Lüksemburg Veri Koruma Otoritesi’nin Araç Takip Sistemleri Vasıtasıyla İşlenen Kişisel Verilere İlişkin Kararı (Müzakere No 11FR / 2021, 08.04.2021)

Hazırlayanlar: Merve AYDIN , Simge YÜCE, Kadir HAZAN

                                                   (Lokasyon Verisi, Araç Takibi, Saklama Süresi)

Lüksemburg Ulusal Veri Koruma Komisyonu (“CNPD”) tarafından yürütülen soruşturmanın amacı, kişisel verilerin korunmasına ilişkin Genel Veri Koruma Tüzüğü’nün (“GVKT”) hükümlerine uyumluluğun sağlanmasıdır. 20 Şubat 2019’da, CNPD memurları ABC grubunun binasını ziyaret etmiştir.

CNPD’ye bağlı Alt Komisyon’un soruşturmanın sonucuna ilişkin kararı, CNPD memurları tarafından incelenen ve “A” şirketi (“Veri sorumlusu”) tarafından yürütülen işleme operasyonlarıyla sınırlı olacaktır. CNPD memurları tarafından denetlenen şirketin binalarına 20 Şubat 2019’da gerçekleştirilen ziyaret sırasında, İnsan Kaynakları Direktörü Bay X, kontrol edilen araçların bazılarına konum belirleme cihazının takıldığını doğrulamıştır. Yapılan açıklamalara göre konumları belirlenen ilgili kişiler, araçları, müşterilere gerçekleştirdikleri seyahatler ve evleri ile şirket merkezi arasındaki iş yolculuklarında kullanan şirket çalışanlarıdır. Bay X ayrıca CNPD yetkililerine her aracın belirli bir çalışana tahsis edildiğini ve araçların çalışanlar tarafından özel amaçlarla kullanılabilecek bölümünün bir konum belirleme cihazı ile donatılmadığını teyit etmiştir. Soruşturma başkanı, ilgili soruşturmasının sonunda 9 Ağustos 2019 tarihinde, veri sorumlusuna, mevcut vakada tespit ettikleri eksiklikleri ve daha spesifik olarak, GVKT maddelerinde belirtilen gerekliliklere uyulmadığını detaylandıran bir beyan bildirmiştir. Bu bağlamda, çalışanlarla ilgili olarak GVKT md.13 ve md. 32(1)’de belirtilen tedbirler ile GVKT md. 5(1)’de belirtilen gerekliliklere uyulmadığı belirtilmiştir.

CNPD’nin soruşturma başkanı, Alt Komisyon’a üç farklı düzeltici önlemin yanı sıra veri sorumlusunun 4.000 EUR tutarında idari para cezasına çarptırılmasını teklif etmiştir.  

Saklama Sürelerinin İhlali

GVKT 5(1)(e) maddesi uyarınca, kişisel veriler “işlendikleri amaç için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliğinin tespitine olanak sağlayacak biçimde […]” tutulmalıdır. Yine GVKT madde 39 gerekçesine göre “kişisel veriler, işlendikleri amaç için gerekli olanlarla yeterli, ilgili ve sınırlı olmalıdır. Bu kriter, özellikle, verilerin saklama süresinin mutlak asgari düzeyde ve sınırlı olmasının sağlanmasını gerektirir. Kişisel veriler, yalnızca işleme amacına makul olarak başka yollarla ulaşılamıyorsa işlenmelidir. Verilerin gereğinden uzun tutulmamasını sağlamak amacıyla veri sorumlusu tarafından bunların silinmesi veya periyodik olarak gözden geçirilmesi için son tarihler belirlenmelidir […].”

Yerinde inceleme sırasında, CNPD memurlarına coğrafi konum belirleme amaçlarının: “coğrafi konum, şirket mülkiyetinin korunması, taşınan malların izlenmesi, filonun en uygun yönetimi, iş sürecinin optimize edilmesi, müşteri şikayetleri, hizmetlerin faturalandırılması ve seyahat eden çalışanların çalışma sürelerinin izlenmesi” şeklinde olduğu açıklanmıştır. CNPD yetkililerinin bulgularından, verilerin saklanmaya başlanmasına ilişkin en eski tarihin 14 Ekim 2016 tarihli olduğu, yani verilerin saklama süresinin 2 yıl 4 ay olduğu anlaşılmaktadır. Soruşturma Başkanı’na göre, 2 yıl 4 aylık süre coğrafi konum verilerinin söz konusu saklama süresini aşmaktadır ve bu itibarla veri sorumlusu tarafından GVKT madde 5(1)(e)’nin gerekliliklerine uyulmadığı kanaatine varılmıştır.

