Hessen'deki hukuki bir anlaşmazlıkta, Avrupa Adalet Divanı'nın (ECJ), Genel Veri Koruma Yönetmeliği'nin (GDPR) ihlal edildiğinin tespit edilmesi durumunda yetkili denetleyici makamların nasıl tepki vermesi gerektiğini açıklığa kavuşturması gerekiyor. Perşembe günü yayınlanan görüşünde Adalet Divanı Başsavcısı Priit Pikamäe, bir veri koruma makamının müdahale etmek zorunda olduğunu varsayıyor. Ancak sonuçlara ilişkin karar, her bir vakanın özel koşullarına bağlıdır.
Duyuru
Veri koruma görevlisi pasif kaldı
Dava, 2020 yazında dönemin Hesse Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri (HBDI) ile temasa geçen bir tasarruf bankası müşterisiyle ilgilidir. Tasarruf Bankası çalışanı, finansal kurumun kendisi tarafından Kasım 2019'da veri koruma yetkilisine bildirilen verilere izinsiz olarak birkaç kez erişmişti. Veri koruma görevlisi, GDPR'nin ihlal edildiğini tespit etti ancak tasarruflara müdahale etmeyi gerekli görmedi. Çünkü banka zaten çalışana karşı disiplin tedbirleri almıştı.
Müşteri daha sonra Wiesbaden İdare Mahkemesi'nden veri koruma görevlisini tasarruf bankasına karşı dava açmaya zorlamasını talep etti. Diğer şeylerin yanı sıra, veri koruma görevlisinin para cezası vermesi gerektiğini iddia ediyor. Wiesbaden yargıçları daha sonra Avrupa Adalet Divanı'nı denetim otoritesinin yetkileri ve görevleri konusunda sorguladı. Başsavcı Pikamäe şimdi, Hessen yetkililerinin ihlali gidermek ve veri sahibinin haklarını uygulamak için en uygun önlemleri alması gerektiğini belirtiyor. “Denetleyici makam AB yasalarını ihlal eden hukuki bir durumla karşı karşıya kaldığında pasif kalabilseydi” şikayet prosedürü “tamamen işe yaramaz” olurdu.
Pikamäe, tasarruf bankasının veri koruma görevlisinin ilgili müşterinin artık risk altında olmadığını varsaydığını açıkladı. Çalışan hakkında zaten disiplin tedbirleri alınmış ve uygulamaya son verilmiştir. Eylül 2020'de eyalet veri koruma yetkilisi, etkilenen müşteriye daha fazla ihlal riskinin artık yüksek olmadığını bildirdi. Tasarruf bankasından ayrıca erişim kayıtlarını daha uzun süre saklaması istendi. Her erişimin temel kontrolü gerekli değildir.
Orantılı yaptırım
Ancak hakları ihlal edilen müşteri yaptırım talebinde bulundu. Pikamäe'ye göre denetim otoritesi aynı zamanda “uygun, gerekli ve orantılı önlemleri” almakla da yükümlü. “Size tanınan takdir yetkisini bilinçli bir şekilde ve GDPR gerekliliklerine uygun olarak kullanma” sorumluluğunuz vardır. Bir yaptırım, “en azından bazı durumlarda izlediği cezai amaç nedeniyle ve olası yüksek ciddiyet derecesi göz önüne alındığında”, özellikle de veri denetleyicisinin kendisi zaten düzeltici önlemler almışsa, aşırı olabilir. Ancak yetkili yalnızca uyarıda bulunabilir.
Sonuçlar Adalet Divanı için bağlayıcı değildir, ancak yargıçlar sıklıkla bunlara uymaktadır. Kararının birkaç ay içinde verilmesi bekleniyor.
(vbr)
Haberin Sonu
Duyuru
Veri koruma görevlisi pasif kaldı
Dava, 2020 yazında dönemin Hesse Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri (HBDI) ile temasa geçen bir tasarruf bankası müşterisiyle ilgilidir. Tasarruf Bankası çalışanı, finansal kurumun kendisi tarafından Kasım 2019'da veri koruma yetkilisine bildirilen verilere izinsiz olarak birkaç kez erişmişti. Veri koruma görevlisi, GDPR'nin ihlal edildiğini tespit etti ancak tasarruflara müdahale etmeyi gerekli görmedi. Çünkü banka zaten çalışana karşı disiplin tedbirleri almıştı.
Müşteri daha sonra Wiesbaden İdare Mahkemesi'nden veri koruma görevlisini tasarruf bankasına karşı dava açmaya zorlamasını talep etti. Diğer şeylerin yanı sıra, veri koruma görevlisinin para cezası vermesi gerektiğini iddia ediyor. Wiesbaden yargıçları daha sonra Avrupa Adalet Divanı'nı denetim otoritesinin yetkileri ve görevleri konusunda sorguladı. Başsavcı Pikamäe şimdi, Hessen yetkililerinin ihlali gidermek ve veri sahibinin haklarını uygulamak için en uygun önlemleri alması gerektiğini belirtiyor. “Denetleyici makam AB yasalarını ihlal eden hukuki bir durumla karşı karşıya kaldığında pasif kalabilseydi” şikayet prosedürü “tamamen işe yaramaz” olurdu.
Pikamäe, tasarruf bankasının veri koruma görevlisinin ilgili müşterinin artık risk altında olmadığını varsaydığını açıkladı. Çalışan hakkında zaten disiplin tedbirleri alınmış ve uygulamaya son verilmiştir. Eylül 2020'de eyalet veri koruma yetkilisi, etkilenen müşteriye daha fazla ihlal riskinin artık yüksek olmadığını bildirdi. Tasarruf bankasından ayrıca erişim kayıtlarını daha uzun süre saklaması istendi. Her erişimin temel kontrolü gerekli değildir.
Orantılı yaptırım
Ancak hakları ihlal edilen müşteri yaptırım talebinde bulundu. Pikamäe'ye göre denetim otoritesi aynı zamanda “uygun, gerekli ve orantılı önlemleri” almakla da yükümlü. “Size tanınan takdir yetkisini bilinçli bir şekilde ve GDPR gerekliliklerine uygun olarak kullanma” sorumluluğunuz vardır. Bir yaptırım, “en azından bazı durumlarda izlediği cezai amaç nedeniyle ve olası yüksek ciddiyet derecesi göz önüne alındığında”, özellikle de veri denetleyicisinin kendisi zaten düzeltici önlemler almışsa, aşırı olabilir. Ancak yetkili yalnızca uyarıda bulunabilir.
Sonuçlar Adalet Divanı için bağlayıcı değildir, ancak yargıçlar sıklıkla bunlara uymaktadır. Kararının birkaç ay içinde verilmesi bekleniyor.
(vbr)
Haberin Sonu