Avrupa – EDPB, şeffaflık ve çoklu ihlale bağlı olarak para cezasının hesaplanmasına ilişkin yaptığı açıklamalarla İrlanda Veri Koruma Otoritesinden WhatsApp kararını, değiştirmesini talep etti.

28 Temmuz’da EDPB GDPR md 65’e dayanarak bir uyuşmazlık çözüm kararı almıştı. Bu bağlayıcı karar, WhatsApp İrlanda (WhatsApp Ireland Ltd.) ile ilgili baş denetim otoritesi sıfatıyla İrlanda Veri Koruma Otoritesi tarafından taslak bir kararın düzenlenmesini takiben ortaya çıkan uyuşmazlığı ve akabinde bir dizi ilgili denetim otoritesi tarafından ileri sürülen itirazları ele almayı amaçlamaktadır.

GDPR’a göre , İrlanda Veri Koruma Otoritesinin nihai kararını şirkete bildirmesinin ardından EDPB’nin bağlayıcı kararı yayımlanmıştır.

EDPB, yaptığı değerlendirmeyi takiben İrlanda Veri koruma Otoritesi’nin taslak kararını şeffaflığın ihlali, para cezasının hesaplanması ve uyum talimatı için verdiği süre yönünden değiştirmesi gerektiği görüşündeydi.

Şeffaflığa ilişkin olarak, zaten İrlanda Veri Koruma Kurumu’nun taslak kararında GDPR md 12-13-14’e yönelik ciddi bir ihlal tespit etmişti. EDPB sunulan bilgilere bakarak, kullanıcıların ulaşılmak istenen meşru menfaatleri anlayabilmesini etkileyen ilave eksiklikler tespit etmiştir. Bu nedenle EDPB, İrlanda Veri Koruma Otoritesinden, GDPR md 13(1)(d)’nin ihlaline dair tespiti de kararına dahil etmesini talep etti.

Buna ek olarak EDPB, her GDPR md 12-14 ihlalinin illa ki GDPR md 5(1)(a)’nın da ihlalini gerektirmemesine rağmen, özel olarak bu olayda, ihlallerin ağırlığı, kapsayıcı niteliği ve etkisi ışığında,  GDPR md 5(1)(a)’da ortaya konulan şeffaflık ilkesinin ihlal edildiğini açıklamıştır.

WhatsApp’ın kullanıcı olmayanların verilerini toplamasıyla ilgili olarak – kullanıcılar İletişim Özelliği işlevini kullanmaya karar verdiklerinde- EDPB, mevcut dosyada WhatsApp İrlanda tarafından kullanılan prosedürün toplanan kişisel verilerin anonimleştirilmesini sağlamadığını tespit etmiştir.

Para cezası verilmesi para cezasının hesaplanması ile ilgili olarak, GDPR md. 83(4)-(6)’ya göre işletmenin ciro miktarının, yalnızca maksimum para cezası miktarına karar verilmesi ile ilgili olmadığını, ayrıca gerektiğinde GDPR md. 83(1) hükmü gereğince cezanın etkili, ölçülü ve caydırıcı olduğundan emin olmak için cezanın  hesaplanmasında da dikkate alınması gerektiğine karar vermiştir. Bu dosyada, EDPB ana şirketin (Facebook Inc.) konsolide cirosunun, ciro hesaplamasına dahil edilmesi gerektiğini tespit etti.

İlaveten, EDPB ilk defa GDPR md 83(3)’ün yorumlanmasına dair açıklama sunmuştur. Aynı ya da birbiriyle bağlantılı işleme faaliyetlerinde birden fazla ihlal meydana gelmesi halinde, toplam para cezasının hesaplanmasında tüm ihlallerin dikkate alınması gerekir. Bu, denetim otoritelerinin para cezasının ölçülülüğünün dikkate alma ve GDPR’da belirtilen maksimum para ceza miktarına uyma görevleri ile çatışmaz.

İrlanda Veri Koruma Otoritesinin taslak kararı, ayrıca işleme operasyonlarını 6 aylık bir süre içinde uyumlu hale getirme talimatını içermekteydi. EDPB, şeffaflık yükümlülüklerine uyumun mümkün olan en kısa zaman diliminde sağlanmasını birincil derecede önemli bulmuştur. Bu nedenle, İrlanda Veri Koruma Otoritesinden 6  aylık sürenin 3 aya indirilmesini talep etmiştir.

Bu bağlayıcı karar ilgili denetim otoritelerine hitap etmektedir ve baş denetim otoritesi olarak İrlanda Denetim Otoritesi EDPB kararı temelinde kendi ulusal kararını kabul etmiştir.  EDPB’nin kararının da eklendiği ulusal karar WhatsApp İrlanda,’ya bildirilmiştir.

GDPR Md. 65 ‘te öngörülen usule ilişkin daha fazla bilgi için, lütfen Md. 65 SSS‘ye bakınız.