I. GİRİŞ
Kişisel verilerin gizliliğinin
ihlal edilmesi ya da hukuka aykırı şekilde işlenmesi gibi durumlarda uğradığı
zararların tazmini için tazminat talep edebileceği Kişisel Verileri Koruma
Kanunu`nda (KVKK) düzenlenmiştir. KVKK`nın 14`üncü maddesinin (3) numaralı fıkrası,
“Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı
saklıdır.” şeklindedir.
Bu hüküm çerçevesinde, ihlal
durumunda ilgili kişilerin Kişisel Verileri Koruma Kurulu`ndan tazminata karar
verilmesini talep edip edemeyeceği veya sadece genel mahkemelere başvuru
yoluyla mı talepte bulunabileceği hususlarının kanunda açık bir düzenleme
olmaması sebebiyle tartışmalı olduğu kabul edilmektedir. [1] Ancak tazminat
yolunun Kanun`da düzenlenen yaptırım türlerinden biri olması, bu yetkinin
kullanılmasının KVK Kurumu`nda olduğu anlamına gelmeyeceği, Kurum`un temelde
idari denetim, düzenleme ve yaptırım uygulama şeklinde fonksiyonuna uygun düşmeyeceği
ve her halükârda zararın tespiti ve zarar miktarının yargı mercilerinin
yetkisinde olan bir konu olduğu dikkate alınmalıdır. [2] KVK Kurulu`nun çeşitli
kararlarında, bu görüş ile uyumlu olacak şekilde, bir kişinin kişisel veri
ihlalleri sebebiyle zarara uğraması ve bu zarar sebebiyle bir tazminat
talebinde bulunması halinde, söz konusu talep ile ilgili genel mahkemelerde
dava açabileceği belirtilmiştir. [3]
KVKK`daki bu düzenlemenin, Avrupa
Birliği mevzuatındaki karşılığı Avrupa Birliği Veri Koruma Tüzüğü`nün (GDPR)
82. maddesinde yer almaktadır. Madde 82 uyarınca, GDPR kapsamında bir ihlal
sonucu maddi veya manevi zarar gören herhangi bir kişi, meydana gelen zarar
için veri sorumlusu veya veri işleyicisinden tazminat alma hakkına sahiptir.
GDPR kapsamında gerçekleşen veri ihlallerine yönelik tazminat taleplerinin
dayanağını bu madde oluşturur.
Bu maddeye dayanarak ulusal
mahkemelerde açılan çok sayıda dava olmakla ve ulusal mahkemeler nezdinde
içtihatlar gelişmekle birlikte [4], Avrupa Adalet Divanı`nın (ABAD) bu hususta
bir içtihadı bulunmamaktadır. [5] Ancak Avusturya Yüksek Mahkemesi`nin
(Oberster Gerichtshof) ön karar prosedürü ile ABAD`a maddenin yorumlanması için
yönelttiği sorular kapsamında, ABAD ilk defa “C- 300/21
UI v. Österreichische Post AG” davasında bu maddenin yorumunu içeren bir karar
verecektir.
Ön karar prosedürü gereği,
Divan`ın kararı öncesinde Hukuk Sözcüsü görüş bildirmektedir. ABAD Hukuk Sözcüsü Sanchez- Bordona, bu
davaya ilişkin görüşünü 6 Ekim 2022 tarihinde açıklamıştır. [6] Hukuk
Sözcüsü`nün görüşü, Divan için bağlayıcı olmayıp, temel işlevi karar ile ilgili
müzakereleri yürütürken hâkimlere yardımcı olmaktadır. Ancak bu görüşlerin,
uygulamada çoğunlukla Divanca takip edildiği görülmektedir. Bu nedenle, ilk kez verilecek bu karara
ilişkin bildirilen bu görüş uluslararası düzeyde yankı bulmuş olup,
akademisyenler ve uygulamacılar tarafından tartışılmıştır.