Denetlenen tarafından kurulan konum belirleme sistemi çeşitli amaçlara hizmet ettiğinden, saklama süreleri her bir özel amaca ilişkin olarak özelleştirilmelidir. Alt Komisyon, çalışanların coğrafi konum belirleme yoluyla elde edilen kişisel verilerinin, GVKT 5(1)(e) maddesinde düzenlenen ilke uyarınca prensipte en fazla iki aylık bir süre boyunca saklanabileceğini kabul etmektedir. Ancak, söz konusu verilerin veri sorumlusu tarafından müşterilerine gerçekleştirilen hizmetlerin faturalandırılmasının ispatı amacıyla kullanılması ve başkaca bir ispat yönteminin halinde, bu faturalama için gerekli verilerin bir yıl süreyle saklanabileceği kanaatindedir. Bununla birlikte, ilgili kişisel verilerin, çalışanların çalışma sürelerinin tespiti amacıyla toplanması ve bu yöntemin çalışma saatlerinin tespiti bakımından mümkün olabilecek tek yöntem olması halinde, Medeni Kanun’un madde 2277/1. Fıkrası uyarınca işçi ücretinin ödenmesine ilişkin davalar hakkında belirlenen zamanaşımına göre ise bu kişisel verilerin en fazla üç yıl süreyle muhafaza edilmelidir. Alt Komisyon, bir vaka meydana gelmesi durumunda (özellikle kovuşturma veya ceza gerektiren suçlar bakımından), verilerin yetkili adli makamlara ve yetkili kolluk kuvvetlerine iletilmesi çerçevesinde, verilerin belirtilen sürelerin ötesinde tutulabileceği görüşündedir. Ayrıca, konum belirleme ile elde edilen verilerin, anonimleştirilmesi halinde, yani veriler ve belirli bir çalışanlar arasında doğrudan veya dolaylı bir bağlantı kurmanın artık mümkün olmadığı hallerde, yukarıda belirtilen sürelerin de ötesine geçilebileceği görüşündedir. Bu değerlendirmelere dayanarak, veri sorumlusunun konum verilerini işleme amaçları ile bu işlemenin anılan amaçlar için mümkün olabilecek tek yöntem olup olmadığı hususu da değerlendirildiğinde, Alt Komisyon, veri sorumlusunun kişisel verileri saklama süresinin GVKT 5(1)(e) maddesine uygun olmadığı sonucuna varmaktadır.

İlgili Kişilerin Bilgilendirilmesi Yükümlülüğünün İhlali

Soruşturma makamı uyarınca veri sorumlusunun çalışanları GVKT’ın 13(1). ve 13(2) maddelerinde yer alan unsurlar bakımında uygun şekilde bilgilendirilmemiştir.

29 Mart 2019 tarihli yazısında veri sorumlusu, CNPD tarafından gerçekleştirilen ziyaretten de önce, konum belirleme sistemi bulunan araçların böyle bir sistem ile donatıldıklarına ilişkin olarak araç belgelerinin arasına plastik bir levha eklendiğini ve ilgili araçların arka kapısında, araç sürücüsünü konum sistemin varlığı konusunda bilgilendirmek üzere bir etiket yapıştırıldığını belirtmiştir. Aynı yazının ekinde, personel heyetinin, belirli araçların konum belirleme sistemi ile donatıldıkları hakkında 2009 yılından bu yana bilgi sahibi olduğunu tasdik eden 27 Mart 2019 tarihli beyannamesi de veri sorumlusu tarafından sunulmuştur.

Yine 7 Ekim 2019 tarihli yazısında, veri sorumlusu, konum belirleme sistemini kullanan tüm personellere yönelik hazırlamış olduğu bilgilendirme yazısının bir kopyası ile bu yazının 4 Ekim 2019 tarihi itibariyle veri sorumlusunun internet sitesinde yayımlandığına ilişkin ekran görüntülerini soruşturma makamı ile paylaşmıştır. Veri sorumlusu, 24 Eylül 2020 tarihli son yazısında, konum belirleme faaliyeti ile ilgili olarak CNPD tarafından yetkilendirildiğini ve personellerinin bu tarihte özellikle personel heyeti tarafından hâlihazırda bilgilendirilmiş olduğunu ifade etmiştir.

