Birleşik Krallık – 45,000£ Para Cezası : Pension House Exchange Limited 09.12.2020

Bilgi Komiserliği Ofisi (ICO), PECR’nin (The Privacy and Electronic Communications Regulations) 21B düzenlemesine mesleki emeklilik planı veya bireysel emeklilik planları ile ilgili doğrudan pazarlama amacıyla  aykırı olarak 39.722 adet istenmeyen arama yaptığı gerekçesiyle, 1998 tarihli Veri Koruma Kanunu’nun 55A maddesine aykırı davranan Pension House Exchange Limited (PHE) aleyhinde 45,000£ para cezasına karar verdi.

PECR 21B’de bazı istisnalar dışında, kamu iletişim hizmetlerinin mesleki ya da bireysel emeklilik planlamalarının doğrudan pazarlamasını yapmak amacıyla kişilere istenmeyen aramalar yapılmasında kullanılması yasaklanmaktadır. Bu istisnalar ise (a) arayanın yetkili bir kişi ya da mesleki veya bireysel emeklilik planının vekili ya da yönetici

Emeklilikle ilgili aramaları kimlerin yapabileceğini düzenlemek ve emeklilik dolandırıcılığı kurbanı olan kişilerin sayısını azalmak amacıyla, 2003 tarihli Gizlilik ve Elektronik Aramalar Yönetmeliği’ne (PECR), 9 Ocak 2019 tarihinde ekleme yapıldı. Yeni düzenlemenin 21B maddesine göre, (Mali Davranış Kurumu -PCE- tarafından yetkilendirilen ya da bir mesleki yahut bireysel emeklilik planının saklayıcısı veya yöneticisi ise ve alıcı aramalara rıza vermişse yahut taraflar arasında mevcut bir ilişki varsa bu durumlar hariç olmak üzere) mesleki ya da bireysel emeklilikleri ile ilgili olarak kişilere kamusal elektronik iletişim hizmetlerini kullanarak istenmeyen aramalar yapılmamalıdır.Söz konusu yasak e-posta ve SMS’ler ile kurulan iletişimleri de kapsamaktadır.

PECR’ye göre ICO’nun kurallara uymayan şirketlere 500.000£’e kadar para cezası verme yetkisi bulunmaktadır.

Somut olayda 9 Ocak 2019 – 8 Eylül 2019 tarihleri arasında PHE’nin yaptığı aramalara ilişkin dökümleri İletişim Hizmet Sağlayıcı’dan talep eden ICO, PHE’nin 208.545 arama yaptığını tespit etmiştir. Buna istinaden ICO, Mahkemeden bir arama izni talep etmiş ve 3 Ekim 2019’da PHE’nin işyerinde arama gerçekleştirmiştir. Arama sonucunda el konulan belge ve elektronik dökümanlar ICO tarafından incelenmiştir. Yapılan incelemede PHE personelinin Linkedin üzerinden ilgililerin kişisel hesaplarından bu bilgileri topladığı anlaşılmıştır. Yapılan aramada, telefon aramalarında kullanılan ve bireylerin kişisel verilerinin elde edilme yöntemini gösteren bir arama metni de ele geçirilmiştir.  Buna ek olarak PHE’nin üçüncü taraflardan veri satın aldığı da tespit edilmiş ancak bu verileri emeklilik planı ile ilgili aramalarda kullanıp kullanmadığı anlaşılamamıştır. Bu hususta ICO, PHE’den bilgi talep etmiş, PHE cevabında tek bilgi kaynaklarının Linkedin olduğunu, belirtilen tarihlerde 289.679 arama yapıldığını, bunların 39.722 adedinde görüşme sağlandığını kabul etmiştir. Buna karşılık PHE, görüşme sağladığı kişilerden rıza aldığını gösterir bir delil sunamamıştır. Kaldı ki PHE’nin, PCE tarafından yetkilendirilmemiş olduğu da teyit edilmiştir. Üçüncü taraflardan satın alınan verilerin kullanılıp kullanılmadığı ile ilgili  devam eden endişelerine istinaden ICO soruşturmayı derinleştirmiş, PHE bu verileri artık kullanmadığını ifade etmiştir. PHE’nin bu cevabından ayrıca personelin PECR eğitimine tabii tutulduğuna dair bir kayıt tutulmadığı ve personele de böyle bir kayıt imzalatılmadığı da anlaşılmıştır. Netice olarak ICO, 39.722  adet aramanın doğrudan pazarlama amacına yönelik olduğuna, 21B’deki istisnaların uygulanamayacağına ve bu aramaların PECR m 21B’ye aykırı olduğuna karar vermiştir.

Karar için bkz.