İşbu yazı kapsamında öncelikle
ulusal mahkemede görülen uyuşmazlık ve ön karar için yönetilen sorular ele
alınacaktır. Üçüncü kısımda, Hukuk Sözcüsü`nün Divan`a yöneltilen sorular
hakkındaki görüşü özetlenecek ve dördüncü kısımda bu görüşe ilişkin
değerlendirmelere yer verilecektir.
II. ULUSAL
MAHKEMEDE GÖRÜLEN DAVADAKİ UYUŞMAZLIK VE ÖN KARAR İÇİN
YÖNELTİLEN SORULAR
Ön karara yol
açan anlaşmazlık, Österreichische Post AG (Avusturya Posta Servisi)`ye karşı
kişisel verilerinin yasa dışı şekilde işlemesi sebebiyle manevi tazminat istemine
ilişkindir. Davacının iddiasına göre, davalı kurum tarafından rızası
alınmaksızın kişisel verileri işlenmiş ve bir algoritma yardımıyla aşırı sağ
bir partiye oy verme olasılığının yüksek olduğu tespit edilmiştir. Davacı,
siyasi parti tercihine ilişkin bu hatalı profillemenin aşağılayıcı ve utanç
verici olduğunu ve itibarının zedelendiğini ileri sürerek, manevi zararları
için 1.000 avro tutarında tazminat talep etmiştir.
İlk derece
mahkemesi ve ikinci derece mahkemesi, davacının duyduğu üzüntü ve rahatsızlık
gibi duyguların tazminat hakkı doğurmak için gerekli eşiğin altında olduğunu
göz önünde bulundurarak davacının tazminat talebini reddetmiştir. Bunun üzerine
dava, Avusturya Yüksek Mahkemesi`nin (Oberster Gerichtshof) önüne gelmiş ve
davacının taleplerinin dayandığı GDPR`ın 82. maddesinin yorumlanması için
aşağıdaki üç soru, Yüksek Mahkeme tarafından ön karar başvurusu ile Avrupa
Birliği Adalet Divanı`na yöneltilmiştir.
Bu sorular
aşağıdaki gibidir:
1- 82.
madde uyarınca tazminat ödenmesi için GDPR hükümlerinin ihlalinin yanı sıra, başvuranın
zarar görmüş olması gerekir mi; yoksa GDPR hükümlerinin ihlali, tazminat
ödenmesi için tek başına yeterli midir?
2- Tazminat
hesaplanırken, etkinlik ve eşdeğerlik ilkelerinin yanı sıra AB hukukunun kapsamındaki
diğer düzenlemelere de bakılmalı mıdır?
3- Veri
ihlali, rahatsızlık ve üzüntü duygusunun ötesine geçen ağırlığa sahip bir sonuca
neden olduğu takdirde manevi zararlar için tazminat ödeneceği görüşü AB hukuku
ile uyumlu mudur?
İşbu yazı kapsamında, manevi
tazminatın şartlarının sağlanıp sağlanmadığı ve tazminat tutarın ilişkin
Divan`a üç ayrı soru yöneltilmekle birlikte, bu sorulardan, manevi tazminatın
niteliğine ve şartlarına ilişkin olan 1 ve 3 numaralı sorulara ilişkin Hukuk
Sözcüsü`nün yorumlarına yer verilecektir.
III. HUKUK
SÖZCÜSÜ`NE YÖNELTİLEN SORULARA İLİŞKİN GÖRÜŞÜ
Hukuk Sözcüsü Sánchez- Bordona,
ilk soru açısından, GDPR kapsamında zararlara ilişkin uygulamaların
cezalandırıcı veya caydırıcı işlevi olmadığı tespitinde bulunmaktadır.
