Kendi kişisel verileriniz hakkında bilgi alma hakkı, Genel Veri Koruma Yönetmeliği'nin (GDPR) en keskin kılıçlarından biridir. Ancak bu enstrümanı iş modeline dönüştürmek amacıyla suiistimal eden herkes artık yasal sınırlara ulaşacak. Avrupa Adalet Divanı (ECJ), Perşembe günü verdiği çığır açıcı kararda, bilgi taleplerinin açıkça istismar amaçlı olarak sınıflandırılabileceğini açıkça ortaya koydu. Ön koşul, bunların yalnızca daha sonra tazminat taleplerine yol açmak amacıyla yapılmış olmasıdır.
Reklamdan sonra devamını okuyun
Avrupa'nın en yüksek mahkemesi, C-526/24 sayılı davaya ilişkin kararla şirketlerin sözde veri koruma trollerine karşı savunma seçeneklerini güçlendiriyor. Dava Arnsberg bölge mahkemesinde başladı. Modern hukuki gri alanla ilgili geliştirilen bir tür ders var.
Avusturya'da yaşayan bir kişi, gözlükçü Brillen Rottler'in haber bültenine kaydoldu ve verilerini gönüllü olarak maskeye girdi. Sadece 13 gün sonra, GDPR'nin 15. Maddesi uyarınca şirketten işlenen veriler hakkında kapsamlı bilgi sağlamasını istedi. Şirket, suiistimal iddiasını öne sürerek başvuruyu reddedince, kişi, iddia edilen manevi zarara karşılık en az 1.000 avro tutarında tazminat davası açtı.
Davacı yabancı değildi
Gözlükçü şirketi mahkemede başvuranın bilinmeyen bir kişi olmadığını belirtebildi. Basında çıkan haberler ve avukatlardan alınan bilgiler, kişinin sistematik olarak haber bültenlerine abone olduğunu, derhal bilgi talep ettiğini ve en ufak bir gecikme veya reddedilme durumunda veri koruma ihlalleri nedeniyle dava dalgaları başlattığını ileri sürdü. Arnsberg bölge mahkemesi daha sonra ABAD'a itirazda bulundu. İlk bilgi talebinin GDPR anlamında “aşırı” olarak kabul edilip edilemeyeceğini ve bu gibi durumlarda hangi koşullar altında tazminat talebinin mevcut olduğunu açıklığa kavuşturmak istedi.
Ayrıca okuyun
Lüksemburg yargıçları artık GDPR'nin ilgili korumasının sınırsız olmadığına karar verdi. Bilgi edinme hakkı, vatandaşların veri işleme konusunda bilgi sahibi olmalarını ve bunun yasallığını kontrol edebilmelerini sağlamaya hizmet eder. Amaç, gerekirse düzeltme veya silme haklarınızı kullanmaktır. Ancak, bir başvurunun, şekli olarak doğru olmasına rağmen, yalnızca suni olarak tazminat talebi koşullarını oluşturmak amacıyla yapıldığı kanıtlanabiliyorsa, bu hukukun kötüye kullanılmasıdır.
Reklamdan sonra devamını okuyun
ABAD'a göre bu tür kanıtlar, kişinin daha önceki davranışları ve diğer şirketlere yönelik benzer iddialara ilişkin kamuya açık bilgiler aracılığıyla sağlanabiliyor.
Tazminat ne zaman ödenecek?
Uygulamada önemli olan, ABAD'ın tazminat gerekliliklerine ilişkin açıklamasıdır. Bu nedenle, GDPR'nin yalnızca ihlali, parasal tazminat için otomatik olarak yeterli değildir. Aksine, davacının gerçekten somut maddi veya manevi zarara uğradığını kanıtlaması gerekir.
Prensip olarak, maddi olmayan zarar aynı zamanda kişinin kendi verileri üzerindeki kontrolünü kaybetmesini de içerir. Ancak ABAD şimdi burada çok önemli bir engel oluşturdu: Kendi davranışlarıyla zarara neden olan herhangi biri (örneğin, daha sonra kendisini “dava etmek” için yalnızca veri işlemeyi kışkırtarak) tazminat talep edemez.
Bu karar şirketlere rahatlama vaat ediyor. Taleplerin aşırı olması durumunda, GDPR Madde 12 Paragraf 5'e atıfta bulunarak bilgi vermeyi reddedebilir veya idari çaba için uygun bir ücret talep edebilirsiniz. Ancak ispat yükü sorumlu kişiye aittir.
Arnsberg Bölge Mahkemesinin artık belirli bir bireysel davada davacının davranışının istismar eşiğini aşıp aşmadığını incelemesi gerekiyor; kayıt ile başvuru arasındaki kısa süre ve veri ifşasının gönüllü niteliği gibi faktörler merkezi bir rol oynuyor.
()
Bir yanıt yazın