AB Adalet Divanı’nın dün aldığı bir karar, Schufa adlı bir Alman kredi skorlama şirketinin uygulamalarına karşı yapılan şikayetlerle ilgili olmakla birlikte, Genel Veri Koruma Yönetmeliği’nin (GDPR) geçerli olduğu tüm AB bölgesinde faaliyet gösteren kredi bilgi kuruluşları için geniş bir önem arz ediyor.
AB Adalet Divanı’nın değerlendirmeye aldığı şikayetlerden biri, kredi referans firması Schufa’nın Alman kamu iflas sicilinde sadece altı ay süreyle tutulması gereken borç ibra bilgilerini “uzun süre” saklamasıyla ilgiliydi. Bununla birlikte Alman kredi bilgi ajansları için olan yönetmelikte, kendi veri tabanları için üç yıllık bir saklama süresine izin veriliyor. Hessen Veri Koruma Kurumu, verilerin saklanmasıyla ilgili şikayeti bu gerekçeyle reddetmiş; ayrıca yerel mahkemenin kararını gözden geçiremeyeceğini savunmaya çalışmıştı. AB Adalet Divanı ise bu görüşe katılmadı ve verilerin 6 aydan uzun süre saklanmasını bir ihlal olarak değerlendirdi.
C-634/21 sayılı davaya (ayrıca C-26/22 ve C-64/22 sayılı birleştirilmiş davalar) ilişkin bir basın açıklamasında “Mahkeme, özel kurumların bu tür verileri kamu iflas sicilinden daha uzun süre tutmasının GDPR’ye aykırı olduğunu düşünmektedir” denildi. Basın açıklamasında ayrıca “Kalan borçlardan kurtulma, veri sahibinin ekonomik hayata yeniden girmesini sağlamaya yöneliktir ve bu nedenle söz konusu kişi için varoluşsal bir öneme sahiptir. Bu bilgi, veri sahibinin ödeme gücünü değerlendirirken hala olumsuz bir faktör olarak kullanılmaktadır. Bu durumda, Alman yasama organı verilerin altı ay süreyle saklanmasını öngörmüştür. Bu nedenle, altı ayın sonunda, veri sahibinin hak ve menfaatlerinin, kamunun bu bilgilere erişim hakkından daha öncelikli olduğunu düşünmektedir” deniliyor. “Verilerin saklanmasının hukuka aykırı olması halinde, altı ayın ötesinde olduğu gibi, veri sahibinin verileri sildirme hakkı vardır ve kurum verileri mümkün olan en kısa sürede silmekle yükümlüdür.”
AB’de Findeks benzeri kredi skorlama hizmetlerine kısıtlama
Özetle, AB Adalet Divanı kişi ve kurumlara ait borç bilgilerinin kredi skorlama hizmeti sağlayan şirketler (örneğin ülkemizdeki Findeks gibi) tarafından 6 aydan fazla süreyle saklanamayacağı, üstelik kişinin talebi olması halinde veri sahibine kendisiyle ilgili verileri sildirme hakkı verilmesi gerektiğini söylüyor.
AB Adalet Divanı ayrıca kredi skorlama şirketleri için oldukça varoluşsal görünen ikinci bir şikâyeti de karara bağladı. Bu diğer şikayet özünde Schufa’nın otomatik olarak kredi puanı verip veremeyeceğini sorguluyordu. GDPR’nin kendileri üzerinde yasal veya önemli etkileri olan otomatik kararlara tabi bireyler için koruma sağladığını göz önüne alan mahkeme önemli bir karara imza atarak Schufa’nın kredi puanlamasının “otomatik bireysel karar” olarak görülmesi gerektiğine hükmetti. Yani Schufa ve benzeri kredi notu belirleme firmaları kredi puanlaması yapabilmek için kişilerin açık rızasını almak zorunda kalacak gibi görünüyor.
Bunun nasıl bir etkisi olacak derseniz, örneğin bir finans kuruluşuna kredi almak için başvurduğunuzda veya bir araç kiralama firmasından araç kiralamak istediğinizde banka veya araç kiralama firması sizin bilginiz olmadan arka planda herhangi bir kredi skorlama kurumundan sizinle ilgili kredi notu sorgulaması yapamayacak.
Veri koruma otoritesi kararlarının “yargısal denetimi”
AB Adalet Divanı bir başka önemli kararında ise ulusal mahkemelerin bir veri koruma otoritesinin (ülkemizdeki KVKK kurumu gibi) yasal olarak bağlayıcı herhangi bir kararı üzerinde “inceleme” yetkisi olduğunu ve bu yetkiyi kullanması gerektiğine hükmetti. Yani KVKK benzeri veri otoritesi kurumlarının aldıkları herhangi bir karar tam olarak bağlayıcı olamayacak ve ulusal mahkemelerde itiraz yolu açılacak.