Hukuk Sözcüsü`ne göre, bir
ihlalin otomatik şekilde tazminata dayanak oluşturabileceği iki durum bulunmaktadır:
ilki cezai tazminat, ikincisi çürütülemez zarar karinesidir. Ancak her iki
durum da GDPR metninde düzenlemediği gibi, GDPR`ın hazırlık belgelerinde de yer
almamaktadır. Hukuk Sözcüsü`nün görüşü, GDPR`da cezalandırıcı ve telafi edici
hukuki mekanizmaların ayrıldığı kabulüne dayanmaktadır. İlkinin karşılığı
denetleyici makamlar tarafından verilen para cezaları iken, ikincisinin karşılığı
tazminat talepleridir. Tazminatın cezalandırıcı olması, telafi edici
mekanizmaları lüzumsuz kılabileceği gibi, veri sahipleri idareye şikâyette bulunmak
yerine yargıya başvurma yolunu tercih edeceğinden, denetleyici makamları kamu
menfaatinin korunması için “daha uygun araçlardan” yoksun bırakabilecektir.
Hukuk Sözcüsü, bu görüşü ile
GDPR`ın iki amacı arasında bir denge kurmaya çalıştığını ileri sürmektedir: (i)
kişisel verilerin işlenmesi bakımından gerçek kişilerin korunması ve (ii)
korumanın kapsamının, kişisel verilerin Avrupa Birliği içindeki serbest
dolaşımı kısıtlayıcı veya yasaklayıcı olmayacak şekilde yapılandırılmasının
sağlanması. Hukuki sorumluluğun cezalandırıcı bir niteliğe sahip olması, veri
işleme faaliyeti bakımından caydırıcı olabileceğinden, ikinci amacı “olumsuz
yönde etkileyebileceği” görüşündedir. [7]
Benzer şekilde, bir kişinin
verileri üzerinde “mümkün olan en fazla derecede kontrol” kurmak için de
benzeri söylenebilecektir. Amaç, mümkün
olan en fazla derecede kontrole sahip olmak değil, “her kişinin kişisel
verileri koruma hakkını üçüncü şahısların ve toplumun çıkarlarıyla
uzlaştırmak”tır. [8] Hukuk Sözcüsü, GDPR`ın amacının, kişisel verilerin
işlenmesini sınırlamak değil, aksine kişisel verilen işlenmesini sıkı koşullar bağlamak
ve bu koşullar altında, meşrulaştırmak olduğu sonucuna varmıştır.[9] Bu nedenle,
GDPR hükümlerinin ihlali, tazminatın ödenmesi için yeterli bir şart
olmayacaktır.
Üçüncü soru açısından, manevi
zarar ve rahatsızlık arasındaki ayrımın, doğrudan GDPR kapsamında
belirlenemeyeceği görüşündedir.
Hukuk Sözcüsü, Divan`ın ilgili
içtihadından, tüm manevi zararların tazminatı gerektirmeyeceği sonucuna
varmıştır. Ancak “bir rahatsızlık (ki böyle bir durumda tazminata hak
kazanılmayacaktır) ile sahici bir manevi zarar (ki böyle bir durumda tazminata
hak kazanılacaktır) arasında ince bir çizgi vardır.” [10] Bu iki kategori
arasında ayrımı yapmak ve bu ayrımı somut bir uyuşmazlığa uygulamak kolay
değildir. Bu nedenle, neyin “de minimis düzeyi”nde* olduğu, neyin bu düzeyi
aştığı ulusal mahkemelerce değerlendirilmelidir.
IV. HUKUK
SÖZCÜSÜ`NÜN GÖRÜŞÜNÜN DEĞERLENDİRİLMESİ
Hukuk Sözcüsü`nün görüşü gerek
akademik çevrelerde gerek ise uygulamacılar arasında tartışılmış ve birbirinden
farklı görüşler ortaya çıkmıştır. Bütün görüşler, Hukuk Sözcüsü`nün
değerlendirmesinin, GDPR`ın 82. maddesinin dar yorumlanmasını getireceği
konusunda hemfikirdir. Ancak bazı görüşler, bu durumu olumlu bulurken, diğer
görüşler Hukuk Sözcüsü`nün değerlendirmesini eleştirerek, bunun 82. maddenin
amacını karşılayamamasına neden olacağını ileri sürmektedir.
