GDPR ve Toplu Davalar

31.08.2022 Tilbe Birengel

Giriş

Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara[1] ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir.[2] Direktif’in etkisiyle, veri koruma da dahil olmak üzere pek çok alanda toplu davaların yaygınlaşması öngörülmektedir.

GDPR ve Toplu Davalar
% 0

Zaman Çizelgesi

24 Kasım 2020'de Avrupa Parlamentosu'nda onaylanan Direktif, 2020 sonunda yürürlüğe girdi.

25 Aralık 2022'ye kadar AB Üye Devletleri tarafından iç hukuklara aktarılacak, Direktif’te öngörülen tedbirler 25 Haziran 2023’ten itibaren uygulanacaktır.

Direktif’in Kapsamı

Tüketici grupları için güçlü bir hukuki koruma getiren Direktif’in, AB hukukunun (kişisel verilerin korunması, finansal hizmetler, enerji, telekomünikasyon, sağlık ve çevreye dair mevzuatın) ihlali durumunda toplu davaların önünü açması beklenmektedir.

Direktif hazırlanırken toplu davaların kötüye kullanımının önüne geçecek tedbirler gözetilmiş, tüketicileri temsilen toplu dava açma yetkisi “belirli” kurumlar ile sınırlandırılmıştır.

Üye Devlet hukuklarında toplu davalara ilişkin farklı usuller uygulandığından, Direktif yoluyla bu alanda büyük bir uyum sağlanacaktır. Ancak, Direktif’in iç hukuka aktarımı sırasında Üye Devletler’in bazı konularda takdir yetkisi olduğundan, iç hukuklarda az da olsa farklılaşan uygulamalar olabilecektir.

Örneğin Üye Devletler, “opt-out” mekanizmasını uygulayıp uygulamama konusunda serbestiye sahip olacaktır. Anılan mekanizmanın uygulanması halinde belli bir sınıfa giren tüm tüketiciler, özellikle aksini belirtmedikleri sürece, muhtemel bir toplu davaya dahil edilecektir. Benzer şekilde Üye Devletler, iç hukukta görülen davalar bakımından tüketicileri temsilen dava açmaya yetkili kurumlara ilişkin kriterleri belirleyebilecektir.[3] Ancak AB genelini ilgilendiren davalar bakımından tüketicileri temsilen dava açabilecek kurum kriterleri Üye Devletler takdirinde olmayacaktır.

Bu nedenle, çok sayıda ve farklı ülkelerden tüketiciyle iş yapan şirketlerin, karşılaşabilecekleri toplu dava risklerini gözetirken her bir Üye Devlet hukukundaki nüansları takip etmesi gerekecektir.

Direktifin GDPR İle İlgili Toplu Davalara Etkisi

Direktif, sınır ötesi toplu davaları da düzenleyerek, farklı Üye Devletlerde dava açılmasını kolaylaştırmaktadır. Böylece, halihazırda son derece hareketli olan veri ihlali uyuşmazlıklarını daha da artırması beklenmektedir.

Yakın zamanda verilen kararlar da bu yöndeki gelişimi doğrulamaktadır. Almanya'daki bir tüketici koruma derneği, Alman mahkemesi önünde Meta Platforms Ireland'a tüketicileri temsilen tedbir talebinde bulunmuştur. Almanya Federal Mahkemesi, derneğin tüketicileri temsilen dava açabilmesi meselesini Avrupa Birliği Adalet Divanı'na (“ABAD”) danışmıştır.

ABAD, 28 Nisan 2022 tarihli Meta Platforms Ireland kararıyla Genel Veri Koruma Tüzüğü'nün (“GDPR”)[4] tüketicileri temsilen bu tür dernek/kurumların toplu dava açmasına imkan tanıyan ulusal düzenlemeleri dışlamadığı sonucuna varmıştır:[5]

“Yukarıda belirtilen tüm hususlar ışığında, atıfta bulunulan sorunun cevabı, kişisel verileri koruyan yasaların ihlalinden sorumlu olduğu iddia edilen kişiye karşı, haksız ticari uygulamalar yasağının ihlali, tüketiciyi koruma yasasının ihlali veya geçersiz genel hüküm ve koşulların kullanılması yasağı temelinde, ilgili veri işlemenin kimliği belirli veya belirlenebilir gerçek kişilerin bu düzenlemeden kaynaklanan haklarını etkileyebileceği durumlarda, GDPR madde 80(2)'nin, bir tüketiciyi koruma derneğinin, bu amaçla kendisine verilmiş bir yetki olmaksızın ve veri sahiplerinin belirli haklarının ihlalinden bağımsız olarak yasal işlem başlatmasına izin veren ulusal mevzuatı engellemediği şeklinde yorumlanması gerektiğidir.” [6]

Kararda, derneklerin “bağımsız” bir dava ehliyetine sahip olduğu, anılan uyuşmazlıklar başlatılırken tüketicilerden özel yetki alınmasına gerek olmadığı vurgulanmıştır.[7]

ABAD’ın AB nezdinde uyum süreci devam eden hukuki düzenlemelere paralel kararıyla GDPR ile toplu davalar arasındaki ilişkiyi yakınlaştırdığı görülmektedir.

Sonuç

Toplu Tazminat Direktifi, tüketici grupları için kişisel veri ihlallerinin AB-genelinde ve sınır ötesi toplu davalar yoluyla ileri sürülmesi yönünde güçlü bir hukuki koruma getirmiştir. ABAD kararları da bu yöndeki gelişmeyi desteklemektedir.

Tüketici dernekleri AB hukukunu ilgilendiren geniş kapsamlı pek çok uyuşmazlıkta tüketicileri temsilen dava açmaya yetkili olacağından, çok sayıda tüketiciyle iş yapan şirketlerin yakın gelecekte özellikle kişisel veri ihlallerinden doğan toplu davalar ve daha da büyüyen tazminat talepleriyle karşılaşacağı öngörülmektedir.

Kaynakça
  • Bu makalede toplu hak arama yöntemi için topluluk/sınıf/temsilci/birlik davaları ayrımına girilmeksizin toplu dava kavramı kullanılmıştır.
  • The Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC, OJ L 409, 4.12.2020, s. 1–27.
  • Tjon-En-Fa Evelyn, Hurst Bryony, Lanzkron Louise, Bird & Bird Insight: “In preparation for the new Collective Redress Directive our dispute resolution lawyers have created some tools to help”, Bird & Bird 23.06.2022, https://www.twobirds.com/en/insights/2022/global/in-preparation-for-the-new-collective-redress-directive (Erişim tarihi: 24.08.2022).
  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119, 4.5.2016, s. 1–88.
  • C-319/20, Meta Platforms Ireland Limited, formerly Facebook Ireland Limited v. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., 28.04.2022, ECLI:EU:C:2022:322, (Erişim Tarihi: 24.08.2022).
  • Atıf yapılan bölüm yazarın tercümesidir: C-319/20, Meta Platforms Ireland Limited, formerly Facebook Ireland Limited v. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., 28.04.2022, ECLI:EU:C:2022:322.
  • De Cicco Diletta, Downes James, Mallon Leigh, Helleputte Charles-Albert: “European Court Boosts Representative Actions for GDPR Infringements”, Steptoe Client Alert, 05.05.2022, (Erişim Tarihi: 24.08.2022).

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Hukuk Postası
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı

Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...

Kişisel Verilerin Korunması 31.07.2022
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza
Hukuk Postası
Unutulma Hakkı
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
İlaç Sektöründen Gelen KVK Kılavuzu
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Kişisel Verilerin İmhası
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.