Alt komisyon, öncelikle, GVKT’nin 13. maddesinin, veri sorumlusuna ilgili maddede anılan bilgileri “sağlama” yükümlülüğünü getirdiğini ifade etmektedir. Daha açıkça ifade etmek gerekirse, veri sorumlusu gerekli bilgileri ilgili kişiye sağlamak veya ilgili kişiyi söz konusu bilgilere etkin biçimde yönlendirmek üzere somut tedbirler almalıdır.

Alt komisyon, personel heyetinin konum belirleme sistemleri hakkında bilgilendirildiğine ilişkin basit bir beyanın, özellikle bu beyannamenin CNPD tarafından gerçekleştirilen ziyaretten sonraki bir tarihte düzenlendiği dikkate alındığında, şirket personellerinin GVKT’nin 13(1) ve 13(2) maddeleri uyarınca uygun şekilde bilgilendirildiklerini garanti edemeyeceğini ifade etmektedir.

GVKT’nin 13. maddesinde düzenlenen bilgilendirme yükümlülüğünün tek istisnası ilgili kişinin hâlihazırda bu bilgilere sahip olduğu hallerdir. Ancak bu istisnanın varlığında dahi, hesap verebilirlik ilkesi gereğince, veri sorumlusunun, ilgili kişinin hâlihazırda hangi bilgilere sahip olduğunu, bunları nasıl ve ne zaman edindiğini ve bu bilgilerde herhangi bir değişiklik yapılmadığını belgelemesi gerektirmektedir. Bu çerçevede, Alt Komisyon, veri sorumlusu tarafından sunulan hiçbir belgenin personellerin 2009 yılında en azından ilgili tarihte yürürlükte bulunan mevzuat uyarınca bilgilendirildiğine dair herhangi bir kanıt içermediğini ifade etmektedir.

Alt komisyon, 13. madde bağlamında, bilgilerin ilgili kişilere öz, şeffaf, anlaşılır ve kolay erişilebilir biçimde sağlanmasının gereğinin altını çizerek bu amaçların yerine getirilebilmesi adına bilgilendirmenin katmanlı olarak yerine getirilebileceğini belirtmektedir. Bu şekilde gerçekleştirilecek bir bilgilendirmede, birinci katman işleme faaliyetinin amacı, veri sorumlusunun kimliği ve ilgili kişinin hakları ile veri işleme faaliyeti üzerinde etkisi yüksek olan veya ilgili kişi tarafından beklenmesi muhtemel olmayan bilgiler gibi en önemli bilgileri içermelidir. İkinci bilgi katmanı, yani GVKT’nin 13. maddesi kapsamında gerekli olan diğer bilgiler, daha sonra farklı yöntemlerle (örneğin gizlilik politikasının bir örneğinin e-posta ile gönderilmesi yoluyla) sağlanabilir. Bununla birlikte, Alt Komisyon, araç dokümanlarına eklenen ve aracın “bir konum belirleme sistemi ile donatılmış olduğunu” belirten plastik levha ile bu araç “GPS ile izleniyor” yazan etiketin birinci bilgi katmanında bulunması gereken zorunlu unsurları içermediğini ifade etmiştir. Nitekim, veri sorumlusunun internet sitesinde yayımlanan bilgi notu da madde 13 kapsamındaki diğer bilgilerin tamamını içermediğinden, veri sorumlusu, GVKT’nin 13(1) ve 13(2) maddeleri bağlamında gerekli tüm bilgileri içeren bir gizlilik politikası oluşturma yükümlülüğünü de yerine getirmemiştir.

Uygun Bir Güvenlik Düzeyinin Sağlanamaması

Soruşturma başkanı, konum belirleme sisteminin işletim yazılımına erişim yetkisi olan tüm kişiler tarafından tek bir kullanıcı adı ve şifre ile erişim sağlandığını tespit etmiş ve yazılım güvenliğinin ortak biçimde kullanılan tek bir tanımlama yöntemi ile sağlanmasının GVKT’nin 32(1) maddesine uygun olmadığını kaydetmiştir.