İlk grupta yer alan bir görüş, Hukuk
Sözcüsü`nün değerlendirmesini temel yorum yöntemlerini kullanarak yaptığını
belirtmiş ve veri korumanın esas amacını ve dijital toplumun gerekliliklerini
göz önüne aldığından isabetli bulmuştur. [11] Bu görüş, Divan`ın Hukuk
Sözcüsü`nün görüşü doğrultusunda karar vermesinin, birden çok etkisi olacağını
öngörmektedir. Öncelikle, veri ihlali sebebiyle bulunulan taleplerde, zararın
ortaya konulması ve kanıtlanması gerekecektir. Ayrıca, her somut olayda, söz
konusu zararın tazminatı gerektirip gerektirmediğine bakılacak ve veri
ihlalinde bir zarar oluşması da tek başına tazminata hükmedilmesi sonucunu
doğurmayacaktır. Bu nedenle, bu karar,
zarara ilişkin kanıt sunulmaksızın verilen tazminat kararlarına ilişkin oluşan
ulusal mahkeme içtihatlarına karşıt içtihatların oluşmasının önünü
açacaktır.
Bir diğer görüş, Hukuk
Sözcüsü`nün görüşünden çıkardığı dört farklı tespit üzerinde durmaktadır: (i.)
Zarar doğmadı ise tazminata hak kazanılamaz, (ii.) GDPR`ın 82. maddesinin işlevi telafi edicidir,
cezalandırıcı veya caydırıcı değildir, (iii.) Veri üzerinde hakimiyetin kaybedilmesi
her durumda zarar teşkil etmez. (iv.) Üzüntü ve rahatsızlık duyguları tek
başına manevi zarara dayanak olamaz. Bu tespitler sonucunda, uyuşmazlıklarda manevi
tazminata hükmedilmesinin zorlaşacağı görüşündedir. Tüm Avrupa Birliği
ülkelerinde veri ihlali sebebiyle açılan tazminat davalarının çok yaygın
olduğu, hatta toplu dava şeklinde açılan ve fon sağlayıcılar tarafından
fonlanan davaların bulunduğu ve çoğu durumda bu davalarda taleplerin sadece
rahatsızlık ve üzüntüye dayanılarak yapıldığı belirtilmektedir. Bu
nedenle, Hukuk Sözcüsü`nün görüşünün olumlu etkileri olacağını öngörmektedir. [12]
Hukuk Sözcüsü`nün değerlendirmesi
pek çok eleştiriye de konu olmuştur. Bunlardan ilki, Hukuk Sözcüsü`nün
rahatsızlık ve sahici bir zarar arasında çizdiği ayrıma ilişkindir. Bu kapsamda
bir görüş, GDPR`ın 82. maddesinde herhangi bir sınır tanımlanmamasına rağmen, Hukuk
Sözcüsü tarafından “de minimis” sınırının uygulanmasının önerilmesini doğru bulmamaktadır.
[13] Bir diğer görüş ise, rahatsızlık ve sahici zarar arasında belirli bir
ayrıma gidilmesinin bekleneceğini, bu ayrımı yapmak yerine Divan tarafından
belirsiz bırakılmasının, yargılamada ayrımın tespit edilmesini daha da güçleştireceğini
ileri sürmektedir. [14]
İkincisi, bununla ilişkin olarak,
yargılama esnasında zararın ispatının veri sahibinden beklenmesine ilişkindir.
