Lloyd v Google LLC Karari - Kisisel verilere iliskin tazminat talepleri topluluk davasi konusu olabilir mi?1
Birlesik Krallik Yüksek Mahkemesi, 10 Kasim 2021 tarihli Lloyd v Google karariyla ("Karar") Google'a karsi Lloyd'un ("Davaci") Birlesik Krallik'ta, yetki alani disindan temsili dava açma talebini oybirligiyle reddetmistir. Karar, kisisel veri uyusmazliklari kapsaminda tazminat taleplerine iliskin önemli degerlendirmeler içermektedir. Mahkeme, kisisel verilere iliskin tazminat talepleri bakimindan zararin kanitlanmis olmasini aramistir. Karar bu açidan veri sorumlulari için önem arz etmektedir. Karar ayrica kisisel verilere iliskin uyusmazliklarin topluluk davasi konusu olup olamayacagina iliskin degerlendirmeleri bakimindan da belirleyicidir. Nitekim mahkeme, kisisel verilere iliskin tazminat taleplerinin topluluk davasi konusu olamayacagina karar vermistir.
Karar'a Konu Olay
Google, Avrupa Birligi Genel Veri Koruma Tüzügü ("GDPR") ve 2018 Birlesik Krallik Veri Koruma Yasasi'nin yürürlüge girmesinden önce 2011 ve 2012 yillari arasinda Apple'in Safari tarayicisinda yeni reklamcilik özelliklerinin kullanilmasina iliskin sorunlar yasamistir.
Google, Safari'de yeni reklamcilik özelliklerini kullanima sunabilmek için geçici bir çözüm olarak Safari'deki üçüncü taraf pazarlama korumalarini egale ederek, Safari kullanicilarinin rizasi veya bilgisi olmadan cihazlara "DoubleClick" reklam çerezleri yerlestirmistir.
Çerezlerin yerlestirilmesi ile Google, Safari kullanicilarinin verilerini, ilgili kisilerin bilgisi veya rizasi olmadan ticari amaçlarla toplamis ve bu da reklamcilarin tarayici geçmislerine dayali hedefli reklamlar sunmasini saglamistir.
Bu iddialara iliskin yasal süreç ABD'de sonuçlanmistir ve söz konusu iddialar Birlesik Krallik mahkemelerinde de farkli davacilar tarafindan dava konusu yapilmistir (Vidal-Hall v. Google Inc). Bununla birlikte, Vidal-Hall davasinda talepler bir topluluk adina ileri sürülmemistir ve mevcut davadaki iddialardan daha farkli iddialar öne sürülmüstür (örnegin, Google'in davacilarin özel bilgilerini haksiz yere kötüye kullandigi iddia edilmistir).
Tüketici haklari aktivisti olan Davaci Llyod, 1998 tarihli Veri Koruma Yasasi ("DPA 1998") uyarinca Google'in uyguladigi bu geçici çözümün Google'in ilgili kisilerin faaliyetlerini gizlice izlemesine ve riza almadan veri toplamasina izin verdigini iddia ederek, Google'dan tazminat talep etmistir.
Davaci'nin iddialari neler?
Davaci, Google'in geçici çözümü kullandigi dönemde Birlesik Krallik'taki tüm iPhone kullanicilari adina - yaklasik 4 milyon kisi - bu davayi açmak istemistir. ABD'de yaygin olan "topluluk davalari", Birlesik Krallik kanunlarinda daha sinirli düzenlenmistir. Bununla birlikte, Birlesik Krallik Hukuk Muhakemeleri Kanunu "müsterek menfaate" sahip bir grup insani temsilen tek bir davacinin talepte bulunmasina izin vermektedir.
Davaci, söz konusu olaydan etkilenen tüm ilgili kisilerin kendi verileri üzerindeki hakimiyetlerini kaybettiklerini ve bu nedenle müsterek menfaate sahip olduklarini iddia etmistir. Davaci, ayrica, müsterek menfaat sarti saglandigi için tazminat tutarinin belirlenmesi sirasinda her bir ilgili kisi bazinda degerlendirme yapilmasina gerek olmadigini iddia etmistir. Bu kapsamda her bir ilgili kisi için 750 Ingiliz Sterlini tutarinda tazminat talep etmistir. 4 milyon kullanici için tazminat talep edildigi göz önünde bulunduruldugunda, Google'in ödemesi gereken toplam tutar 3 milyar Ingiliz Sterlinine ulasmaktadir.
