Almanya Dresden Yüksek Mahkemesi 30 Kasım 2021 tarihinde verdiği kararla bir veri ihlalinden doğan zararlardan şirket CEO’sunu sorumlu tuttu.
Bu karar şirketlerde meydana gelen veri ihlalinden doğan zararlardan ötürü yönetim kurulu üyelerinin veya profesyonel yöneticilerin bireysel sorumluluğu tartışmasında önemli bir sayfa açtı ve bir emsal oldu.
GDPR kapsamında, şirket yöneticilerinin gerçekleşecek veri ihlallerinden doğrudan sorumlu olacaklarına ilişkin açık bir hüküm bulunmamaktadır. Ancak, bazı Üye Devletlerin veri ihlalinden doğan zarardan bazı durumlarda CEO’yu sorumlu tutacak düzenlemelere yer verdiği veya mahkemelerin de yine bu doğrultuda karar verebildiği görülmektedir. Spesifik olarak Almanya, Birleşik Krallık ve Avusturya’nın şirket yöneticilerini gerçekleşen veri ihlallerinden doğan zararın tazmininden şahsen sorumlu tutma eğilimde oldukları görülmektedir.
Dresden Yüksek Mahkemesi’nin baktığı spesifik olayda CEO, bir şirket çalışanının hukuka aykırı işlemlerde bulunduğundan şüphelenmiş ve bunların araştırılması için bir dedektif tutmuştur. Mahkeme, hem Alman Veri Koruma Yasası hem de GDPR çerçevesinde, CEO kararı ve talimatıyla yapılan bu işlemin hukuka aykırı veri işleme faaliyeti olduğu sonucuna varmış ve gerçek kişi olan CEO’yu doğrudan sorumlu tutmuştur.
Yüksek Mahkeme, CEO’nun sorumluluğu sonucuna varırken, yerel mevzuattaki veri sorumlusu tanımından yola çıkmış ve söz konusu süreçte veri toplama amaçları ve yönteminin CEO tarafından belirlenmesi sebebiyle CEO’nun veri sorumlusu olduğunu kabul etmiştir.
Şirket yöneticisinin meydana gelen zarardaki rolünü geniş bir şekilde yorumlayan Mahkeme, gerekli tedbirleri alamamasından ve basiretli davranış sergilememesinden kaynaklanan veri ihlalinden şirket yöneticisini şahsi olarak sorumlu tutmuş ve 5.000 Euro para cezasına hükmetmiştir. Bu doğrultuda Yüksek Mahkeme, eski çalışanın iş akdinin feshedilmesi sonucu GDPR’a dayanarak açtığı tazminat davasında, söz konusu zararın tazmininden şirketin değil, şirket yöneticisinin sorumlu olduğuna karar vermiştir.
Söz konusu karar, kişisel verilerin korunması kapsamında şirket yöneticisinin, şirketin tüzel kişilik perdesinin kaldırılıp ihlalden doğan zararlardan sorumlu tutulmasına yönelik verilen en önemli kararlardan biri olmakla birlikte ilerleyen zamanda birçok mahkemenin de bu doğrultuda karar verilebilmesine olanak tanımaktadır.
Birleşik Krallık da GDPR’a uyumlu olarak düzenlenen 198 sayılı Veri Koruma Yasası’nda Almanya’ya benzer olarak şirket yöneticilerinin basiretsiz davranışları, ihmalkarlığı, gereken önem ve özeni göstermemesi sonucu oluşacak veri ihlallerinde doğacak zararlardan şirket yöneticilerinin sorumlu olacağını öngörmektedir. Birleşik Krallık Veri Koruma Otoritesi (ICO) ise veri sorumlusu kavramını daha geniş bir çerçevede yorumlamakta ve veri güvenliği ve kişisel verilerin korunması kapsamında alınan kararların, veri işleme amaç ve yöntemlerinin şirket yöneticisi tarafından belirlenebileceğini ve bu sebeple şirket yöneticisinin sorumlu tutulabileceğini kabul etmektedir. Bu bağlamda eski ICO Başkanı Elizabeth Denham, şirketlerin kendilerine getirilen yükümlülüklerden ve ihlal sonucu doğan zararların tazmininden kolayca kurtulabildiklerini, tüzel kişilik perdesi arkasına saklanan yöneticilerin ise gerekli özeni göstermediğini belirtmiştir. Denham, kurum olarak kişisel verilerin ihlal edilmesinden şirket yöneticilerinin şahsen sorumlu olmasına yönelik bir görüş benimsemekte olduklarını ve uygulamada bu durumun daha sık olarak görüleceğini de vurgulamıştır.
Avusturya ise, Almanya ve Birleşik Krallık’a benzer olarak CEO’nun veri güvenliğinden ve kişisel verilerin korunmasından şahsen sorumlu olduğuna dair düzenlemelere yer vermiştir. Avusturya Veri Koruma Yasası, 2018 yılında yapılan düzenleme ile, gerçekleşen veri ihlalleri sonucunda doğacak zararın tazmininden şirket CEO’sunu sorumlu tutup veri sorumlusu tanımını genişletmektedir. Ayrıca, Avusturya Veri Koruma Otoritesi şirket CEO’suna 50.000 Euro’ya kadar çıkan cezalar verebilmektedir. Bu bağlamda Otorite, şirket yöneticilerinin veri işleme süreçlerinden tamamen haberdar olduğunu, gerekli süreçleri yürüttüğünü, alınan önlemlere karar verdiğini ve dolayısıyla söz konusu veri ihlalinden haberdar olamadığı yahut bilgisi dışında veri ihlalinin gerçekleştiği savlarının öne sürülemeyeceği görüşünü de benimsemektedir.
Türkiye’de ise tüzel kişilerin veri sorumlularının tanımının daha dar bir çerçevede yapıldığı görülmektedir. Nitekim, Veri Sorumluları Sicili Hakkında Yönetmelik’te şirketlerde veri sorumlusunun tüzel kişiliğin kendisi olduğunu ve veri sorumlusu olmanın getirdiği sorumluluğun ise şirket organları veya mevzuatta belirtilen gerçek kişiler tarafından yerine getirilebileceği belirtilmiştir. Bu minvalde, Kişisel Verileri Koruma Kurumu‘nun yayınladığı “Sorularla VERBİS” Rehberi’nde de veri sorumlusunun, veri sorumlusu tarafından görevlendirilen bir gerçek kişi, yönetim kurulu üyeleri veya yönetim kurulu başkanı olmayacağı; şirketin tüzel kişiliğinin bizzat kendisi olduğu belirtilmektedir. Ancak, CEO’ların kişisel verilerin işlenmesi kapsamında münferit karar aldığı süreçlerde doğrudan sorumlu olabileceği görüşü de uygulamada yer bulmaktadır. Zira Kurum’un vermiş olduğu bir karada şirket müdürünün çalışanın e-postasına izinsiz erişmesi ve posta adresinde yer alan verileri silmesi halinde her ne kadar veri ihlali olmadığına karar verilmiş olsa da; “veri sorumlusu şirket genel müdürü” ifadesine sıkça yer verildiği görülmektedir. Bu doğrultuda, Kurum’un ilerleyen dönemlerde CEO’ların da veri sorumlusu olarak kabul etmesi ve olası ihlallerden sorumlu tutulması olası görülmektedir.
Konu hakkında tüm sorularınız için Burçak Ünsal ve Mustafa Ayaz‘a ulaşabilirsiniz.