Finlandiya

Finlandiya – Veri Koruma Ombudsmanlığı Sınır Ötesi Bir Dosyada Baş Denetim Otoritesi Olarak İlk Kararını Verdi

30 Temmuz 2021 /

Erişim Hakkı Yerine Getirilirken Veri Koruma Kurallarına Uyulmadı

12.7.2021 10.31 | İngilizce olarak 22.7.2021 at 11.23 tarihinde yayımlanmıştır
Basın Duyurusu
Veri Koruma Ombudsmanı, Nissan Nordic Europe Plc’ye ilgili kişinin veriye erişim hakkına ilişkin uygulamalarını düzeltmesini emretti. Veri sorumlusu, kişisel verisine erişim talebinde bulunan bir müşterisine Genel Veri Koruma Tüzüğünde düzenlenen azami süre içerisinde bilgi sağlamadı. Bu çeşitli AB ülkelerinde mukim olan ilgili kişilerin verilerini işlemeyi içeren sınır ötesi bir dosyada Veri Koruma Ombudsmanı’nın verdiği ilk karardır.

Veri sorumlusu, müşteri tarafından talep edilen bilgileri GDPR’da belirtilen süreler içerisinde araç satıcısına sunacağını belirtmiştir. Buna karşılık, bilgi sunulmamıştır ve müşteri Danimarka Denetim Otoritesi’ne şikayette bulunmuştur. Danimarka Denetim Otoritesi tarafından iletişim kurduktan sonra, veri sorumlusu verileri müşteriye sunabileceğini söylemiştir. Ancak, iki ay geçtikten somra, müşteri talep edilen bilginin halen kendisine sunulmasını bildirmiştir.

The Nissan Automotive Europe S.A.S. Group’un merkezi yönetimi Fransa’dadır fakat şikayetin öznesi ile ilgili kişisel verilerin işlenmesine dair kararlar Nissan Nordic Europe Plc tarafından alınmaktadır. Nissan Nordic Europe Plc’nin genel merkezi Finlandiya’dadır ve şirket birkaç İskandinav ve Baltık ülkesinde faaliyet göstermektedir. Bu durumda kişisel verilerin işlenmesi Finlandiya’da bulunan bir işletme tarafından gerçekleştirildiğinden, Finlandiya denetim makamı, Veri Koruma Ombudsman Ofisi, baş denetim makamı olarak hareket etmiştir.

Erişim hakkı, telefon görüşmesi kayıtları için de geçerlidir

Veri sorumlusu tarafından sunulan açıklamaya göre, müşteri azami süre içerisinde verinin sunulmamasına bir insan hatası neden olmuştu. Sonrasında talep ettiği bilgilerden telefon görüşmesi kaydı dışındaki veriler müşteriye verilmiştir. Ancak bilgi, talebin üzerinden neredeyse iki yıl geçtikten sonra verilmiştir.

Veri sorumlusuna göre, veri sorumlusu telefon görüşmesi kayıtları üçüncü kişilerin bu kayıtlardan tespit edilebileceği gerekçesiyle vermemiştir. Ancak veri sorumlusu o sırada hala elinde bulunan telefon görüşmesi kayıtlarını dinlemesi için müşterisine şirket merkezini ziyaret etmesi için bir fırsat sağlamıştır. Bununla beraber Veri Koruma Otoritesi Ofisi, veri sorumlusunun telefon görüşmesi kayıtlarına erişim hakkının yerine getirme pratiğinin GDPR’a uygun olmadığını düşünmektedir.

Veri sorumlusu işlenen kişisel verilerin bir kopyasını ilgili kişiye sunmakla yükümlüdür. Bu gibi telefon görüşmelerinin bir kopyası örneğin transkript şeklinde yazılı olarak yahut uygun olduğu ölçüde dijital kayıtlar gibi elektronik olarak sunulabilir. Veri sorumlusu, ilgili kişiye telefon görüşmesi kayıtlarını dinleme fırsatı verebilir ancak bu erişim hakkının kullanılmasının tek yolu olamaz.

Dahası, Veri Koruma Ombudsmanı, uygulamada telefon kayıtlarının her zaman başka bir kişiye ilişkin kişisel verileri içerdiğini ve bunun ilgili kişinin haklarının kullanılmasına engel olarak değerlendirilemeyeceğini belirtmektedir.

Veri Koruma Ombudsmanı, kişisel verilerin GDPR’yi ihlal edecek şekilde işlenmesi ile ilgili veri sorumlusuna bir uyarı gönderdi ve uygulamalarını veri koruma mevzuatına uyacak şekilde değiştirmesini emretti. Veri sorumlusu, hatanın kaynağını netleştireceğini söyledi ve erişim hakkının kullanılmasına ilişkin prosedürlerini ve talimatlarını güncelledi.

Karar henüz nihai değildir.

 

 

Bunlara da bakmak isteyebilirsin

Finlandiya Veri Koruma Kurumu’nun 9024/181/19 sayılı 29.10.2021 Tarihli Kararı*
25 Aralık 2021

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!