Öte yandan Davaci, Ingiliz mevzuati geregi Google ABD'de kurulu bir sirket oldugundan, yetki alani disinda dava açabilmek için mahkemenin iznini almak zorundadir. Google, verilerin "hakimiyetinin kaybedilmesi" nedeni ile tazminat talep edilebilmesi için maddi zarar veya tehlike hali bulundugunun kanitlanmasi gerektigini, aksi halde DPA 1988 uyarinca tazminat talep edilmesinin mümkün olmadigini ileri sürmüs ve Davaci'nin taleplerinin temsili dava için uygun olmadigindan hareketle talebe itiraz etmistir.
Ilk derece mahkemesi Google'in lehine karar vererek davayi görmeyi reddetse de, Birlesik Krallik Temyiz Mahkemesi ilk derece mahkemesinin kararini bozarak konuyu Yüksek Mahkeme'ye tasimistir.
Karar neler söylüyor?
Yüksek Mahkeme, oybirligiyle tazminat taleplerinin basarili olma ihtimalinin bulunmadigina karar vermis ve ilk derece mahkemesinin ret kararini onayarak Google'a karsi dava açilmasina izin vermemistir.
Temsili davalara iliskin genel bilgiler
Mahkeme, analizine temsili davalarin degerlendirilmesi ile baslamistir ve temsili davalara izin verilip verilmemesi konusunda alti temel prensip bulundugunu belirtmistir:
- Toplulugu temsil eden kisinin temsil edilen kisiler ile "müsterek menfaati" bulunmalidir.
- Mahkemeler temsili davanin devam etmesine izin verip vermeme konusunda genis bir takdir yetkisine sahiptir.
- Temsilcinin, temsil ettigi kisilerin onayina ihtiyaci yoktur ve temsil edilen kisilerin kendi adlarina dava açildigindan haberdar olmamalari dahi mümkündür.
- Toplulugun tanimlanmasi konusunda esneklik vardir.
- Temsili davaya taraf olmayan ancak temsil edilen kisiler, genellikle talep kapsaminda ortaya çikan masraflari ödemekle yükümlü degildir.
- Tazminat talebinin kapsami her durum için farkli olabilecektir. Bazi durumlarda kisiler özelinde degerlendirme yapilmasi gerekmektedir. Ancak temsil edilen her bir kisinin sabit bir bedel üzerinden zarara ugradigi durumlarda tazminat talebi temsili dava konusu olabilecektir.
Lord Leggatt (Birlesik Krallik Yüksek Mahkemesi Hakimi), kural olarak, veri sorumlusunun sorumlulugunun ve DPA 1998'i ihlal edip etmediginin temsili dava konusu olabilecegini belirtmistir. Temsili dava ile veri sorumlusunun sorumlulugu belirlendikten sonra ilgili kisiler açacaklari ayri davalar ile tazminat talep edebileceklerdir. Bu sekilde Google'in geçici çözümünden ne süreyle etkilendikleri, hangi tür verilerin yasal olarak islendigi, ne kadar verinin yasa disi olarak islendigi vb. degerlendirmeler yapilarak tazminat tutari belirlenebilecektir. Ancak söz konusu yaklasim Karar'a konu davada kullanilmamis ve temsili dava yoluna gidilmistir.
DPA 1998 uyarinca zarar
Davaci iki iddia ileri sürmüstür.
Ilk iddiasi, DPA 1988'in 13. maddesi uyarinca ilgili kisilerin tazminata hak kazanabilecegidir. Davaci, bir veri sorumlusunun DPA 1988 kapsamindaki herhangi bir yükümlülügünü ihlal ettiginde bunun verilerin hakimiyetinin kaybedilmesine neden olacagini ve bu kapsamda tazminat talep edilebilecegini iddia etmistir. Mahkeme bu iddiayi reddetmistir. Mahkeme, kisisel verilerin hakimiyetinin kaybedilmesinin Davaci'nin iddia ettigi sekilde DPA 1988 uyarinca "zarar" teskil etmedigine karar vermistir. Mahkemeye göre veri koruma rejiminin ihlal edilmesi zarar anlamina gelmemektedir. Zarar, maddi zarari (yani finansal zarar, fiziksel veya psikolojik zarar) veya bazi durumlarda verilerin yasadisi islenmesinden kaynakli olan tehlike halini (distress) ifade etmektedir. Bu nedenle, ilgili kisilerin verilerinin hakimiyetini kaybettigi iddiasi tek basina yeterli olmayip bunun yerine, ihlalden kaynaklanan zararin kanitlanmasi gerekmektedir. Zararin kanitlanmasi için ise her bir ilgili kisi özelinde degerlendirme yapilmalidir.
