ARTICLE
15 October 2024

Her Veri İhlalinde Cezai Yaptırım Uygulanmalı Mı?

DL
DKB Legal Consultancy & Compliance

Contributor

DKB Legal Consultancy & Compliance logo
DKB Legal was founded by Didem Kalaycıoğlu Birol and based in Istanbul, Turkey. DKB Legal provides consultancy and compliance management services to local and foreign clients, particularly in the areas of Personal Data Protection, Telecommunications Law, Competition Law, E-Commerce & Consumer Law.
Avrupa Birliği Adalet Divanı , 26 Eylül 2024 tarihli kararında veri koruma otoritelerinin her bir veri ihlalinde cezai yaptırım uygulamak zorunda olmadığına, özellikle de veri sorumlusunun gerekli önlemleri almış olduğu durumlarda yaptırımlardan kaçınılabileceğine hükmetmiştir.
Turkey Privacy

Avrupa Birliği Adalet Divanı ("Divan"), 26 Eylül 2024 tarihli kararında veri koruma otoritelerinin her bir veri ihlalinde cezai yaptırım uygulamak zorunda olmadığına, özellikle de veri sorumlusunun gerekli önlemleri almış olduğu durumlarda yaptırımlardan kaçınılabileceğine hükmetmiştir. Ancak kararında bu takdir yetkisinin Genel Veri Koruma Tüzüğü'nün ("GDPR") güçlü ve tutarlı bir şekilde uygulanmasını sağlamak amacıyla sınırlı olduğu vurgulamıştır.

Karara Konu Olayın Arka Planı

Almanya'daki bir tasarruf bankası, çalışanlarından birinin yetkisi olmadığı halde bir müşterinin kişisel verilerine defalarca eriştiğini tespit etmiştir. Banka, banka bünyesindeki veri koruma görevlisinin bu ihlalin yüksek bir risk oluşturmadığı yönündeki değerlendirmesine dayanarak söz konusu yetkisiz erişim hakkında müşteriyi bilgilendirmemiştir. Ayrıca çalışan, verileri kopyalamadığını, saklamadığını ve üçüncü kişilere aktarmadığını yazılı olarak teyit etmiş, banka ise çalışan hakkında disiplin tedbirleri almıştır. Buna rağmen, banka, ihlali Hessen Eyaleti Veri Koruma Otoritesi'ne ("Otorite") bildirmiştir. Müşteri ise bu durumu tesadüfen öğrenmiş ve Otorite'ye şikayette bulunmuştur.

Otorite Tarafından Yapılan İnceleme

Otorite, bankanın konuya ilişkin savunmasından sonra bankanın ihlal sonrasında gerekli önlemleri aldığını değerlendirerek düzeltici bir yetki kullanmaya ihtiyaç duymamış ve bankaya herhangi bir cezai yaptırım uygulamamıştır. Akabinde müşteriye, bankaya karşı düzeltici bir yaptırım uygulamayı gerekli görmediğini bildirmiştir. Bu bildirim üzerine müşteri, bir Alman Mahkemesinde dava açarak Otorite'nin tasarruf bankasına karşı harekete geçmesini ve özellikle de para cezası uygulamasını talep etmiştir. Alman Mahkemesi ise Divan'dan GDPR'ı yorumlamasını talep etmiştir.

Divan Tarafından Yapılan İnceleme

Divan, kişisel verilere ilişkin bir ihlal tespit edildiğinde Otorite'nin tespit edilen eksikliğin giderilmesi ve GDPR'ın tam olarak uygulanmasını sağlamak için gerekli olmadığı durumlarda, düzeltici yetkilerini – özellikle idari para cezası uygulama yetkisini – kullanmak zorunda olmadığını belirtmiştir.

Ancak bu durum, veri sorumlusunun ihlalin farkına varır varmaz gerekli önlemleri alarak ihlali sona erdirdiği ve tekrarlanmasını önlediği hallerde söz konusu olabileceğini de vurgulamıştır. GDPR'ın veri koruma otoritelerine tespit edilen eksikliğin nasıl giderileceğine ilişkin bir takdir yetkisi tanıdığını; ancak bu takdir yetkisinin, GDPR'ın güçlü bir şekilde uygulanması ve kişisel verilerin yüksek düzeyde korunmasının sağlanması amacıyla sınırlı olduğunu da belirtilmiştir. Otorite'nin bu sınırlar dahilinde hareket edip etmediğini tespit etmenin ise Alman Mahkemesinin sorumluluğunda olduğu ifade edilmiştir.

İlgili karara bu linkten ulaşabilirsiniz: https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-09/cp240149en.pdf

Kişisel Verilerin Korunması & Gizlilik Hukuku konularına dair sorularınızı ve destek taleplerinizi info@dkb-legal.com adresinden bize iletebilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More