Fransız Veri Koruma Kurumu’nun SAN-2021-020 sayılı 29.12.2021 Tarihli Slimpay Kararı*

Olaylar

Slimpay, tüzel kişi müşterilerine, abonelik hizmetlerinin ve sürekli ödemelerinin yönetilmesine ilişkin Avrupa Tek Ödeme Alanı’nda (SEPA) ödeme hizmetleri sunan yetkili bir ödeme kuruluşudur. Müşterilerine sunduğu hizmetler çerçevesinde, müşterilerinin borçlusu durumundaki gerçek kişilere ilişkin kişisel verileri işlemektedir.

Slimpay, 2015 yılında, dolandırıcılık ile mücadele mekanizması kurmak amacıyla yürüttüğü bir şirket içi araştırma projesi kapsamında borçlulara ilişkin kişisel verileri test amacıyla bir sunucuya aktarmıştır. Aktarılan veriler, projenin sona erdiği Temmuz 2016 tarihinden sonra da herhangi bir özel güvenlik prosedürüne tabi olmayan ve internetten ücretsiz olarak kolayca erişilebilen bu sunucuda saklanmaya devam edilmiştir.

Bu durum, 14 Şubat 2020’de Slimpay müşterilerinden biri tarafından şirkete bildirilmiş ve ilgili sunucuya erişim kesilmiştir. Söz konusu ihlal, 17 Şubat 2020’de Slimpay tarafından Fransız veri koruma otoritesi CNIL’e bildirilmiştir.

İhlalden etkilenen kişi sayısının yaklaşık 12 milyon kişi olduğu ve ihlal konusu verilerin bu kişilere ait kimlik bilgilerini (medeni durum, isim soyisim,), iletişim bilgilerini (adres, e-posta, telefon) ve banka bilgilerini (BIC, IBAN) içerdiği tespit edilmiştir.

Değerlendirme

Öncelikle, Slimpay’in hukuki statüsünün belirlenmesine ilişkin olarak Avrupa Genel Veri Koruma Tüzüğü’nün (“GVKT”) 28. Maddesi bağlamında CNIL, Slimpay’in müşterilerine sunduğu hizmetler kapsamında gerçekleştirdiği veri işleme faaliyetleri bakımından, bu faaliyetlerin amaçlarını belirlemediği ölçüde veri işleyen sıfatıyla hareket ettiğini belirtmektedir. Bununla birlikte, Slimpay’in şirket içerisinde yürüttüğü araştırma projesi kapsamında işlenen veriler bakımından, söz konusu işleme faaliyetinin amaç ve araçları Slimpay tarafından belirlendiğinden, bu faaliyetler yönünden Slimpay’in veri sorumlusu sıfatını haiz olduğunu değerlendirmektedir.

İkinci olarak CNIL, GVKT’nin 28 (3). maddesi uyarınca, veri sorumlusu ile veri işleyen arasında bağlayıcı nitelikte bir sözleşme veya hukuki bir tasarruf düzenlenmesinin gerekliliğine değinerek, söz konusu düzenlemenin işleme faaliyetinin konusu, süresi, niteliği, amacı, işlenen kişisel verilerin türü, veri süjesi kategorileri ile veri sorumlusunun yükümlülükleri ve haklarına ilişkin bilgileri içermesi gerektiğini vurgulamıştır.

Her ne kadar Slimpay, müşterilerine sunduğu hizmetler bakımından veri işleyen sıfatıyla hareket etse de bu yükümlülük GVKT 28(4) uyarınca, veri işleyenin veri sorumlusu adına gerçekleştirdiği işleme faaliyetleri kapsamında, başka bir veri işleyene başvurduğu durumlarda da uygulanmaktadır. Başka bir ifadeyle, Slimpay’in, müşterileri adına yürüttüğü işleme faaliyetleri kapsamında hizmet aldığı veri işleyenler ile uygun idari ve teknik tedbirlerin uygulanmasına ilişkin yeterli güvencelerin sağlanması amacıyla bağlayıcı bir sözleşme veya hukuki tasarruf düzenlemesi gerekmektedir. CNIL, gerçekleştirdiği incelemede, bazı alt-veri işleyenler ile hiçbir sözleşme veya hukuki düzenleme yapılmadığını tespit etmiştir. Sözleşme yapılan durumlarda ise, ilgili sözleşmeler, 28. Maddede listelenen ve sözleşmede yer alması zorunlu bilgilerden veri türü ile veri sorumlusunun hak ve yükümlülüklerine ilişkin bilgileri veya hiçbir bilgiyi içermemektedir. Bu çerçevede, CNIL, GVKT’nin 28(3). ve 28(4). maddelerinin ihlal edildiği sonucuna varmıştır.

