında her veri ihlalinin illaki cezai bir yaptırımla sonuçlanmak zorunda olmadığını belirtiyor.
Orantılılık İlkesi ve Değerlendirme Kriterleri
AB hukukunda temel hak ve özgürlükler bağlamında önemli bir yer işgal eden "orantılılık" kavramı, kişisel verilerin korunması alanında da temel değerlendirme kriterlerinden birisi olarak karşımıza çıkıyor.
Bu kapsamda orantılılık ilkesi bize; veri ihlallerinde uygulanacak yaptırımların sadece ihlalin ciddiyeti ile belirlenmemesi gerektiğini, aynı zamanda veri sorumlusunun ihlali düzeltmeye yönelik çabalarının da dikkate alınması gerektiğini söylüyor.
Karar kapsamında ABAD da orantılılık ilkesi ekseninde bir değerlendirme yapmış ve denetleyici otoritelerin; veri ihlalinin niteliği, ciddiyeti, veri sorumlusunun ihlale dair aldığı tedbirler ve otorite ile kuracağı iş birliği düzeyi gibi unsurları dikkate alarak yaptırıma karar vermesi gerektiğini ve önceliğin cezai yaptırımın uygulanmasından ziyade ihlalin giderilmesi yönünde olması gerektiğini vurgulamıştır.
Veri Sorumlusunun Uyumu
ABAD kararında öne çıkan diğer bir değerlendirme de, veri sorumlusunun veri güvenliğinin sağlanmasına yönelik kurallara ne derece uyum gösterdiğinin dikkate alınması gerektiği.
Buna göre ABAD tarafından da vurgulandığı üzere örneğin bir veri sorumlusu, -ihlal sonrasında- ihlali giderici önlemleri yeterince hızlı ve etkili bir şekilde almışsa; denetleyici otorite tarafından kendisine herhangi bir yaptırım uygulanmaması seçeneği değerlendirilebilir.
Türkiye'de Kişisel Verileri Koruma Kurulu'nun Veri İhlallerine Yaklaşımı
Bilindiği üzere Türkiye'de kişisel verilerin korunmasına ilişkin temel düzenleme, 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ("KVKK") ve ikincil düzenlemeler ile sağlanmaktadır.
KVKK, GDPR'daki ilkesel düzenlemelere dayalı bir yapıya sahip olsa ve halihazırda KVKK'yı GDPR ile uyumlaştırma sürecine devam edilse de iki hukuk sistemi arasında bazı önemli farklar bulunuyor.
Bunlardan "veri ihlali" konusu özelinde en önemlisi ise lafız olarak GDPR'ın risk temelli bir yaklaşım içerirken, KVKK'nın böyle bir yaklaşıma sahip olmamasıdır. Dolayısıyla, veri sorumluları GDPR kapsamında gerekli risk değerlendirmeleri sonrasında ilgili kişiye veya yetkili otoriteye bildirim yapmama kararını verebilirlerken, KVKK kapsamında bu mümkün değildir.
Öte yandan, KVKK'nın 12. maddesinin 5. fıkrasına bakıldığında veri ihlalinin aslında sadece "kişisel verilerin başkaları tarafından elde edilmesi" ile sınırlı şekilde ele alındığı görülmektedir.
Her ne kadar salt bu tanımdan yola çıkıldığında verinin gizliliği, bütünlüğü ve erişebilirliğini etkileyen durumların hepsi KVKK kapsamında bir veri ihlali olarak nitelendirilemeyecekse de, Kurul'un bugüne kadarki yaklaşımının daha geniş olduğunu ve yukarıda anılan kriterlerden birisinin etkilenmesi durumlarını "veri güvenliğinin sağlanamaması" gerekçesi ekseninde bir veri ihlali olarak ele aldığını görmekteyiz. Bu durumun GDPR ile uyumlu bir yaklaşım olduğunu söylenebilir.
Öte yandan veri ihlalinin niteliğinden veri ihlallerine uygulanan yaptırımlara -kamuya açıklanan kararlar üzerinden- bakıldığında ise Kurul'un AB'deki denetleyici otoriteler ile kıyaslandığında daha katı ve cezai yaptırımları ön planda tutan bir yaklaşım benimsediği sonucuna varılabilir.
Kanun'un 18.maddesinde veri sorumlularının Kanun'a aykırı fiillerinden dolayı Kurul tarafından uygulanacak yaptırımlara ilişkin düzenlemeler yer almakta olup maddenin veri güvenliği yükümlülüklerine dair kısmı şu şekildedir:
"Bu Kanunun;
...b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında15.000 (Güncel tutar: 141.934 TL) Türk lirasından 1.000.000 (Güncel tutar: 9.463.213 TL) Türk lirasına kadar,....idari para cezası verilir."
Maddede atıf yapılan yükümlülüklerin veri sorumlusu tarafından yerine getirilmemesi durumunda idari para cezası uygulanacağı şeklinde karşımıza çıkan düzenlemenin; Kurul'a yalnızca para cezasının miktarını belirleme konusunda bir takdir yetkisi tanıdığı, öte yandan bir veri ihlalinin olduğu her durumda bir para cezası uygulama yükümlülüğü getirdiği söylenebilir mi?
Kurul'un mevcuttaki pratiğinin kaynağının bu olup olmadığına dair kesin bir yorum yapmamız mümkün olmasa da veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini ihlal ettiği durumların çoğunluğunda Kurul'un ceza uyguladığı görülmektedir.
Bu noktada Kurul'un, veri sorumlularının veri güvenliğine ilişkin yükümlülükleri yerine getirse dahi veri ihlali ile karşılaştıkları durumlarda ise herhangi bir idari yaptırım uygulamadığının da bilindiğini not etmek gerekir.
Dolayısıyla, buradaki kritik konu Kurul'un veri güvenliği yükümlülüklerini tam yerine getirmese de ihlal sonrasında gerekli yükümlülükleri yerine getiren ve veri ihlalinin niteliği vb. diğer şartları sağlayan veri sorumlularına yaptırım uygulayıp uygulamayacağıdır.
Özetle, iki sistemi karşılaştırmak gerekirse yazılış biçimi itibariyle GDPR'ın, esneklik ve uyumu teşvik eden bir yapı sunduğu, KVKK'nın ise daha katı bir düzenleyici model benimsediği söylenebilir.
Sonuç
Avrupa Birliği Adalet Divanı'nın C-768/21 sayılı TR / Land Hessen kararı, GDPR'ın uygulanmasında denetleyici otoritelerin takdir yetkilerini vurgulayan önemli bir yorum sunuyor. ABAD'ın karardaki bakış açısı bize aynı zamanda; denetleyici otoritelerin kişisel veri ihlallerinde salt cezalandırıcı bir yaklaşımdan ziyade, caydırıcı ve yapıcı yaklaşım ile sürece eğilmeleri gerektiğini gösteriyor.
ABAD'ın bu kararının, Türkiye'de kişisel veri ihlallerine yaklaşımda da belirli esnekliklerin benimsenmesi açısından emsal teşkil edebileceğini değerlendiriyoruz.
Özellikle, kişisel verilerin işlenmesinde olduğu gibi kişisel verilere ilişkin ihlallerin de değerlendirilmesinde de orantılılık ilkesinin önemine vurgu yapan bu karar; veri sorumluları ile denetleyici otoriteler arasında iş birliği odaklı bir düzenleyici yaklaşımın da önünü açabilir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
