Avrupa

Avrupa – Yalnızca Daha Sonraki Çevrimiçi İşlemleri Kolaylaştırmak Amacıyla Kredi Kartı Bilgilerinin Saklanmasının Hukuki Temeline Dair 19 Mayıs 2021 Tarihli 02/2021 Sayılı Tavsiye Kararı

31 Mayıs 2021 /

 

Yalnızca Daha Sonraki Çevrimiçi İşlemleri Kolaylaştırmak Amacıyla Kredi Kartı Bilgilerinin Saklanmasının Hukuki Temeline Dair 19 Mayıs 2021 Tarihli 02/2021 Sayılı Tavsiye Kararı

Kabul edilmiştir.

Avrupa Veri Koruma Kurulu (“EDPB”)

Avrupa Parlamentosu ve Meclisinin 95/46/EC Sayılı Direktifi ilga eden, 27 Nisan 2016 Tarihli 2016/679/EU Sayılı Kişisel Verinin İşlenmesi ve Serbest Dolaşımı ile İlgili Gerçek Kişilerin Korunması Tüzüğünün (Buradan sonra “GDPR”) 70(1)(e) maddesi,

AEA Anlaşması ve özellikle Ek XI ve AEA Ortak Komitesinin  154/2018 Sayılı, 6 Temmuz 2018 tarihli ortak kararına istinaden eklenen 37 Nolu protokol,

Usul Kuralları 12 ve 22. maddelerine istinaden,

Aşağıdaki tavsiye kararı kabul etmiştir.

