hadicanim
Aktif Üye
Perşembe günü, Avrupa Adalet Divanı (ECJ), Genel Veri Koruma Yönetmeliği’ne (GDPR) dayanarak zararların tazmini konusunda geniş kapsamlı bir karar verdi. Buna göre, bir şirkete veya otoriteye yönelik bir siber saldırının ardından veri sahibinin kişisel verilerinin, GDPR’nin ihlali sonucunda üçüncü taraflarca kötüye kullanılabileceğinden korkması, “maddi olmayan zarar” teşkil edebilir. Bu, saldırıya uğrayan kurumun aynı zamanda zararlardan da sorumlu olacağı anlamına gelir.
Reklamcılık
Geniş gereksinimler mümkün
Zaten Mayıs ayında ABAD, GDPR’nin hasarlar için bir önemlilik eşiği belirlemediğini ve geniş kapsamlı iddiaların mümkün olduğunu doğruladı. Her halükarda Lüksemburg yargıçlarına göre, siber suçluların yetkisiz erişim elde ettikten sonra Darknet’te kişisel bilgileri yayınlaması halinde tazminat mümkün olacak. Böyle bir durumda, etkilenen kurum ancak zarardan hiçbir şekilde sorumlu olmadığını ispatlayabildiği takdirde durumdan kurtulur. Alınan koruyucu önlemlerin uygun olduğunu kanıtlama yükümlülüğünü taşır. Mahkemeler, kişisel verilere izinsiz erişilmesi veya açıklanması nedeniyle BT güvenlik önlemlerinin yetersiz olduğu sonucunu çıkaramaz. Bu nedenle bunların nasıl kullanıldığını, nasıl çalıştığını veya başarısız olduğunu dikkatlice kontrol etmelisiniz.
C-340/21 Davası, Bulgar vergi dairesi Ulusal Gelir Dairesi’nin (NAP) BT sistemine yönelik bir siber saldırıyla ilgilidir. Temmuz 2019’da basında çıkan haberlere göre, saldırı sonucunda milyonlarca kişinin kişisel verileri internette yayınlandı. Daha sonra çok sayıda vergi ödeyen vatandaş, verilerinin olası kötüye kullanılması endişesinden dolayı uğradıkları söylenen maddi olmayan zararın tazmini için NAP’a dava açtı. Bulgaristan Yüksek İdare Mahkemesi, ABAD’a GDPR’nin yorumlanmasına ilişkin çeşitli sorular sundu ve Lüksemburg yargıçları da artık bu soruları yanıtladı.
Uzmanlar şimdi kararın etkisini, özellikle de şu ana kadar veri koruma ihlalleri için tazminat tanıma konusunda isteksiz olan yerel içtihatlar üzerindeki etkisini tartışıyor. Leipzig hukuk firması Spirit Legal’den Avukat Peter Hense X’e yazdı (eski adıyla Twitter) “Alman veri koruma kanunlarının uygulanmasını engelleyen içtihat ve literatürün dağları”nın bir kenara atılabileceğini söyledi. Öte yandan Berlinli meslektaşı Franz Burchert, yönergelerde “bireysel durumlarda bunun hangi verinin nereye ve ne ölçüde aktığına bağlı olduğunu” söylüyor.
Hasar açıkça belirtilmelidir
Bulgar vergi dairesine yapılan siber saldırının ardından etkilenenlerin çoğunun “büyük üzüntü” yaşaması bekleniyor. Bu manevi zararın her zaman derhal tazmin edilmesi gerekip gerekmediği ayrı ayrı incelenmelidir. Berlin’deki Noerr hukuk firmasından Pascal Schumacher, çevrimiçi olarak Haberler için yaptığı açıklamada, kararın “önemli sonuçlar doğurduğunu, çünkü korkular, endişeler ve korkuların genellikle bir kişinin siber saldırıdan sonra yaşadığı ilk bozulmayı temsil ettiğini” söyledi. Bu, “verilerin daha sonra gerçekten kötüye kullanılıp kullanılmamasından” bağımsızdır. Bu nedenle karar, başlangıçta birçok davacının hukuki konumunu buna dayanarak güçlendiriyor. Ancak ABAD, “ilgili kişinin bu endişe ve korkuları gerçekten yaşadığını ve bunu kanıtlayabilmesi gerektiğine” de dikkat çekiyor. Toplu davalarda uzmanlaşmış hukuk firmaları genellikle yalnızca “insanların duygularını tanımlamak için” metin modülleri kullandı. Bu muhtemelen “zararı kanıtlamak için” yeterli değildir.
