İSPANYA – VODAFONE ESPA DataA, SAU’ya 60.000Euro Para Cezası Verildi 19.11.2020

Konu: Hukuki sebep olmaksızın kişisel veri işlenmesi.

KARAR ÖZETİ:

Olay, İddia ve Savunma

AAA, VODAFONE ESPA DataA, SAU‘ya karşı 03 Mart 2020 tarihinde İspanya Veri Koruma Kurumu’na şikayette bulunur. Şikayet gerekçesi AAA’nın kimliğini taklit eden bir kişi ile sözleşme yapılmasıdır. Olayda bu sözleşmeye istinaden sözleşmeci adına hat açılması, tarife seçimleri, ürün satılması gibi işlemler gerçekleşmiştir. Söz konusu işlemlerde şikayetçinin imzası bulunmamaktadır. Hatlar devreye alındıktan sonra, hatlar yönünden fatura düzenlenmiş yani hat sahibi borçlandırılmıştır. Daha sonra fatura bedellerinin ödenmemesi üzerine hat kullanımı askıya alınmıştır.

Kurum 08 Ekim 2020 tarihinde inceleme başlatmaya karar vermiştir.

Vodafone savunmasında şunları beyan etmiştir:

Her ne kadar şikayetçi söz konusu işlemlerden haberdar olmadığını iddia etse de işlemler yapılırken bir aktivasyon işlemi yapılmıştır Aktivasyon işleminden sonra abone (mobil hatlar için) borçlandırılmaya başlanmış ancak 12 Ağustos 2019 tarihine değin fatura bedellerinin ödenmemesi üzerine bedeli ödenmeyen hizmetler pasif hale getirilmiştir. 13 Şubat 2020 tarihinde şikayetçinin müşteri hizmetlerine başvurarak bu hatların kendisi tarafından açtırılmadığını ifade etmesi üzerine kendisine hatların 12 Ağustos 2019 tarihinde pasif hale getirildiği ve aktif halde herhangi bir hat bulunmadığı bildirilmiştir. Süreç içerisinde farklı mobil hatların ve mobil cihaz gibi ürünlerin davacının imzası olmadan açıldığını/satıldığını ifade etmiştir.

Bu süreçte olay Madrid Tüketici Bilgilendirme Merkezi’ne (OMIC) de yansımış, 13 Mart 2020 tarihinde OMIC olası bir kimlik hırsızlığı ile ilgili Vodafone’u bilgilendirmiş, 17 Mart 2020 tarihinde şikayetçiden bazı belgeleri sunmasını istemiştir. Her ne kadar hatlar sonrasında pasif hale getirilmiş ise de, borçlandırma yapılan dönem için şikayetçi aksini gösteren bir belge sunmadığı takdirde bu borçlandırma işlemlerinin hukuka uygun olarak kabul edileceği ifade edilmiştir.

Kurum’un Değerlendirmesi

Somut olay değerlendirildiğinde şikayet edilen Vodafone’un kişisel verileri işlediği sabittir. Sunulan belgeler (şikayetçi adına ve fakat şikayetçi adresinden başka adrese ve banka hesabına düzenlenen faturalar), taraflar arasında kurulduğu iddia olunan sözleşmenin kabul edildiği anlamına gelmemektedir. Sözleşme şikayetçi tarafından imzalanmamıştır ve imza eden kişinin kimliği Vodafone tarafından doğrulanmamıştır.

Somut olayda veri işlemenin hukuki temeli olarak açık rıza ya da sözleşmenin ifası için gerekli olma koşullarına dayanılabilmek mümkündür ancak taraflar arasında bir sözleşme olmaması nedeniyle Vodafone’un başvurucunun kişisel verilerini işlemesinin hukuki temeli bulunmamaktadır. Vodafone burada alması gereken önlemleri almamış, kişisel verilerin korunması ile ilgili düzenlemelere uyum göstermek adına göstermesi gereken özeni göstermemiştir.

Üçüncü taraf verilerini işlerken hukuka uygunluk ilkesine sıkı sıkıya bağlı kalması ve işlemeden sorumlu kişinin bu ilkeye uygun hareket ettiği gösteren delilleri ortaya koyabilmesi gerekir (proaktif sorumluluk ilkesi).

Açıklanan nedenlerle Vodafone’un GDPR’ın 6/1.  maddesini* ihlal ettiği anlaşılmaktadır.

Sonuç

Sonuç olarak veri sorumlusu Vodafone’a 60.000Euro idari para cezası verilmiş, Vodafone’un sorumluluğu belirlenen süre içerisinde kabul etmesi halinde cezanın %20 oranında azaltılarak, 48.000Euro’ya düşürüleceği ifade edilmiştir. Aynı şekilde ödemenin gönüllü olarak yapılması halinde de cezanın %20  azaltılarak 48.000Euro olarak ödenmesi imkanı getirilmiştir. Bu iki indirimin kümülatif olarak dikkate alınabileceği ve nihai olarak 36.000Euro ödenebileceği ifade edilmiştir.