Veri sorumlusu, 7 Ekim 2019 tarihli yazısında, sistem kullanıcılarının hesaplarını erişimini yöneten kişiye göndermiş olduğu 21 Ağustos 2019 tarihli e-postaya atıfta bulunarak, mevcut üye girişlerinin silinmesi, her kullanıcı için ayrı bir üye girişi ve şifre oluşturulması, bu şifrelerin periyodik olarak güncellenmesi ve üçüncü kişiler ile paylaşılması talebinde bulunduğunu ileri sürmüştür.

Bununla birlikte Alt Komisyon, CNPD’nin incelemesi sırasında konum belirleme yazılımına erişim politikalarının güvenlik açısından gerekli asgari gereklilikleri karşılamadığını ve bu minvalde GVKT’nin 32(1) maddesinin veri sorumlusu tarafından ihlal edildiğine karar vermiştir.

İdari Para Cezası

CNPD, Alt Komisyona veri sorumlusu aleyhine 4.000 Euro ( dört bin avro) miktarındaki idari para cezasına karar verilmesini tavsiye ettiği mektubunda, veri sorumlusuna ait en az 191 araçta konum belirleme özelliğinin olduğunu ve bu hususta verisi işlenen ilgili ilgili kişilere yalnızca kısmi bilgilendirme yapıldığını ancak bunun da yeterli, tam ve anlaşılır bilgilendirme yapıldığı anlamına gelmediğini belirtmiş ve bu sebeple GVKT’nin 13 maddesi dâhilinde ilgili kişilerin bilgilendirilmesi hususunda başarısız olunduğu ile bilgi sağlama ve şeffaflık ilkesinin ihlal edildiği kanaatine varmıştır.

Alt Komisyon, herhangi bir idari para cezası hükmedilmesinin gerekli olup olmadığı ve gerekli ise ceza miktarının nasıl belirleneceği hususunda GVKT’nin 83(2) maddesi kapsamındaki kriterleri değerlendirmiştir.

Alt komisyon, ilgili kişilerin 13. maddeye uygun olarak bilgilendirilmemelerinin, ilgili kişilerin kişisel verilerinin kullanımı hakkında tamamen bilgi sahibi olmalarını engellenmesi ve bu itibarla bilgilendirme ve şeffaflık yükümlülüklerine aykırılık teşkil etmesi bakımından ilgili kişilerin haklarının ihlali niteliğinde olduğunu da değerlendirmiştir.

Alt komisyon, ayrıca, ihlalin, GVKT’de korunan temel ilkelerden biri olan verilerin yalnızca işlenme amaçlarının gerektirdiği süre ile sınırlı olarak işlenmesi ilkesine aykırılık içermesi itibariyle ağır nitelikte bir ihlal olduğunu değerlendirmektedir. Bu kapsamda Komisyon’un görüşünü netleştiren bir diğer husus ise bu ihlalin en az 25 Mayıs 2018 tarihinden itibaren sürüyor olması olmuştur. Ayrıca CNPD, bir diğer ihlal olarak ise konum verilerinin en fazla iki ay saklanabileceğini, iş ilişkileri nedeniyle işlenen verilerin ise üç yıldan fazla saklanamayacağını belirtmiş ve denetlenen şirkete ait veri saklama politikalarının belirsiz olması hususunu da değerlendirmede göz önünde bulundurmuştur.

İhlalden etkilenen kişi sayısı ile ilgili olarak, Alt Komisyon nezdinde gerçekleştirilen sözlü savunma sırasında kendilerinin grup şirketi olduğunu, konum belirleme özelliği yerleştirilmiş toplamda 191 araca sahip olduklarını ancak grup bünyesinde olan A şirketinin yalnızca 92 aracı olduğunu belirtmiştir. Alt komisyon, soruşturmanın A şirketi nezdinde yürütüldüğünü dikkate alarak, CNPD’nin aksine ihlalden etkilenen kişi sayısını belirlerken 191 araç yerine 92 araç üzerinden değerlendirme gerçekleştirmiştir.

Komisyon ayrıca, veri sorumlusunun ilgili ihlalle ilgili olarak kasti davranmadığına karar vermekle birlikte, personellerini kısmi olarak bilgilendirmiş olması, internet sitesinde bir bilgi notu yayımlaması ve verilerin saklama sürelerini azaltması itibariyle iyiniyetli olduğunu ve gereken kurallara uyma hususunda da istekli olduğunu da değerlendirmektedir. Ayrıca, denetlenen şirket tarafından ilgili verilere erişim noktasında kısıtlamalar konmuş ve şifreli bireysel hesaplar oluşturma gibi erişim önlemleri adı altında birtakım önlemler alınmışsa da bu önlemlerin komisyon tarafından yapılan kontrolün ardından alındığı da kaydetmiştir.