Davaci'nin ikinci iddiasi ise ilgili kisilerin, Google'dan, "kullanici zarari (user damage - Ingiliz hukukunda haksiz fiil kapsaminda talep edilen bir tazminat türü)" talep etme hakkina sahip oldugudur. Mahkeme, kullanici zararlarinin tazmin edilmesine iliskin ilkelerin DPA 1998 kapsamindaki tazminat talepleri için uygulanabilir olmadigina karar vermistir. Geçerli bir tazminat talebi için DPA 1988'in 13. maddesi uyarinca maddi zararin veya tehlikenin kanitlanmasi gerekmektedir.
Mahkeme ilgili kisilerin maddi zarara ugradigi veya tehlikeye maruz kaldigi kanitlanamadigi için Davaci'nin iddialarinin temellendirilmesinin mümkün olmadigina karar vermis olsa da, iddialarin bu husus kanitlanmadan öne sürülmesinin mümkün olup olmadigini da ayrica degerlendirmistir. Mahkeme bu degerlendirmesinde de temsili davanin basarisiz olacagi sonucuna varmistir. Söyle ki, tazminat miktarini belirlemek için her bir ilgili kisi açisindan hukuka aykiri veri isleme faaliyetinin kapsaminin belirlenmis olmasi gerekecektir. Ilgili kisilerin ihlalden etkilendikleri süre, hukuka aykiri olarak islenen verilerin boyutu ve hassasiyeti ve Google tarafindan söz konusu veri isleme faaliyetleri sonrasinda elde edilen ticari kazanç farkli oldugu için tazminat tutari da her bir ilgili kisi için farkli olacaktir.
Karar'dan Çikarilan Önemli Sonuçlar:
Karar, Birlesik Krallik mahkemelerinin verilerin korunmasina iliskin tazminat taleplerine yaklasimini ve temsili davalara iliskin bazi hususlari ortaya koymaktadir.
Karar'in en önemli sonucu temsili davalara iliskin degerlendirmeleridir. Karar sonrasinda artik benzer bir temsili dava açmak isteyen davacilarin, veri sorumlusunun sorumlulugunun belirlenmesi disinda kisisel verilerin kötüye kullanimi iddiasini temsili dava konusu yapmalari mümkün gözükmemektedir.
Karar'in verilerin korunmasina iliskin sonuçlari ise süphesiz veri sorumlulari açisindan sevindiricidir. Karar'in eski Birlesik Krallik yasalarina göre verilmesi ve GDPR açisindan etki dogurmamasina ragmen, Karar'da belirtilen bazi ilkelerin mevcut Birlesik Krallik yasalariyla iliskili oldugu görülmektedir. Özellikle, tek basina veri koruma yasalarinin ihlal edilmis olmasinin dava açmak için yeterli olmadigi ve davacilarin zararlarini mahkemeyi ikna edecek sekilde kanitlamasi gerektigi önem arz etmektedir. Ilaveten, sadece GDPR'in ihlal edilmis olmasi nedeniyle kisisel verilerin hakimiyetinin kaybedildigine iliskin iddialarin artik mahkemeler nezdinde karsilik bulamayacagi söylenebilecektir.
Footnote
1. Bu makale Paul Glass, James Parker ve Natasha Denton tarafindan bakermckenzie.com'da paylasilmak için kaleme alinmis ve isbu Bülten'e uyarlanmak için kisaltilmistir. Tam metne: https://viewpoints.bakermckenzie.com/post/102hbq2/lloyd-v-google-llc-what-limits-are-there-on-data-protection-class-actions-adresinden-ulasabilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
