Makale
Veri sorumlusunun hukuki sorumluluğu, kişisel verilerin hukuka aykırı işlenmesi neticesinde doğan zararların tazminini odağına alır. Bu sorumluluk, kusurdan ziyade organizasyon eksikliğine dayanan, objektif özen yükümlülüğü çerçevesinde değerlendirilen kusursuz bir sorumluluk türüdür ve veri sorumlularını geniş bir denetim ağına tabi tutar.
Veri Sorumlusunun Hukuki Sorumluluk Rejimi ve Şartları
Kişisel verilerin korunması hukukunda veri sorumlusunun hukuki sorumluluğu, dijitalleşen dünyada en çok tartışılan ve üzerinde titizlikle durulması gereken hukuki müesseselerden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, veri sorumlusu yalnızca verileri işleyen kişi değil, aynı zamanda bu işleme faaliyetinin arkasındaki organizasyonun kurucusu ve yöneticisi konumundadır. Bu kurucu hakimiyet, veri sorumlusuna ağır bir hukuki yükümlülük tablosu sunar. Kanunun 11. maddesinin 1. fıkrasının (ğ) bendi, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan kişilere zararın giderilmesini talep etme hakkı tanımıştır. Uygulamada bu sorumluluğun hukuki niteliği, haksız fiil, sözleşmeye aykırılık veya kusursuz sorumluluk halleri üzerinden şekillenmektedir. Ancak modern hukuk yaklaşımı ve kanunun koruma amacı dikkate alındığında, veri sorumlusunun sorumluluğunun klasik kusur sorumluluğunu aştığı açıkça görülmektedir. Veri işleme süreçlerinin içerdiği teknik ve idari karmaşıklık, zarara uğrayan ilgili kişilerin ispat yükünü hafifletmeyi ve veri sorumlusunun kurduğu sistemden kaynaklanan riskleri bizzat üstlenmesini zaruri kılmaktadır.
Kusursuz Sorumluluk ve Organizasyon Sorumluluğu
Veri sorumlusunun tazminat sorumluluğunun hukuki niteliği incelendiğinde, bu rejimin klasik kusur sorumluluğu ilkeleriyle tam olarak bağdaşmadığı sonucuna varılır. Veri sorumlusunun elde ettiği ticari kar, sahip olduğu bilgi asimetrisi ve kurduğu devasa veri işleme organizasyonu, zarar gören ilgili kişinin veri sorumlusunun kusurunu ispat etmesini neredeyse imkansız hale getirir. Bu bağlamda, kanun kapsamındaki hukuki sorumluluk bir kusursuz sorumluluk türü olan ve objektif özen yükümlülüğüne dayanan organizasyon sorumluluğu olarak kabul edilmelidir. Veri sorumlusu, sisteminin zararı önlemeye elverişli olduğunu, gerekli tüm idari ve teknik tedbirleri aldığını ispat etmedikçe doğan zararlardan sorumlu tutulur. Borçlar mevzuatımız ile paralellik gösteren bu yapı, veri sorumlusunu, işletmesinin çalışma düzeninin kusursuz işlediğini kanıtlamaya zorlar. Söz konusu sorumluluktan kurtulmanın yegane yolu, uygun güvenlik düzeyini temin etmeye yönelik kanuni tedbirlerin tam ve eksiksiz alındığının hukuken delillendirilmesidir.
Sorumluluğun Doğması İçin Gerekli Şartlar
Veri sorumlusunun hukuki sorumluluğunun doğabilmesi için, genel tazminat hukuku prensiplerinde olduğu gibi belirli şartların kümülatif olarak bir arada bulunması şarttır. Öncelikle, veri işleme faaliyetinin kanuni işleme şartlarına aykırı şekilde gerçekleştirilmesinden kaynaklanan açık bir hukuka aykırılık eylemi bulunmalıdır. İkinci olarak, bu hukuka aykırı fiil neticesinde ilgili kişinin malvarlığında veya manevi dünyasında telafi edilmesi gereken net bir maddi veya manevi zarar meydana gelmiş olmalıdır. Salt hukuka aykırılık, zarar doğmadıkça tazminat sorumluluğunu doğrudan tetiklemez. Üçüncü önemli şart ise söz konusu hukuka aykırı eylem ile meydana gelen zarar arasında, mantıksal ve hukuki bir bağ olan uygun illiyet bağı bulunmasıdır. Eğer ki doğan zarar, veri sorumlusunun hiçbir kontrolü olmayan ve üçüncü bir kişinin ağır kusurundan yahut mücbir sebepten kaynaklanmışsa, illiyet bağının kesildiği kabul edilir ve sorumluluk bütünüyle ortadan kalkar.
Diğer Sorumluluk Kaynakları
Kanun kapsamındaki doğrudan sorumluluğun yanı sıra, veri sorumlusu ile ilgili kişi veya yardımcı şahıslar arasındaki ilişkinin niteliğine göre farklı hukuki sorumluluk kaynakları da devreye girebilmektedir. Özellikle taraflar arasında sözleşmesel bir hukuki bağ bulunuyorsa, bu durum sorumluluk rejiminin kurallarını doğrudan etkiler ve ilgili kişiye daha korunaklı bir yargısal zemin sağlar. Hukuk sistemimizde veri sorumlusunun karşısına çıkabilecek alternatif sorumluluk dayanakları şunlardır:
- Sözleşmeye Aykırılık: Taraflar arasında mevcut olan sözleşmenin ihlali veya sözleşme öncesi görüşmelerdeki dürüstlük kuralına aykırı eylemler.
- Adam Çalıştıranın Sorumluluğu: Veri sorumlusunun kendi organizasyonu içindeki personelinin hukuka aykırı veri işleme faaliyetleri nedeniyle oluşan zararların üstlenilmesi.
- Yardımcı Kişilerin Fiillerinden Sorumluluk: Veri işleyen gibi dışarıdan hizmet alınan üçüncü kişilerin neden olduğu ihlallerin ve zararların veri sorumlusuna atfedilmesi.
- Sebepsiz Zenginleşme ve Vekaletsiz İş Görme: Veri sorumlusunun hukuka aykırı bir veri işleme neticesinde kendi malvarlığında haksız zenginleşme sağlaması veya başkasına ait veriyi kendi çıkarına kullanması hali.
Maddi ve Manevi Tazminat Davaları
Kişisel verilerin hukuka aykırı işlenmesi neticesinde ilgili kişinin zarara uğraması, hukuki süreçlerin en belirgin sonucu olan tazminat davaları yoluyla mahkemeler nezdinde çözüme kavuşturulur. Kişisel verisi rızası veya kanuni bir dayanak olmaksızın ifşa edilen, paylaşılan veya işlenen bir kişi, bu eylemden dolayı kaçırdığı iş fırsatları veya uğradığı ticari kayıplar nedeniyle maddi tazminat talebinde bulunabilir. Maddi zararların tespiti ve ispatı kimi zaman oldukça meşakkatli olsa da, asıl yargısal yoğunluk manevi zararlar alanında görülmektedir. Kişilik haklarının ayrılmaz bir parçası olan kişisel verilerin yetkisiz şekilde ifşası, bireyin iç dünyasında derin üzüntü, elem ve psikolojik sarsıntılara yol açtığından, mağdurun manevi tazminat davası açma hakkı yasal olarak doğar. Veri sorumlusunun hukuka aykırılığı giderecek ve ihlalin etkilerini bertaraf edecek şekilde nakdi tazmin yükümlülüğü bulunmaktadır; bu durum, veri güvenliğini sağlamada ve hakları korumada en temel yargısal güvencedir.