Hessen'deki hukuki bir anlaşmazlıkta, Avrupa Adalet Divanı'nın (ECJ), Genel Veri Koruma Yönetmeliği'nin (GDPR) ihlal edildiğinin tespit edilmesi durumunda sorumlu denetleyici makamların nasıl tepki vermesi gerektiğini açıklığa kavuşturması gerekiyor. Perşembe günü yayınlanan görüşünde, ECJ Başsavcısı Priit Pikamäe, bir veri koruma makamının müdahale etmek zorunda olduğunu varsayıyor. Ancak sonuçlara ilişkin karar, her bir vakanın özel koşullarına bağlıdır.
Reklamcılık
Veri koruma görevlisi pasif kaldı
Dava, 2020 yazında o zamanki Hessian Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri (HBDI) ile temasa geçen bir tasarruf bankası müşterisiyle ilgilidir. Sparkasse çalışanı, kendi verilerine izinsiz olarak birkaç kez erişmişti ve finans kurumunun kendisi bunu kendisine bildirmişti. Kasım 2019'da veri koruma yetkilisi. Veri koruma görevlisi bir GDPR ihlali tespit etti, ancak tasarruf bankası çalışana karşı zaten disiplin tedbirleri almış olduğundan ona müdahale etmenin gerekli olduğunu düşünmedi.
Müşteri daha sonra veri koruma görevlisinin tasarruf bankasına karşı dava açması için Wiesbaden İdare Mahkemesi'ne başvurdu. Diğer şeylerin yanı sıra, veri koruma görevlisinin para cezası vermesi gerektiğini iddia ediyor. Wiesbaden yargıçları daha sonra ABAD'a denetim makamının yetkileri ve görevleri hakkında sorular sordu. Başsavcı Pikamäe şimdi, Hessen makamlarının ihlali gidermek ve ilgili kişinin haklarını uygulamak için en uygun tedbirleri değerlendirmesi gerektiğini belirtiyor. Eğer “denetleyici makam AB hukukunu ihlal eden hukuki bir durum karşısında pasif kalabilirse” şikayet prosedürü “tamamen yararsız” olacaktır.
Pikamäe, tasarruf bankasının veri koruma görevlisinin etkilenen müşterinin artık tehlikede olmadığını varsaydığını açıkladı. Çalışan hakkında daha önce disiplin tedbirleri alınmış ve uygulama durdurulmuştu. Eyaletin veri koruma görevlisi, Eylül 2020'de etkilenen müşteriye, daha fazla ihlal riskinin artık yüksek olmadığı konusunda bilgi verdi. Tasarruf bankasından ayrıca erişim kayıtlarını daha uzun süre saklaması istendi. Her erişimin temel kontrolü gerekli değildir.
Orantılı yaptırım
Ancak hakları ihlal edilen müşteri yaptırım talebinde bulundu. Pikamäe'ye göre denetim otoritesi aynı zamanda “uygun, gerekli ve orantılı tedbiri” almakla da yükümlü. “Kendisine verilen takdir yetkisini vicdanlı bir şekilde ve GDPR gerekliliklerine uygun olarak kullanma” sorumluluğuna sahiptir. Para cezası, “en azından bazı durumlarda izlediği cezai amaç nedeniyle ve olası yüksek ciddiyet derecesi göz önüne alındığında”, özellikle de veri işlemeden sorumlu organın kendisi halihazırda düzeltici önlem almışsa, aşırı olabilir. Ancak yetkili sadece uyarıda bulunabilir.
Sonuçlar ABAD için bağlayıcı olmasa da yargıçlar sıklıkla bunlara uyuyor. Kararının birkaç ay içinde verilmesi bekleniyor.
(vbr)
Haberin Sonu
Reklamcılık
Veri koruma görevlisi pasif kaldı
Dava, 2020 yazında o zamanki Hessian Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri (HBDI) ile temasa geçen bir tasarruf bankası müşterisiyle ilgilidir. Sparkasse çalışanı, kendi verilerine izinsiz olarak birkaç kez erişmişti ve finans kurumunun kendisi bunu kendisine bildirmişti. Kasım 2019'da veri koruma yetkilisi. Veri koruma görevlisi bir GDPR ihlali tespit etti, ancak tasarruf bankası çalışana karşı zaten disiplin tedbirleri almış olduğundan ona müdahale etmenin gerekli olduğunu düşünmedi.
Müşteri daha sonra veri koruma görevlisinin tasarruf bankasına karşı dava açması için Wiesbaden İdare Mahkemesi'ne başvurdu. Diğer şeylerin yanı sıra, veri koruma görevlisinin para cezası vermesi gerektiğini iddia ediyor. Wiesbaden yargıçları daha sonra ABAD'a denetim makamının yetkileri ve görevleri hakkında sorular sordu. Başsavcı Pikamäe şimdi, Hessen makamlarının ihlali gidermek ve ilgili kişinin haklarını uygulamak için en uygun tedbirleri değerlendirmesi gerektiğini belirtiyor. Eğer “denetleyici makam AB hukukunu ihlal eden hukuki bir durum karşısında pasif kalabilirse” şikayet prosedürü “tamamen yararsız” olacaktır.
Pikamäe, tasarruf bankasının veri koruma görevlisinin etkilenen müşterinin artık tehlikede olmadığını varsaydığını açıkladı. Çalışan hakkında daha önce disiplin tedbirleri alınmış ve uygulama durdurulmuştu. Eyaletin veri koruma görevlisi, Eylül 2020'de etkilenen müşteriye, daha fazla ihlal riskinin artık yüksek olmadığı konusunda bilgi verdi. Tasarruf bankasından ayrıca erişim kayıtlarını daha uzun süre saklaması istendi. Her erişimin temel kontrolü gerekli değildir.
Orantılı yaptırım
Ancak hakları ihlal edilen müşteri yaptırım talebinde bulundu. Pikamäe'ye göre denetim otoritesi aynı zamanda “uygun, gerekli ve orantılı tedbiri” almakla da yükümlü. “Kendisine verilen takdir yetkisini vicdanlı bir şekilde ve GDPR gerekliliklerine uygun olarak kullanma” sorumluluğuna sahiptir. Para cezası, “en azından bazı durumlarda izlediği cezai amaç nedeniyle ve olası yüksek ciddiyet derecesi göz önüne alındığında”, özellikle de veri işlemeden sorumlu organın kendisi halihazırda düzeltici önlem almışsa, aşırı olabilir. Ancak yetkili sadece uyarıda bulunabilir.
Sonuçlar ABAD için bağlayıcı olmasa da yargıçlar sıklıkla bunlara uyuyor. Kararının birkaç ay içinde verilmesi bekleniyor.
(vbr)
Haberin Sonu