  1. COVID-19 salgını kapsamında dijital ekonomi ve e-ticaret sürekli gelişmektedir. Buna paralel olarak çevrimiçi olarak kredi kartı verisi kullanmaktan doğan risk de artmaktadır. 29. Madde Çalışma Grubunun tarafından Veri Koruma Etki Değerlendirmesi Rehberinde de belirtildiği üzere, finansal verinin “ödeme sahteciliği”nde kullanılabileceğinden kredi kartı veri ihlalleri,  “ilgili kişilerin günlük yaşamları üzerinde açıkça ciddi etkiler içermektedir” (1).
  2. Bu nedenle, dijital çevrede güvenin sağlanması ve hukuka aykırı işlemeden doğan riskin azaltılmasını sağlamak amacıyla veri sorumlularının, ilgili kişiler için uygun güvenceleri oluşturmaları ve ilgili kişilerin kendi kişisel verileri üzerindeki kontrollerini sağlamaları önemlidir. EDPB bu güvenin, dijital ekonominin sürdürülebilir büyümesi için hayati öneme sahip olduğunu düşünmektedir.
  3. Bu amaçla bu tavsiye kararı, Avrupa Ekonomik Alanında (AEA) kredi kartı verilerinin işlenmesine ilişkin veri koruma kurallarının uyumlu bir şekilde işlenmesini teşvik etmeyi ve GDPR’ın gerekli kıldığı şekilde temel veri koruma ilkelerine tam bir saygıyla ilgili kişilerin haklarının homojen bir şekilde korunmasını garanti etmeyi amaçlamaktadır.
  4. Daha özelde, bu tavsiye kararı, yalnızca ve özel olarak ilgili kişilerin daha sonraki satın almalarını kolaylaştırmak amacıyla, kredi kartı verisinin çevrimiçi ürün ve hizmet sağlayıcıları tarafından depolanmasını ele almaktadır (2) . Bu karar, ilgili kişinin bir web sitesi ya da bir uygulama aracılığıyla bir ürün satın aldığı ya da bir hizmetin bedelini ödediği ve bu tek seferlik işlemi tamamlayabilmek amacıyla  kredi kartı verisini genelde buna özel bir formda sunduğu durumları kapsamaktadır.
  5. Herhangi bir işlemede olduğu gibi, veri sorumlusu bu verileri depolayabilmek için GDPR’ın 6. maddesinde kapsamında geçerli bir hukuki temele sahip olmalıdır. Bu bağlamda, GDPR madde 6’da belirtilen bir dizi hukuki temelin bu durumda uygulanamayacağını ve hariç tutulması gerektiğini belirtmek gerekir. Bir işlemi takiben, daha sonraki satın almaları kolaylaştırmak için kredi kartı verisinin depolanması, bir hukuki yükümlülüğün yerine getirilmesi [GDPR md 6(1)(c)] veya bir gerçek kişinin hayati menfaatlerini korumak [GDPR md 6(1)(d)] için gerekli olarak değerlendirilemez. Kamu yararı içeren bir görevin yerine getirilmesi ya da veri sorumlusuna verilen resmi yetkinin kullanılması da yeterli bir hukuki temek olarak kabul edilemez.
  6. İlave olarak, kredi kartı verisinin ürün ya da hizmetlerin ödemesinin yapılmasından sonra depolanması, [GDPR md 6(1)(b)] bir sözleşmenin ifa edilmesi için de gerekli değildir. İlk aşamada müşterinin ödeme için kullandığı kredi kartı ile ilgili bilgilerin işlenmesi sözleşmenin tamamlanması için gerekli ve bu nedenle GDPR md 6(1)(b) kapsamında iken, bu verinin depolanması yalnızca ilerideki olası işlemleri ve satışları kolaylaştırmaktadır. Bu türden amaçlar, ilgili kişinin zaten ödemiş olduğu ürün veya hizmete sağlanması adına sözleşmenin ifa edilmesi için kesinlikle gerekli olarak kabul edilemez.(3)
  7. Veri Sorumlusunun ya da üçüncü bir kişinin meşru menfaatleri amacıyla veri işlemenin gerekli olmasına gelince (4), EDPB, veri sorumlusunun GDPR md 6(1)(f)’ye dayanabilmesi için bu maddede belirtilen üç şartın sağlanması gerektiğini belirtmektedir (5). Bu hukuki temel öncelikle veri sorumlusu ya da üçüncü bir kişiya ait bir meşru menfaatin belirlenmesi ve nitelendirilmesini gerektirmektedir. Veri sorumlusunun ya da üçüncü kişinin menfaati işleme amacından daha geniş olabilir ve veri işleme tarihinde mevcut ve etkili olmalıdır (6).
  8. İkinci olarak meşru menfaat temeli, bu meşru menfaatin elde edilmesi amacıyla kişisel verinin işlenmesi ihtiyacını gerektirir. Bu son koşulla ilgili olarak, veri sorumlusunun yukarı belirtildiği şekilde bir meşru menfaate sahip olması koşuluyla, ilerideki satın almaları kolaylaştırmak için kredi kartı verisini depolanmasının bu meşru menfaatin sürdürülmesi için gerekli olduğu hususu açık değildir. Aslında, başka bir satın almanın gerçekleşmesi müşterinin tercihine bağlıdır ve bu tercih “tek bir tıkta” bunu (sayın almayı) gerçekleştirebilme olasılığına bağlı olarak değerlendirilmez.
