GDPR ve Toplu Davalar
Giriş
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara[1] ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir.[2] Direktif’in etkisiyle, veri koruma da dahil olmak üzere pek çok alanda toplu davaların yaygınlaşması öngörülmektedir.
Zaman Çizelgesi
24 Kasım 2020'de Avrupa Parlamentosu'nda onaylanan Direktif, 2020 sonunda yürürlüğe girdi.
25 Aralık 2022'ye kadar AB Üye Devletleri tarafından iç hukuklara aktarılacak, Direktif’te öngörülen tedbirler 25 Haziran 2023’ten itibaren uygulanacaktır.
Direktif’in Kapsamı
Tüketici grupları için güçlü bir hukuki koruma getiren Direktif’in, AB hukukunun (kişisel verilerin korunması, finansal hizmetler, enerji, telekomünikasyon, sağlık ve çevreye dair mevzuatın) ihlali durumunda toplu davaların önünü açması beklenmektedir.
Direktif hazırlanırken toplu davaların kötüye kullanımının önüne geçecek tedbirler gözetilmiş, tüketicileri temsilen toplu dava açma yetkisi “belirli” kurumlar ile sınırlandırılmıştır.
Üye Devlet hukuklarında toplu davalara ilişkin farklı usuller uygulandığından, Direktif yoluyla bu alanda büyük bir uyum sağlanacaktır. Ancak, Direktif’in iç hukuka aktarımı sırasında Üye Devletler’in bazı konularda takdir yetkisi olduğundan, iç hukuklarda az da olsa farklılaşan uygulamalar olabilecektir.
Örneğin Üye Devletler, “opt-out” mekanizmasını uygulayıp uygulamama konusunda serbestiye sahip olacaktır. Anılan mekanizmanın uygulanması halinde belli bir sınıfa giren tüm tüketiciler, özellikle aksini belirtmedikleri sürece, muhtemel bir toplu davaya dahil edilecektir. Benzer şekilde Üye Devletler, iç hukukta görülen davalar bakımından tüketicileri temsilen dava açmaya yetkili kurumlara ilişkin kriterleri belirleyebilecektir.[3] Ancak AB genelini ilgilendiren davalar bakımından tüketicileri temsilen dava açabilecek kurum kriterleri Üye Devletler takdirinde olmayacaktır.
Bu nedenle, çok sayıda ve farklı ülkelerden tüketiciyle iş yapan şirketlerin, karşılaşabilecekleri toplu dava risklerini gözetirken her bir Üye Devlet hukukundaki nüansları takip etmesi gerekecektir.
Direktifin GDPR İle İlgili Toplu Davalara Etkisi
Direktif, sınır ötesi toplu davaları da düzenleyerek, farklı Üye Devletlerde dava açılmasını kolaylaştırmaktadır. Böylece, halihazırda son derece hareketli olan veri ihlali uyuşmazlıklarını daha da artırması beklenmektedir.
Yakın zamanda verilen kararlar da bu yöndeki gelişimi doğrulamaktadır. Almanya'daki bir tüketici koruma derneği, Alman mahkemesi önünde Meta Platforms Ireland'a tüketicileri temsilen tedbir talebinde bulunmuştur. Almanya Federal Mahkemesi, derneğin tüketicileri temsilen dava açabilmesi meselesini Avrupa Birliği Adalet Divanı'na (“ABAD”) danışmıştır.
ABAD, 28 Nisan 2022 tarihli Meta Platforms Ireland kararıyla Genel Veri Koruma Tüzüğü'nün (“GDPR”)[4] tüketicileri temsilen bu tür dernek/kurumların toplu dava açmasına imkan tanıyan ulusal düzenlemeleri dışlamadığı sonucuna varmıştır:[5]
“Yukarıda belirtilen tüm hususlar ışığında, atıfta bulunulan sorunun cevabı, kişisel verileri koruyan yasaların ihlalinden sorumlu olduğu iddia edilen kişiye karşı, haksız ticari uygulamalar yasağının ihlali, tüketiciyi koruma yasasının ihlali veya geçersiz genel hüküm ve koşulların kullanılması yasağı temelinde, ilgili veri işlemenin kimliği belirli veya belirlenebilir gerçek kişilerin bu düzenlemeden kaynaklanan haklarını etkileyebileceği durumlarda, GDPR madde 80(2)'nin, bir tüketiciyi koruma derneğinin, bu amaçla kendisine verilmiş bir yetki olmaksızın ve veri sahiplerinin belirli haklarının ihlalinden bağımsız olarak yasal işlem başlatmasına izin veren ulusal mevzuatı engellemediği şeklinde yorumlanması gerektiğidir.” [6]
Kararda, derneklerin “bağımsız” bir dava ehliyetine sahip olduğu, anılan uyuşmazlıklar başlatılırken tüketicilerden özel yetki alınmasına gerek olmadığı vurgulanmıştır.[7]
ABAD’ın AB nezdinde uyum süreci devam eden hukuki düzenlemelere paralel kararıyla GDPR ile toplu davalar arasındaki ilişkiyi yakınlaştırdığı görülmektedir.
Sonuç
Toplu Tazminat Direktifi, tüketici grupları için kişisel veri ihlallerinin AB-genelinde ve sınır ötesi toplu davalar yoluyla ileri sürülmesi yönünde güçlü bir hukuki koruma getirmiştir. ABAD kararları da bu yöndeki gelişmeyi desteklemektedir.
Tüketici dernekleri AB hukukunu ilgilendiren geniş kapsamlı pek çok uyuşmazlıkta tüketicileri temsilen dava açmaya yetkili olacağından, çok sayıda tüketiciyle iş yapan şirketlerin yakın gelecekte özellikle kişisel veri ihlallerinden doğan toplu davalar ve daha da büyüyen tazminat talepleriyle karşılaşacağı öngörülmektedir.
- Bu makalede toplu hak arama yöntemi için topluluk/sınıf/temsilci/birlik davaları ayrımına girilmeksizin toplu dava kavramı kullanılmıştır.
- The Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC, OJ L 409, 4.12.2020, s. 1–27.
- Tjon-En-Fa Evelyn, Hurst Bryony, Lanzkron Louise, Bird & Bird Insight: “In preparation for the new Collective Redress Directive our dispute resolution lawyers have created some tools to help”, Bird & Bird 23.06.2022, https://www.twobirds.com/en/insights/2022/global/in-preparation-for-the-new-collective-redress-directive (Erişim tarihi: 24.08.2022).
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119, 4.5.2016, s. 1–88.
- C-319/20, Meta Platforms Ireland Limited, formerly Facebook Ireland Limited v. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., 28.04.2022, ECLI:EU:C:2022:322, (Erişim Tarihi: 24.08.2022).
- Atıf yapılan bölüm yazarın tercümesidir: C-319/20, Meta Platforms Ireland Limited, formerly Facebook Ireland Limited v. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., 28.04.2022, ECLI:EU:C:2022:322.
- De Cicco Diletta, Downes James, Mallon Leigh, Helleputte Charles-Albert: “European Court Boosts Representative Actions for GDPR Infringements”, Steptoe Client Alert, 05.05.2022, (Erişim Tarihi: 24.08.2022).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
