Fransız Veri Koruma Otoritesi (“CNIL”) lobicilik faaliyetlerine yönelik olarak, verileri bir dosyaya kaydedilen kişileri bilgilendirmediği için Monsanto şirketine 400.000 Euro para cezası verdi.

2019 yılının Mayıs ayında, pek çok medya kuruluşu, Monsanto’nun, Avrupa’da glisofat ruhsatının yenilenmesi konusu hususundaki kamuoyu görüşünü veya müzakereleri etkileyebilecek nitelikteki 200’den fazla siyasi kişi veya sivil toplum üyesine (örneğin gazeteciler, çevre aktivistleri, bilim adamları ve hatta çiftçiler) ilişkin kişisel verileri içeren bir dosya bulundurduğunu ifşa etti. Yine aynı süreçte, CNIL, özellikle bu dosyadan etkilenen kişilerden yedi şikâyet aldı.

CNIL tarafından yapılan incelemeler, bu sayının büyük bir destek kampanyasının parçası olarak, Monsanto şirketi adına halkla ilişkiler ve lobicilik konusunda uzmanlaşmış çeşitli şirketler tarafından yürütüldüğünü ortaya çıkardı.

Söz konusu dosya, belirtilen kişilerin her biri ile ilgili olarak, organizasyon bağı, pozisyon, iş adresi, sabit iş telefonu, cep telefonu, iş e-posta adresi ve bazı durumlarda, Twitter adresi gibi bilgileri içeriyordu. Bununla birlikte, etkinliklerini, güvenilirliklerini ve pestisitler veya genetiği değiştirilmiş organizmalar gibi çeşitli konularda Monsanto şirketine desteklerini değerlendirmek üzere her kişiye 1 ile 5 arasında bir puan verilmişti.

Soruşturmanın tamamlanması ve Monsanto şirketinin dinlenmesi akabinde, CNIL, Monsento şirketini 400 bin Euro para cezasına çarptırdı ve kararın kamuoyuna açıklamasına karar verdi.

Bilgilendirme yükümlülüğünün ihlali (GDPR Madde 14)

Lobicilik faaliyetleri amacıyla çıkar temsilcilerinin kişi dosyalarının oluşturulması, tek başına hukuka aykırı değildir. Bununla birlikte, yalnızca bilinirlikleri veya faaliyetlerine bağlı olarak sektörle bağlantılı olmaları nedeniyle sektördeki ilişkilerin nesnesi olması makul bir şekilde bekleyebilecek kişilerin bilgileri bu dosyalarda yer alabilir. Bu kişilerin rızalarının alınması gerekmese dahi, dosyaya kaydedilen verilerin hukuka uygun olarak toplanması ve kişilerin başta, işleme faaliyetine itiraz hakları olmak üzere, diğer haklarını kullanabilmeleri için dosyanın varlığı hususunda bilgilendirilmeleri gerekmektedir.

CNIL, kişisel verileri toplanan kişilerin, uyuşmazlık konusu dosyanın varlığı konusunda, 2019 yılında ve ancak dosyanın varlığı medya kuruluşları tarafından ifşa edildiğinde haberdar edildiklerini kaydetti. Bununla birlikte, GDPR tarafından bireyleri bilgilendirme yükümlülüğü çerçevesindeki istisnaların hiçbiri bu vakada uygulanabilir değildi. Bu nedenle de ilgili kişilerin gerçekleştirilen veri işleme faaliyeti hakkında bilgilendirilmeleri gerekirdi.

CNIL ayrıca, veri sahiplerinin (ilgili kişilerin) veri işleme faaliyetinin varlığı konusunda bilgilendirilmemelerinin, GDPR tarafından kendilerine tanınan hakların kullanımını zedeleyeceğini hatırlattı. Bilgilendirilmiş olma, bireylerin sahip olduğu diğer hakların (erişim hakkı, itiraz, silme vb.) kullanılabilmesi için şart olan temel bir haktır: bu durumda, ilgili kişilerin haklarını kullanabilmeleri birkaç yıl boyunca engellenmiş oldu.

Veri Sorumlusu adına gerçekleştirilen işleme faaliyetinin sözleşme veya hukuki tasarruf ile düzenlenmesi yükümlülüğünün ihlali (GDPR Madde 28)

Veri sorumlusu sıfatı itibariyle Monsanto şirketi, özellikle veri güvenliğine ilişkin tedbirleri yerine getirmek üzere, alt yüklenicisi (veri işleyen) tarafından Monsanto adına gerçekleştirilen veri işleme faaliyetleri için yasal bir çerçeve belirleme yükümlülüğü altındaydı. Bununla birlikte CNIL, iki şirket arasında imzalanan hiçbir belgenin, GDPR’ın 28. Maddesi’nde düzenlenen ifadeleri içermediğini kaydetti.