(kbe)
Haberin Sonu
Reklamcılık
Geniş gereksinimler mümkün
Zaten Mayıs ayında ABAD, GDPR’nin hasarlar için bir önemlilik eşiği belirlemediğini ve geniş kapsamlı iddiaların mümkün olduğunu doğruladı. Her halükarda Lüksemburg yargıçlarına göre, siber suçluların yetkisiz erişim elde ettikten sonra Darknet’te kişisel bilgileri yayınlaması halinde tazminat mümkün olacak. Böyle bir durumda, etkilenen kurum ancak zarardan hiçbir şekilde sorumlu olmadığını ispatlayabildiği takdirde durumdan kurtulur. Alınan koruyucu önlemlerin uygun olduğunu kanıtlama yükümlülüğünü taşır. Mahkemeler, kişisel verilere izinsiz erişilmesi veya açıklanması nedeniyle BT güvenlik önlemlerinin yetersiz olduğu sonucunu çıkaramaz. Bu nedenle bunların nasıl kullanıldığını, nasıl çalıştığını veya başarısız olduğunu dikkatlice kontrol etmelisiniz.
C-340/21 Davası, Bulgar vergi dairesi Ulusal Gelir Dairesi’nin (NAP) BT sistemine yönelik bir siber saldırıyla ilgilidir. Temmuz 2019’da basında çıkan haberlere göre, saldırı sonucunda milyonlarca kişinin kişisel verileri internette yayınlandı. Daha sonra çok sayıda vergi ödeyen vatandaş, verilerinin olası kötüye kullanılması endişesinden dolayı uğradıkları söylenen maddi olmayan zararın tazmini için NAP’a dava açtı. Bulgaristan Yüksek İdare Mahkemesi, ABAD’a GDPR’nin yorumlanmasına ilişkin çeşitli sorular sundu ve Lüksemburg yargıçları da artık bu soruları yanıtladı.
Uzmanlar şimdi kararın etkisini, özellikle de şu ana kadar veri koruma ihlalleri için tazminat tanıma konusunda isteksiz olan yerel içtihatlar üzerindeki etkisini tartışıyor. Leipzig hukuk firması Spirit Legal’den Avukat Peter Hense X’e yazdı (eski adıyla Twitter) “Alman veri koruma kanunlarının uygulanmasını engelleyen içtihat ve literatürün dağları”nın bir kenara atılabileceğini söyledi. Öte yandan Berlinli meslektaşı Franz Burchert, yönergelerde “bireysel durumlarda bunun hangi verinin nereye ve ne ölçüde aktığına bağlı olduğunu” söylüyor.
Hasar açıkça belirtilmelidir
Bulgar vergi dairesine yapılan siber saldırının ardından etkilenenlerin çoğunun “büyük üzüntü” yaşaması bekleniyor. Bu manevi zararın her zaman derhal tazmin edilmesi gerekip gerekmediği ayrı ayrı incelenmelidir. Berlin’deki Noerr hukuk firmasından Pascal Schumacher, çevrimiçi olarak Haberler için yaptığı açıklamada, kararın “önemli sonuçlar doğurduğunu, çünkü korkular, endişeler ve korkuların genellikle bir kişinin siber saldırıdan sonra yaşadığı ilk bozulmayı temsil ettiğini” söyledi. Bu, “verilerin daha sonra gerçekten kötüye kullanılıp kullanılmamasından” bağımsızdır. Bu nedenle karar, başlangıçta birçok davacının hukuki konumunu buna dayanarak güçlendiriyor. Ancak ABAD, “ilgili kişinin bu endişe ve korkuları gerçekten yaşadığını ve bunu kanıtlayabilmesi gerektiğine” de dikkat çekiyor. Toplu davalarda uzmanlaşmış hukuk firmaları genellikle yalnızca “insanların duygularını tanımlamak için” metin modülleri kullandı. Bu muhtemelen “zararı kanıtlamak için” yeterli değildir.
(kbe)
Haberin Sonu