Avrupa Birliği Adalet Divanı ("Divan"), 26 Eylül 2024 tarihli kararında veri koruma otoritelerinin her bir veri ihlalinde cezai yaptırım uygulamak zorunda olmadığına, özellikle de veri sorumlusunun gerekli önlemleri almış olduğu durumlarda yaptırımlardan kaçınılabileceğine hükmetmiştir. Ancak kararında bu takdir yetkisinin Genel Veri Koruma Tüzüğü'nün ("GDPR") güçlü ve tutarlı bir şekilde uygulanmasını sağlamak amacıyla sınırlı olduğu vurgulamıştır.
Karara Konu Olayın Arka Planı
Almanya'daki bir tasarruf bankası, çalışanlarından birinin yetkisi olmadığı halde bir müşterinin kişisel verilerine defalarca eriştiğini tespit etmiştir. Banka, banka bünyesindeki veri koruma görevlisinin bu ihlalin yüksek bir risk oluşturmadığı yönündeki değerlendirmesine dayanarak söz konusu yetkisiz erişim hakkında müşteriyi bilgilendirmemiştir. Ayrıca çalışan, verileri kopyalamadığını, saklamadığını ve üçüncü kişilere aktarmadığını yazılı olarak teyit etmiş, banka ise çalışan hakkında disiplin tedbirleri almıştır. Buna rağmen, banka, ihlali Hessen Eyaleti Veri Koruma Otoritesi'ne ("Otorite") bildirmiştir. Müşteri ise bu durumu tesadüfen öğrenmiş ve Otorite'ye şikayette bulunmuştur.
Otorite Tarafından Yapılan İnceleme
Otorite, bankanın konuya ilişkin savunmasından sonra bankanın ihlal sonrasında gerekli önlemleri aldığını değerlendirerek düzeltici bir yetki kullanmaya ihtiyaç duymamış ve bankaya herhangi bir cezai yaptırım uygulamamıştır. Akabinde müşteriye, bankaya karşı düzeltici bir yaptırım uygulamayı gerekli görmediğini bildirmiştir. Bu bildirim üzerine müşteri, bir Alman Mahkemesinde dava açarak Otorite'nin tasarruf bankasına karşı harekete geçmesini ve özellikle de para cezası uygulamasını talep etmiştir. Alman Mahkemesi ise Divan'dan GDPR'ı yorumlamasını talep etmiştir.
Divan Tarafından Yapılan İnceleme
Divan, kişisel verilere ilişkin bir ihlal tespit edildiğinde Otorite'nin tespit edilen eksikliğin giderilmesi ve GDPR'ın tam olarak uygulanmasını sağlamak için gerekli olmadığı durumlarda, düzeltici yetkilerini – özellikle idari para cezası uygulama yetkisini – kullanmak zorunda olmadığını belirtmiştir.
Ancak bu durum, veri sorumlusunun ihlalin farkına varır varmaz gerekli önlemleri alarak ihlali sona erdirdiği ve tekrarlanmasını önlediği hallerde söz konusu olabileceğini de vurgulamıştır. GDPR'ın veri koruma otoritelerine tespit edilen eksikliğin nasıl giderileceğine ilişkin bir takdir yetkisi tanıdığını; ancak bu takdir yetkisinin, GDPR'ın güçlü bir şekilde uygulanması ve kişisel verilerin yüksek düzeyde korunmasının sağlanması amacıyla sınırlı olduğunu da belirtilmiştir. Otorite'nin bu sınırlar dahilinde hareket edip etmediğini tespit etmenin ise Alman Mahkemesinin sorumluluğunda olduğu ifade edilmiştir.
İlgili karara bu linkten ulaşabilirsiniz: https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-09/cp240149en.pdf
Kişisel Verilerin Korunması & Gizlilik Hukuku konularına dair sorularınızı ve destek taleplerinizi info@dkb-legal.com adresinden bize iletebilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.