Kimliği çalınan birinin bu durumda zarara uğrayacağı muhakkaktır. Ancak bunun
etkileri henüz yargılama sürerken ortaya çıkmayabileceğinden, kişinin rahatsızlığın
ötesine geçen bir zararının olduğunu ispatlaması yargılama sırasında mümkün
olmayabilecektir. Bu durumda, kişilere asgari tutarda olsa dahi bir tazminat
ödenmemesi, GDPR`ın kişisel verilerin işlenmesi bakımından gerçek kişilerin
korunmasına yönelik ilk amacıyla bağdaşmayacaktır. Bu kapsamda, Hukuk
Sözcüsü`nün görüşünün, GDPR`ın veri sahiplerini korumak ve verilerin serbest
dolaşımını sağlamak amaçları arasında denge bulmak yerine, ikincisini ilkine
tercih ettiği görüşündedirler. Üstelik kişisel verisi hukuka aykırı şekilde
işlendiğinde manevi zarara uğrayan gerçek kişilerin, bir dava açacaklar ise, bu
davayı çoğu zaman ulusaşırı, büyük firmalara yöneltmeleri gerektiği ve bunu
yapmanın maliyetleri düşünüldüğünde, 82. maddenin kişiler için bir koruma
sağlamayacağından işlevsiz hale geleceğini belirtmektedirler. [15]
Üçüncüsü, Hukuk Sözcü`nün
görüşünün aksine, 82. madde kapsamında tanımlanan hukuki rejiminin denetleyici
makamlarının faaliyet alanı ile çatışmadığını, aksine birbirini tamamlayıcı
olduğu ileri sürülmektedir. [16] Bu
noktada dile getirilen eleştiri, kamuoyundan (bilhassa iş dünyasından) gelen
tepki ve/veya talepler sonucunda uygulamada GDPR`ı yumuşatmaya yönelik genel
bir eğilim olduğu ve Hukuk Sözcüsü`nün de bu eğilimi takip ettiğidir. [17]
Dördüncüsü, Divan tarafından
zarar hakkında net ve açık bir kavramsallaştırmaya gidilmediği takdirde, tek
bir uygulama yerine ulusal mahkemeler tarafından takip edilen pek çok farklı
uygulamanın ortaya çıkacağına ilişkindir.
Bu nedenle, zararın niteliğinin tespiti hususun ulusal mahkemelere
bırakılması halinde “forum shopping”** riskinin ortaya çıkacağı ileri
sürülmektedir. [18]
Özetle, Hukuk Sözcüsü`nün görüşü
tartışmaya yol açan ve alkışları topladığı kadar eleştirilen de değerlendirmeler
içermektedir. Bu zıt görüşler, GDPR`ın nasıl uygulanması ve GDPR`da hangi
amaçların öncelikli olması gerektiğine ilişkin daha kapsamlı tartışmaların
yankılarını taşımaktadır. Divan`ın kararının bu genel tartışmalara ilişkin bir
duruş içermesi beklendiği gibi, aynı zamanda Hukuk Sözcüsü`ne yöneltilen
eleştiriler dikkate alındığında, 3`üncü soruya ilişkin detaylı bir
değerlendirme içermesi de yerinde olacaktır.
*De minimis, özellikle Angola- Amerikan hukukunda
sıklıkla kullanılan ve önemsiz zararların tazmin edilmemesini veya dava
edilememesini sağlayan bir kurumdur. Kıta Avrupası hukuk düzenlerinde birebir
karşılığı bulunmasa da karşılaştırmalı hukuk bakış açısıyla yaklaşıldığında
aynı işlevi gören kuralların izlerini tespit etmek mümkündür. Özellikle haksız
fiillere ilişkin bazı düzenlemelerde, önemli ve önemsiz zararlar ayrımı yaptığı
görülmektedir. Detaylı bilgi için bkz. Merhacı & Erkan 2018 [19]
** Forum
shopping, yabancılık unsuru taşıyan bir uyuşmazlıklarda, davacının kendisi için
fayda sağlayacağını düşündüğü devlet mahkemesinde ikame etmek amacıyla seçimde
bulunması, Milletlerarası Usul Hukuku’nda “forum shopping” olarak ifade
edilmektedir. Detaylı bilgi için bkz. Giray 2020 [20]
Av. Erse Kahraman
Kaynakça:
1. Saygı, S. (2020) “6698 Sayılı
Kanun`un Sistematiğinde Yargısal Başvuru Yolları.” Kişisel Verileri Koruma
Dergisi 2 (2), s. 35-37.