Bu değerlendirmeler çerçevesinde, Alt Komisyon GVKT’nin 5 ve 13. maddelerinin denetlenen şirket tarafından ihlal edildiği kanaatine varmış ve veri sorumlusu aleyhine 2.800 Euro idari para cezası verilmesine hükmedilmiştir.

Düzeltici Tedbirler

 Bununla birlikte CNPD, aşağıdaki düzeltici tedbirlerin alınmasını önermiştir. Bunlar;

* GVKT’nin 13. maddesi doğrultusunda veri sorumlusunun, coğrafi konum bilgisi işlenen ilgili kişilere, veri sorumlusunun kimlik ve irtibat bilgilerinin, aksi halde uygun olması halinde veri koruma görevlisinin iletişim bilgilerinin sağlanması, işlemenin amaçları ve yasal dayanağı, işlenen veri kategorileri, meşru menfaatler, verilerin saklanma süresi hakkında bilgi sağlaması ve ayrıca ilgili kişinin hakları ile bunların nasıl kullanılacağı ve veri koruma otoritelerine başvuru hakkı çerçevesinde bilgilendirme yapması ve akabinde şirket web sitesinde yayımlanması,

*GVKT’nin 32. maddesi dâhilinde konum belirlemeye dair kullanılan yazılım sistemi çerçevesinde gerekli güvenlik önlemlerinin alınması ve bu kapsamda ilgili yazılım sistemine erişim yetkilerinin yalnızca görevlerini yerine getirmeleri için gerekli olan kişilere tanımlanması ve bu yetki verilen kişiler için bir kullanıcı adı ve parola aracılığıyla bireysel hesaplar oluşturulması,

* GVKT’nin 5. maddesi dâhilinde işleme amacı için gerekli olan süreyi aşmayacak şekilde veri saklama politikası oluşturulması. (Bu kapsamda CNPD, konum verilerinin iki aydan fazla tutulmaması ve iş akdi sebebiyle işlenen verilerin ise üç yıldan fazla saklanamayacağını belirtmektedir.)

CNPD tarafından önerilen düzeltici tedbirler ile somut vakanın değerlendirilmesi çerçevesinde, Alt Komisyon, CNPD’nin incelemesi akabinde veri sorumlusunun veri saklama sürelerini 12 aya indirdiğini tespit etmişse de, Alt Komisyon veri saklama sürelerinin veri işleme faaliyetlerinin farklı amaçları doğrultusunda belirlenmesi gerektiğini belirtmektedir. İlgili kişilerin bilgilendirilmesi hususunda, veri sorumlusu, internet sitesinde yayımladığı 4 Ekim 2019 tarihli bilgi notu ile gerekli eksiklikleri tamamladığını ifade etse de, Alt Komisyon söz konusu bilgi notunun ilgili kişilerin haklarının bütününü ve özellikle işleme faaliyetine itiraz hakkını içermediğini değerlendirmiş ve verilerin saklama sürelerine ilişkin bilgilendirmenin de güncellenmesinin gerektiğini belirtmiştir. Yine, veri sorumlusunun konum belirleme yazılımına ilişkin almış olduğu tüm tedbirlere rağmen, hesap verilebilirlik ilkesi gereğince, veri sorumlusunun kendi iç prosedürler ve mekanizmalar oluşturmasının gereğini vurgulamıştır.

Tüm bu nedenlerle, Alt Komisyon, GVKT’nin 5. 13. ve 32. maddelerinin ihlali nedeniyle denetlenen A Şirketi’ne 2.800 Euro tutarında idari para cezasına ve madde 5(1)(e)’ ye uygun bir veri saklama politikası belirlenmesi, madde 13 bağlamında ilgili kişilerin bilgilendirilmesine yönelik yükümlülüklerin eksiksiz biçimde yerine getirilmesi ve konum belirleme yazılımıyla ilgili uygun tüm teknik ve idari tedbirlerin alınması için ise iki aylık uyum süresi verilmesine hükmetmiştir.