  9. Son olarak, üçüncü şart bir denge testi yapılmasını gerektirmektedir: Veri sorumlusunun ya da üçüncü bir kişinin meşru menfaati, ilgili kişinin menfaatlerine ya da ilgili kişinin veri koruma ve mahremiyeti hakları dahil temel hak ve özgürlüklerine karşı dengede olmalıdır. Denge testi, işlemenin özel koşullarının dikkate alınmasını gerektirir (7). Dengenin sağlanması için gerekli olan bir unsur, bu işlemenin ilgili kişinin hak ve özgürlükleri üzerindeki olası etkileridir (8). Bu tür bir etki verinin niteliğine, özel işleme yöntemine ya da üçüncü kişilerin bu türden verilere erişimine bağlı olabilir. Veri ölçütünün doğası gereğince, finansal veri ihlalinin ilgili kişinin günlük yaşamı üzerinde ciddi etkiler doğuracağının açık olması nedeniyle finansal verinin Madde 29 Çalışma Grubu tarafından,  yüksek derecede kişisel veri olarak nitelendirildiği belirtilmelidir (9). Dolayısıyla, GDPR’ın 5(1)(f) hükmü gereğince kredi kartı verisinin uygun güvenliğini sağlamak amacıyla veri sorumlusunun idari ve teknik tedbirleri alma yükümlülüğüne ve bu verilerin başka amaçlarla saklanabileceği gerçeğine bakılmaksızın, bu verilerin daha sonraki satın almaları kolaylaştırmak için işlenmesi, diğer sistemlerde işlenmesini gerektirdiğinden, artan bir kredi kartı veri güvenliğinin ihlali riski barındırabilir. İşlemenin ilgili kişiler üzerindeki etkisini değerlendirmek için dikkate alınabilecek denge testinin bir diğer önemli unsuru, ilgili kişilerin veri sorumlusu arasındaki ilişkiye, kişisel veri işlemenin kapsamı ve amaçlarına dayalı makul beklentileridir (10). Ancak, satın alma anında ödeme için kredi kartı verisini sunarken ilgili kişi, makul olarak kredi kartı verisinin, satın aldığı ürün ya da hizmetin bedelini ödemesi için gereken süreden daha uzun bir süreyle saklanacağını beklemez. Sonuç olarak, veri koruması ile ilgili kişinin temel hak ve özgürlükleri, muhtemelen bu özel bağlamda veri sorumlusunun menfaatlerinden önce gelecektir.
  10. Bu hususlar GDPR’ın 6(1)(a) ‘da yer alan rızanın yukarıda bahsedilen işlemenin hukuka uygun sayılabilmesi için tek uygun hukuki temel olduğu sonucuna götürmektedir. Aslında, güvenlik risklerini ele almak, ilgili kişinin kendi verileri üzerinde kontrol sağlamasına izin vermek ve kredi kart verisini kullanmaya aktif şekilde karar vermesini sağlamak için, ilgili kişinin belirli rızası bir satın alma işleminden sonra  kredi kartı verilerinin depolanmasından önce alınmalıdır. Bu rıza, veri sorumlusunun, bir ya da birkaç münferit işlem gerçekleştirmiş olduğu gibi basit bir gerçekle varsayılamayacak olan ilgili kişinin belirli bir web sitesi ya da uygulama üzerinden daha sonraki satın almalarını kolaylaştırmaya istekli olduğunu gösterebilmesini mümkün kılacaktır.
  11. Bu rıza varsayılamaz, özgür irade ile, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve açık şekilde verilmelidir (11). Rıza ,açık bir onaylayıcı hareket ile verilmeli ve doğrudan verinin toplanması için kullanılan form üzerinde önceden işaretli olmaması gereken bir onay kutusunun işaretlenmesi gibi kullanıcı dostu bir şekilde talep edilmelidir (12).Bu belirli konuya ilişkin rıza mutlaka hizmet ya da sayış koşulları için verilen rızadan ayrılmalı ve işlemin tamamlanması için şart koşulmamalıdır.
  12. GDPR md 7(3)’e göre, ilgili kişi, daha sonraki satın almalarını kolaylaştırmak amacıyla kredi kartı bilgilerinin saklanması için verdiği rızayı herhangi bir zamanda geri alabilme hakkına sahip olacaktır. Bu geri alma işlemi ücretsiz, basit ve ilgili kişinin rıza vermesinde olduğu gibi ilgili kişi için kolay olmalıdır. Yalnızca daha sonraki işlemleri kolaylaştırmak amacıyla saklanan kiredi kartı verilerinin veri sorumlusu tarafından etkili şekilde silinmesini sağlamalıdır.

