ABAD'ın Anlayışlı Kararı GDPR'nin Veri Tanımlanabilirliği Kapsamına Işık Tutuyor

Avrupa Birliği Adalet Divanı (ABAD), C-319/22 sayılı Gesamtverband Autoteile-Handel v. Scania davasında, veri koruma ve araç bilgisi paylaşımı alanlarını şekillendiren etkili bir karar verdi.

🔑 Temel Çıkarımlar:

🔸 Araç Kimlik Numaralarına (VIN) erişim: AB yasası, otomobil üreticilerinin VIN’ler de dahil olmak üzere gerekli bilgileri tamirciler ve yedek parça distribütörleri gibi bağımsız operatörlere sağlamasını zorunlu kılmaktadır. Bu, araç tamir ve bakımı için çok önemlidir.

🔸VIN’ler ve Kişisel Veriler: Bir VIN’in kendisi kişisel olmasa da, aracın sahibini tanımlama yeteneği ile bağlantılı olduğunda kişisel veri haline gelir. Bu bağlantı özellikle araç sahibi gerçek bir kişi olduğunda geçerlidir.

🔸GDPR Uyumluluğu: Karar, VIN’lerin bağımsız operatörlerin kullanımına sunulmasının Genel Veri Koruma Yönetmeliği (GDPR) ile uyumlu olduğunu açıklığa kavuşturmaktadır. VIN’ler kişisel veri oluştursa bile, bunların ifşa edilmesi GDPR Madde 6(1)(c) kapsamında gerekçelendirilebilir.

🔸Veri Koruma için Çıkarımlar: Bu karar, Nowak ve Breyer davalarındaki ilkeleri yeniden teyit etmektedir. Veriler, tanımlama araçlarına erişime bağlı olarak, bir kuruluş için ‘kişisel’ olarak kabul edilebilir ancak bir diğeri için kabul edilmeyebilir.

🔸Veri Koruma Kanunu ve AB Veri Yasası üzerindeki etkisi: Karar, veri koruma hukukunu ve kişisel verileri ticari bir varlık olarak ele alan yaklaşmakta olan AB Veri Yasası’nın uygulanmasını önemli ölçüde etkileyecektir.

Bu dava başlangıçta araç verilerine ilişkin ticari bir anlaşmazlığa odaklanmıştı, ancak o zamandan beri özellikle ‘tanımlanabilirlik’ ve GDPR kapsamında neyin ‘kişisel veri’ olarak nitelendirileceği açısından veri koruma için belirleyici bir ana dönüştü.

Kararın, özellikle AB Veri Yasası ve GDPR ile etkileşimleri bağlamında, veri koruma yetkililerinin benzer davaları nasıl gördüklerini ve ele aldıklarını şekillendirmesi bekleniyor.