Makale
Hassas Kişisel Verilerin İhlalinde Tazminat Sorumluluğu
Kişisel verilerin korunması hukukunda idari ve cezai yaptırımların yanı sıra, ilgili kişinin zararlarının karşılanması da büyük bir öneme sahiptir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, hassas nitelikli kişisel verilerin ihlali durumunda ortaya çıkan maddi ve manevi zararların tazmini için Türk Borçlar Kanunu ve Türk Medeni Kanunu gibi genel hükümlere atıf yapmaktadır. Bu atıf gereğince, hukuka aykırı veri işleme faaliyeti neticesinde mağdur olan bireyler, uğradıkları zararın giderilmesi amacıyla tazminat davası açma hakkına sahiptir. Söz konusu ihlaller neticesinde veri sorumlusunun idari para cezası alması veya ceza hukuku anlamında yaptırımla karşılaşması, zarar görenin haklarını tek başına telafi etmeyeceğinden, özel hukuk sorumluluğu devreye girmektedir. Bu bağlamda, ihlalin niteliğine göre zarar gören birey, zarar verene karşı yasal yollara başvurarak şahıs ve mal varlığı değerlerindeki eksilmelerin telafisini mahkemelerden talep edebilir.
Tazminat Sorumluluğunun Hukuki Kaynakları
Hassas nitelikli kişisel verilerin hukuka aykırı olarak işlenmesi durumunda tazminat sorumluluğunun kaynağı, sıklıkla karşımıza çıkan haksız fiil sorumluluğu olarak değerlendirilmektedir. Haksız fiil sorumluluğunun doğabilmesi için hukuka aykırı bir fiil, kusur, zarar ve illiyet bağı unsurlarının birlikte gerçekleşmesi şarttır. Kanunda öngörülmüş kurallara uyulmadan gerçekleştirilen her türlü veri işleme faaliyeti, doğrudan hukuka aykırılık unsurunu oluşturur. İlgili kişinin verilerinin ifşa olması sonucu malvarlığında veya şahıs varlığında meydana gelen her türlü eksilme ise zarar olarak kabul edilir. Zarar gören konumundaki ilgili kişi, karşı tarafın kusurunu, meydana gelen zararı ve bu zarar ile hukuka aykırı eylem arasındaki uygun nedensellik bağını ispat etmekle yükümlüdür. Bu unsurların kanıtlanması halinde zarar veren, meydana gelen zararı gidermek zorunda kalacaktır.
Tazminat sorumluluğunun bir diğer kaynağı ise sözleşmeden doğan sorumluluk halleridir. Veri sorumlusu ile ilgili kişi arasında doğrudan bir kişisel veri işleme sözleşmesi bulunabileceği gibi, iş sözleşmesi veya vekalet sözleşmesi gibi ilişkilerde verilerin işlenmesi bir yan edim yükümlülüğü olarak da yer alabilir. Bu durumda, sözleşme yükümlülüklerinin ihlal edilmesi sözleşmeye aykırılık oluşturur ve ifa edilmeme hükümlerine göre tazminat talep edilebilir. Haksız fiil sorumluluğundan farklı olarak, burada borçlu taraf olan veri sorumlusu veya veri işleyen, ancak kusursuzluğunu ispatlayarak sorumluluktan kurtulabilir. Zarar görenin kusuru ispatlama külfeti bulunmadığından, sözleşme hükümlerine dayanmak ilgili kişinin daha lehine sonuçlar doğurmaktadır. Ayrıca sözleşme görüşmeleri aşamasında dürüstlük kuralına aykırı davranılması sonucu oluşan ihlaller de sözleşme benzeri sorumluluk kapsamında değerlendirilerek tazminata konu edilebilir.
İhlal Durumunda Açılabilecek Tazminat Davaları
Veri ihlali neticesinde ilgili kişinin malvarlığında iradesi dışında meydana gelen eksilmeler için mahkemelerde maddi tazminat davası açılması mümkündür. İhlalin doğrudan malvarlığına yönelik fiziksel bir eylem olması şart değildir; kişisel verilerin hukuka aykırı kullanımı sebebiyle ortaya çıkan dolaylı malvarlığı kayıpları da bu davanın esas konusunu oluşturur. Zararın genel kapsamı, olaydaki fiili zarar ve ihlal sebebiyle elde edilemeyen maddi hakları ifade eden yoksun kalınan kâr kalemlerinden meydana gelmektedir. Aşağıdaki tabloda veri ihlalleri neticesinde açılabilecek maddi ve manevi tazminat davalarının temel özelliklerine, korunan hukuki değerlere ve talep edilebilecek zarar kalemleri ile hukuki sorumluluğun farklılıklarına ayrıntılı biçimde değinilmiştir.
| Tazminat Türü | Korunan Hukuki Değer | Talep Edilebilecek Zarar Kalemleri | Sorumluluğun Belirlenmesi |
|---|---|---|---|
| Maddi Tazminat | Malvarlığı Değerleri | Fiili zarar, yoksun kalınan kâr | Zarar verenin kusuru ve ispatlanan zarar miktarı oranında |
| Manevi Tazminat | Şahıs Varlığı (Kişilik Hakları) | Duyulan acı, üzüntü, elem, ızdırap | Somut olayın özellikleri, kusur yoğunluğu ve hakkaniyete göre |
Hassas nitelikli kişisel veriler, niteliği gereği doğrudan bireyin kişilik hakkı ile sıkı bir bağ içerisindedir. Bu nedenle, hukuka aykırı veri işleme faaliyetinin malvarlığına etkisinden ziyade, bireyin şahıs varlığında yarattığı olumsuz etkiler sebebiyle manevi tazminat davası sıklıkla gündeme gelmektedir. İlgili kişinin mahrem verilerinin rızası dışında ifşa edilmesi, toplum içinde ayrımcılığa uğrama riski yaratır ve kişide derin bir acı, üzüntü ve elem duygusu uyandırır. Hâkim, manevi tazminat miktarını belirlerken hukuka aykırı eylemin ağırlığını, tarafların sıfatlarını, kusur derecelerini ve zararın etkilerini göz önünde bulundurarak hakkaniyet ilkesi çerçevesinde karar verir. Temel amaç bir tarafı zenginleştirmek değil, mağdur olan bireyin duygu dünyasındaki sarsıntıyı bir nebze olsun telafi etmek ve tatmin sağlamaktır.
Tazminat Davalarında Kusur Unsurunun Değerlendirilmesi
Kişisel verilerin korunamamasından doğan zararların tazmininde sorumluluğun türü hususunda hukuk doktrininde farklı görüşler bulunmaktadır. Bir kısım uzmanlar, veri sorumlusunun işletme faaliyetindeki tehlike boyutunu dikkate alarak tehlike esasına dayalı kusursuz sorumluluk veya özen yükümlülüğünün ihlali sebebiyle olağan sebep sorumluluğu çerçevesinde değerlendirme yapılması gerektiğini savunmaktadır. Ancak, Kişisel Verilerin Korunması Kanunu'nun genel hükümlere yaptığı açık atıf nedeniyle uygulamada ve yargı içtihatlarında kusur sorumluluğu ilkesi baskın olarak kabul edilmektedir. Bu yaklaşıma göre, tazminat sorumluluğunun doğması için veri sorumlusunun kanuni yükümlülüklerini ihlalde kınanabilir bir davranış sergilemiş olması gerekir. İlgili kişinin zararlarını telafi edebilmesi için, veri sorumlusunun gerekli idari ve teknik tedbirleri almakta ihmalkâr davrandığını veya kastı bulunduğunu kanıtlaması gerekmektedir.