Veri koruma otoriteleri şikayetler üzerine harekete geçmemeleri nedeniyle son dönemde mahremiyet grupları tarafından sıklıkla eleştiriliyordu. Bu mahremiyet gruplarından birisi olan None of Your Business (noyb – “seni ilgilendirmez”) konuyla ilgili yaptığı açıklamada “AB adalet Divanı kararı, veri otoriteleri üzerindeki baskıyı büyük ölçüde arttırdı. Almanya da dahil olmak üzere bazı AB üye ülkelerinde bu otoriteler şimdiye kadar veri sahiplerinden gelen GDPR şikayetlerinin sadece bir tür ‘dilekçe’ olduğunu varsaymışlardır. Uygulamada bu durum, yıllık 100 milyon Euro’luk bütçeye rağmen Alman veri otoritelerinin pek çok şikayeti tuhaf gerekçelerle reddettiği ve GDPR ihlallerinin takip edilmediği anlamına gelmektedir” diyor ve ekliyor:
“İrlanda gibi ülkelerde şikayetlerin %99’undan fazlası işleme alınmamış, Fransa’da ise ilgili kişilerin kendi haklarıyla ilgili prosedüre katılma hakları reddedilmiştir. Mevcut davadaki Hessen makamı gibi bazı veri otoriteleri mahkemelerin kararlarını ayrıntılı olarak incelemelerinin yasak olduğunu bile ileri sürmüşlerdir. AB Adalet Divanı bu kararıyla artık bu yaklaşıma son vermiştir ve GDPR’nin 77. Maddesinin veri sahiplerinin hak ve menfaatlerini etkin bir şekilde koruyacak bir mekanizma olarak tasarlandığına hükmetmiştir. Buna ek olarak mahkeme, GDPR’nin 78. Maddesinin ulusal mahkemelerin veri otoritesi kararlarını tam olarak gözden geçirmesine izin verdiğine hükmetmiştir. Bu karar ayrıca, yetkililerin takdir yetkilerinin sınırları dahilinde hareket edip etmediklerinin değerlendirilmesini de içermektedir.”
Daha yüksek veri koruma yükümlülüğü cezaları mı geliyor?
Bu iki önemli karar, ABAD tarafından dün verilen ve hukuk uzmanlarının tüzel kişilere para cezası verilmesine ilişkin gereklilikleri azalttığı için GDPR (veri koruma yükümlülüğü) ihlallerine yönelik önemli ölçüde daha yüksek cezalarla sonuçlanabileceğini öne sürdüğü bir başka kararı (kısmen Almanya’daki bir başka dava başvurusu yoluyla) takip ediyor.
Dolayısıyla, bu davada (C-807/21), Mahkeme para cezası verilebilmesi için hatalı davranışın gerekli olduğuna karar verirken – yani GDPR ihlalinin “kasıtlı veya ihmalkar” bir şekilde işlenmiş olması gerektiğine karar verirken – yargıçlar ayrıca, bir kontrolörün tüzel kişi olduğu durumlarda, ihlalin yönetim organı tarafından işlenmiş olmasının gerekli olmadığını veya bu organın söz konusu ihlal hakkında bilgi sahibi olmasının gerekli olmadığını söyledi.
Ayrıca, herhangi bir para cezasının hesaplanmasında, denetim makamının “rekabet hukuku kapsamında bir ‘teşebbüs'” kavramını esas almasını şart koşmuşlardır (diğer bir deyişle, Mahkeme PR’ye göre, “para cezasının azami tutarı, bir bütün olarak ele alındığında, ilgili teşebbüsün bir önceki iş yılında dünya çapındaki toplam yıllık cirosunun bir yüzdesi temelinde hesaplanmalıdır” – veya temel olarak, tüm bir şirketler grubunun geliri, bu grubun tek bir birimi tarafından işlenen bir ihlal için GDPR cezasını hesaplamak için kullanılabilir).
Hukuk firması Clyde & Co. ortağı Jan Spittka, GDPR cezalarının daha ağır olabileceğini öngördü. Spittka yaptığı açıklamada, “Kararın genel bağlamı, AB üye ülkelerinin veri koruma denetim makamlarının tüzel kişilere yaptırım uygulamasını çok daha kolay hale getirecek ve ayrıca ortalama olarak önemli ölçüde daha yüksek para cezalarıyla sonuçlanması muhtemeldir” dedi.
Bu kararların Avrupa’da büyük yansımaları olacağına kesin gözüyle bakılırken, ülkemizde nasıl bir etkiye sahip olacağını kestirmek güç. Malum ülkemizde bankaların arka planda kredi skorlama sorgusu yapması bir yana, artık ev kiralarken bile “Findeks raporu” sorulmaya başlanmış durumda