Avrupa Veri Koruma Kurulu

Başkanı

(Andrea Jelinek)

—————–

1 Madde 29 Çalışma Grubu – Veri Koruma Etki Değerlendirmesi (DPIA) ve 2016/679 Sayılı Tüzüğün amaçları doğrultusunda işlemenin  “yüksek bir riske neden olma olasılığının” olup olmadığının belirlenmesine dair Rehberi

2 Bunların çevrimiçi mağaza faaliyet gösteren ödeme kuruluşlarını ve kamu otoritelerini kapsamadığı belirtilmelidir. Kredi kartı verilerinin, örneğin hukuki yükümlülüğün yerine getirilmesi veya sürekli edimli bir sözleşme durumunda tekrar eden bir ödeme yapılması yahut uzun süreli bir hizmet aboneliği (örn. her ay belli ürünlerin teminini şart koşan bir sözleşme ya da  bir müzik ya da film yayını aboneliği) gibi herhangi bir başka amaçla saklanması

3 İlgili kişiye çevrimiçi hizmetlerin sağlanması bağlamında GDPR 6(1)(b) maddesi kapsamında kişisel verilerin işlenmesine dair 2/2019 tarihli EDPB rehberine de bakınız, özellikle 10. sayfa.

4 Şu anda EDPB tarafından revize edilmekte olan 95/46/EC sayılı Direktif’in 7. maddesi kapsamında veri sorumlusunun meşru menfaati kavramına ilişkin Madde 29. Çalışma Grubu görüşüne bakınız (16 Mart 2021’de kabul edilen 2020/2021 EDPB programına bakınız)

5 Bkz. 04 Mayıs 2017 tarih ABAD kararı; Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgaspašvaldības SIA ‘Rīgas satiksme’, Dosya C13/16, ECLI:EU:C:2017:336, satır 28.

6 Bkz 11 Aralık 20219 tatihli ABAD kararı, TK v Asociaţia de Proprietari bloc M5A-ScaraA, Dosya C-708/18, ECLI:EU:C:2019:1064, satır 44.

7 Bkz 24 Kasım 2021 Tarihli ABAD kararı, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) and Federación de Comercio Electrónico y Marketing Directo (FECEMD) v Administración del Estado, Dosyalar  C-468/10 and C-469/10, ECLI:EU:C:2011:777,satırlar 47 and 48; 19 Ekim 2016 tarihli ABAD tarihli kararı, Patrick Breyerv Bundesrepublik Deutschland, Dosya C-582/14, ECLI:EU:C:2016:779, satır 62.

8 Bkz yukarıda bahsedilen 24 Kasım 2021 Tarihli ABAD kararı, satır 44; yukarıda bahsi geçen 11 Aralık 2019 tarihli ABAD kararı, satır 56.

9 Madde 29 Veri Koruma Çalışma Grubu – Veri Koruma Etki Değerlendirmesi (DPIA) ve 2016/679 Sayılı Tüzüğün amaçları doğrultusunda işlemenin  “yüksek bir riske neden olma olasılığının” olup olmadığının belirlenmesine dair Rehberi

10 GDPR 47 nolu açıklama

11 Bkz 2016/679 Sayılı Tüzük kapsamında rızaya dair 05/2020 satılı EDPB Rehberi

12 Adı geçen eser.

Bunlara da bakmak isteyebilirsin

AVRUPA VERİ KORUMA KURUMU’NUN WHATSAPP İRLANDA İLE İLGİLİ BAĞLAYICI KARARI
10 Temmuz 2022
Avrupa Konseyi Siber Suç Sözleşmesi İkinci Ek Protokolü 22 Ülke tarafından İmzalandı[1
25 Mayıs 2022
Avrupa Veri Koruma Kurulu Whatsapp İrlanda Hakkında GDPR m.65 uyarınca Karar Verdi
29 Temmuz 2021

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!