2. Küzeci, E. (2019) Kişisel
Verilerin Korunması. Ankara: Turhan Kitabevi akt. Saygı 2020
3. Örnek kararlar için: https://www.kvkk.gov.tr/Icerik/6714/2020-41, https://www.kvkk.gov.tr/Icerik/6715/2020-43 (Erişim
Tarihi: 11.11.2022)
4. Hannsen, H. (2020)
“Germany: New Case-Law On Immaterial Damages For GDPR Infringements” Hogan
Lovells` Legal Insights and Analysis. Alındığı URL: https://www.engage.hoganlovells.com/knowledgeservices/news/germany-new-case-law-on-immaterial-damages-for-gdpr-infringements?nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQ71hKXzqW2Ec%3D&key=BcJlhLtdCv6%2FJTDZxvL23TQa3JHL2AIGr93BnQjo2SkGJpG9xDX7S2thDpAQsCconWHAwe6cJTm%2FgTlZF%2BVVmd3OjGmtaEjr&uid=iZAX%2FROFT6Q%3D (Erişim Tarihi: 11.11.2022)
5. Mekat, M., Werkmeister, Barton, R.,
Ligocki, D. ve Clause, C. (2022) “Data Privacy Litigation: Claiming Non-
Material Damages Likely to Become More Difficult” Lexology. Alındığı URL: https://www.lexology.com/library/detail.aspx?g=22d5e367-129a-45cc-840c-99a9ed4e0caa (Erişim
Tarihi: 12.11.2022)
6. Hukuk Sözcüsü`nün görüşünün tamamına
şu linkten erişebilirsiniz: https://curia.europa.eu/juris/document/document.jsf;jsessionid=79F0B703F7CD84C2DE01BF340FD03C29?text=&docid=266842&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=244110
7. Hukuk Sözcüsü`nün görüşünde paragraf
53-55
8. Hukuk Sözcüsü`nün görüşünde paragraf 68-77
9. Hukuk Sözcüsü`nün görüşünde paragraf 80- 82
10. Hukuk Sözcüsü`nün görüşünde paragraf 116
11. Spittka, J. and Emmerich, F. (2022) “GDPR
Enforcement: Advocate General Tends Towards Restrictive Interpretation of
Non-Material Damages.” Clyde& Co`s Insights. Alındığı URL: https://www.clydeco.com/en/insights/2022/10/first-advocate-general-opinion-on-gdpr-damages-ava (Erişim
Tarihi: 15.11.2022)
12. Mekat, M. et al. 2022
13. Schrems, M. (2022) “Legal Analysis: No non-material
damages for GDPR violations (C-300/21)?” NOYB. Alındığı URL: https://noyb.eu/en/analysis-no-non-material-damages-gdpr (Erişim Tarihi: 15.11.2022)
14. Bekisz,
H. ve Dworniczak, D. (2022) “Towards a data-subject-friendly
interpretation of Article 82 GDPR: Comments on the Opinion of AG
Sánchez-Bordona in Case C-300/21 Ul v Österreichische Post” VerfBlog. Alındığı
URL: https://verfassungsblog.de/data-subject-friendly/ (Erişim tarihi: 11.11.2022)
15. Bekisz
and Dworniczak 2022
16. Bekisz
and Dworniczak 2022
17. Schrems 2022
18. Bekisz
and Dworniczak 2022
19. Özden Merhacı, S. ve Erkan, V.U. (2018) “Anglo-
Amerikan Hukukundan Kıta Avrupası Hukukına- Özel Hukukta De Minimis Kuralı.” İnönü
Üniversitesi Hukuk Fakültesi Dergisi 9 (2), s. 49-70.
20. Giray, F.K. (2020) “Forum Shopping- Forum Non
Conveniens Kavramları ile Anti Suit Injunction Kararlarının Türk Milletlerarası
Usul Hukukundaki Görünümleri” Adalete Yönelmiş Bir Toplumsal Düzen Olarak
Hukuk: Prof. Dr. Yasemin Işıktaç Armağanı. Sümer Kitabevi: İstanbul, s.
869- 890.
