Kişisel verileriniz hakkında bilgi edinme hakkı, Genel Veri Koruma Yönetmeliği'nin (GDPR) en keskin kılıçlarından biridir. Ancak bu aracı suistimal ederek iş modeline dönüştüren herkes artık yasal sınırlara ulaşacaktır. Avrupa Adalet Divanı (ECJ) Perşembe günü çığır açan bir kararla, bilgi taleplerinin açıkça istismar amaçlı olarak sınıflandırılabileceğini açıkladı. Varsayım, bunların yalnızca daha sonra zararların tazmini için taleplere yol açmak amacıyla gerçekleştirildiği yönündedir.
Duyurudan sonra devamını okuyun
Avrupa Yüksek Mahkemesi, C-526/24 sayılı davaya ilişkin kararla, şirketlerin sözde veri koruma trollerine karşı savunma seçeneklerini güçlendiriyor. Dava Arnsberg Bölge Mahkemesinde başladı. Modern hukuki gri alanda bir tür ders geliştirildi.
Avusturya'da yaşayan bir kişi, optik şirketi Brillen Rottler'in haber bültenine kaydoldu ve verilerini gönüllü olarak forma girdi. Yalnızca 13 gün sonra, GDPR'nin 15. Maddesi uyarınca şirketten işlenen verilerle ilgili eksiksiz bilgi sağlamasını istedi. Şirket, suiistimal iddialarını öne sürerek başvuruyu reddedince, ilgili taraf, iddia edilen manevi zarara karşılık en az 1.000 avro tazminat talep etti.
Davacı yabancı değildi
Optik şirketi mahkemeye temyiz sahibinin bilinmeyen bir kişi olmadığını belirtmeyi başardı. Medya raporları ve avukatlardan alınan bilgiler, kişinin sistematik olarak haber bültenlerine kaydolduğunu, derhal bilgi istediğini ve en ufak bir gecikme veya reddetme durumunda dalga dalga veri koruma ihlali davaları başlattığını ileri sürüyor. Arnsberg Bölge Mahkemesi bunun üzerine Avrupa Adalet Divanı'na başvurdu. GDPR kapsamında ilk bilgi talebinin “aşırı” olarak kabul edilip edilemeyeceğini ve bu tür durumlarda tazminat talebinin hangi koşullar altında mevcut olduğunu açıklığa kavuşturmak istedik.
Ayrıca okuyun
Lüksemburg yargıçları artık GDPR korumasının sınırsız olmadığına karar verdi. Bilgi edinme hakkı, vatandaşların veri işleme konusunda bilgi sahibi olmalarını ve bunun hukuka uygunluğunu doğrulayabilmelerini sağlamaya yarar. Amaç, gerekiyorsa düzeltme veya iptal haklarınızı kullanmaktır. Ancak, her ne kadar resmi olarak doğru olsa da, bir itirazın yalnızca yapay olarak zararların tazmini talebi için gerekli koşulları yaratmak amacıyla formüle edildiği ortaya çıkarsa, bu bir hakkın kötüye kullanılmasıdır.
Duyurudan sonra devamını okuyun
Avrupa Adalet Divanı'na göre bu tür deliller, kişinin daha önceki davranışları ve diğer şirketlere karşı benzer eylemlere ilişkin kamuya açık bilgiler aracılığıyla sağlanabiliyor.
Tazminat ne zaman ödenecek?
Uygulamada önemli olan, Avrupa Adalet Divanı'nın tazminat gerekliliklerine ilişkin açıklamasıdır. Bu nedenle, GDPR'nin basit bir ihlali, parasal tazminat almak için otomatik olarak yeterli değildir. Aksine, davacının gerçekten somut maddi veya manevi zarara uğradığını kanıtlaması gerekir.
Prensip olarak manevi zarar, kişinin verileri üzerindeki kontrolünü kaybetmesini de içerir. Ancak şimdi Avrupa Adalet Divanı çok önemli bir engel oluşturdu: Kendi davranışlarıyla (örneğin veri işlemeyi kışkırtıp ardından “dava açarak”) zarara neden olan hiç kimse tazminat talebinde bulunamaz.
Bu karar işletmelere rahatlama vaat ediyor. Aşırı talep olması durumunda, GDPR'nin 12. Maddesinin 5. paragrafına atıfta bulunarak bilgi sağlamayı reddedebilir veya idari çaba için yeterli tazminat talep edebilirsiniz. Ancak ispat yükü sorumlu kişiye aittir.
Arnsberg Bölge Mahkemesi şimdi, kayıt ile başvuru arasındaki kısa süre ve veri ifşasının gönüllü niteliği gibi faktörlerin merkezi bir rol oynadığı özel bir vakada şikayetçinin davranışının istismar eşiğini aşıp aşmadığını incelemelidir.
()
Bir yanıt yazın