Finlandiya Veri Koruma Kurumu’nun 9024/181/19 sayılı 29.10.2021 Tarihli Kararı*
Konu
Temizlik hizmetleri sunan bir şirket, müşteri bilgilerinin çalışanlara iletilmesinde WhatsApp anlık mesajlaşma hizmetini kullanmaktadır. Paylaşılan bilgiler arasında müşterinin kimlik ve iletişim bilgileri yer almaktadır.
Olaylar
Bir temizlik firması çalışanları ile kurduğu iletişimde WhatsApp anlık mesajlaşma uygulamasını kullanmakta, bu yolla müşterin ad ve soyadı, telefon numarası, kapı numarası gibi bilgileri paylaşılmaktadır. 21.11.2019 tarihinde Kurum’a bir şikâyet iletilmiş ve kişisel verilerin WhatsApp uygulaması yoluyla ifşa edilmesinin GVKT’de (Genel Veri Koruma Tüzüğü) yer alan verilerin bütünlüğü ve gizliliği ilkesi ile güvenliğinin sağlanması yükümlülüğünü ihlal ettiği iddia edilmiştir.
Şirket soruşturma sonrasında veri işleme uygulamasını değiştirdiğini, WhatsApp uygulamasını artık yalnızca müşterilerin adı ve soyadı ile konum bilgisini paylaşmak için kullanacağını ifade etmiştir. Ayrıca daha hassas nitelikte olan kapı numarası gibi bilgilerin çalışanlara sözlü olarak iletileceğini; Eski çalışanların müşterilere ait kişisel verileri içeren tüm konuşma geçmişlerini silmesi gerektiği yönünde talimat verildiğini de beyanlarına eklemiştir.
İlgili Maddeler
GVKT md 5(1)(f), 24, 25 ve 32
Değerlendirme
Kurum öncelikle, Şirket’in müşterileri bu hususta aydınlatmaksızın müşteri verilerini bu şekilde ifşa etmesinin müşteriler yönünden bir rahatsızlığa neden olacağını değerlendirmiştir. WhatsApp üzerinden paylaşılan bu verilerin ne şekilde kullanılacağını kontrol etme ya da bu türden kullanımlara yönelik herhangi bir kısıtlama getirme noktasında Şirket’in kullanabileceği bir araç olmadığına dikkat çeken Kurum, buna ek olarak Şirket çalışanlarının söz konusu telefonları kaybetmesi halinde müşterilerin kişisel verilerinin üçüncü kişilerin erişimine açık hale gelmesi gibi bir riskin olduğunu, Şirket’in bu riski de dikkate alması gerektiğini ifade etmiştir.
Her ne kadar Şirket, eski çalışanlarını müşteri verilerini içeren iletişim geçmişlerini silmesi yönünde talimatlandırmış ise de Şirket’in elinde eski çalışanların bu talimata uyduğunu yahut varsa yedeklerinin de silindiğini teyit etmesine yarayacak bir araç bulunmamaktadır.
Diğer yandan Kurum, WhatsApp’ın hüküm ve koşullarını incelemiş ve buna göre çalışan (kullanıcı) ile WhatsApp arasında sözleşmeye dayalı bir ilişki kurulduğunu, bu nedenle de aslında WhatsApp’ın ticari amaçlarla kullanılamayacağını değerlendirmiştir.
Karar
Yukarıdaki değerlendirmelere istinaden Kurum, müşteri verisinin WhatsApp üzerinden aktarılmasının bütünlük ve gizlilik ilkesinin (md. 5(1)(f)), tasarımda ve varsayılan olarak gizlilik ilkesinin (md. 25), veri güvenliğinin sağlanması için uygun idari ve teknik tedbirlerin alınması yükümlülüğünün (md. 32) ihlal edildiğine karar vermiş ve Şirket’i veri işleme faaliyetlerinin Tüzüğe uyumlu hale getirmesi hususunda talimatlandırmıştır. Ancak para cezasına karar vermemiştir.
*https://finlex-fi.translate.goog/fi/viranomaiset/tsv/2021/20211163?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=fr
Bunlara da bakmak isteyebilirsin