Uygun güvenlik tedbirlerinin uygulanmasına ilişkin 32. madde bakımından, CNIL, kişisel verilerin aktarıldığı sunucu için yeterli güvenlik tedbirlerinin alınmadığını ve sunucuya, port tarama programları kullanılarak tanımlanabilecek bir IP adresi vasıtasıyla kolayca erişilebildiğini tespit etmiştir.

CNIL, ayrıca sunucuda gerçekleştirilen işlemlerin takibine ve güvenliğine ilişkin etkinliklerin izlenmesini sağlayacak herhangi bir log kaydı tutulmadığına ve verilerin kolaylıkla okunabildiği bir formatta saklandığına değinmiştir.

Slimpay’in söz konusu ihlalin bir Slimpay çalışanının ihmali sebebiyle meydana geldiği ve şirketin herhangi bir sorumluluğu bulunmadığına yönelik iddialarına karşı ise CNIL, söz konusu güvenlik açığının esasen münferit bir insanın hatasından değil, şirketin gerekli güvenlik tedbirlerini almaktaki yetersizliğinden kaynaklandığını ve güvenlik açığı Slimpay çalışanının hatasından kaynaklansaydı dahi, çalışanın şirketin hesabına hareket ettiği ve talimatları ile bağlı olduğu göz önünde bulundurulduğunda Slimpay’in sorumluluğunu reddedemeyeceğini ifade etmiştir.

Öte yandan Slimpay, söz konusu kişisel verilerin muhtemelen kötüye kullanılmamış olduğunu ileri sürmüş ise de CNIL, bir güvenlik zafiyetinden söz edebilmek için veri süjeleri yönünden bir zarar ortaya çıkmasına gerek olmadığını ifade etmiştir. Dolayıyla 32. Madde ihlal edilmiştir.

Veri süjelerinin ihlal hakkında bilgilendirilmesine ilişkin olarak, Slimpay, söz konusu kişisel verilerin müşterilerine sunduğu hizmetler kapsamında toplandığını, Slimpay’in bu faaliyetler bakımından veri işleyen sıfatıyla hareket ettiğini ve bu sebeple söz konusu ihlalin veri süjelerine bildirilmesinden, veri sorumlusu sıfatıyla hareket eden Slimpay müşterilerinin sorumlu olduğunu iddia etmiştir. CNIL, Slimpay’in bu argümanı, kendi sorumluluğundan kaçmak amacıyla ileri sürdüğünü, ihlal konusu işleme faaliyetinin Slimpay tarafından belirlenen amaçlar için gerçekleştirildiğini ve ilgili işleme faaliyet bakımından veri sorumlusu sıfatıyla hareket ettiğini, bu sebeple, 34. madde kapsamındaki yükümlülüklere tabi olduğunu değerlendirmiştir.

Şirketin veri süjelerinin tamamının bilgilendirilmesinin orantısız bir çaba gerektireceği yönündeki iddialarına karşılık CNIL, ihlalden etkilenen yaklaşık on iki milyon veri süjesinin 6.250.310’unun e-posta adresi bilgisinin bulunduğunu, Slimpay’in bu kişileri orantısız bir çaba içerisine girmeksizin bilgilendirebileceğini değerlendirmiştir.

Benzer şekilde Slimpay, internet sitesinde yayımlayacağı bir kamuoyu bildiriminin, birçok veri süjesinin, Slimpay müşterilerinin Slimpay hizmetlerinden yararlanıp yararlanmadığını tespit etmesinin mümkün olmadığı gerekçesiyle işlevsel olmayacağını iddia etmişse de CNIL, Slimpay’in internet sitesinde bazı müşterilerine ilişkin bilgilerin yer aldığını, dolayısıyla bu müşterilerin borçlusu durumundaki veri süjelerinin, kişisel verilerinin Slimpay tarafından işlenmiş olması ihtimali hakkında bilgi sahibi olabileceğini ve bu itibarla verilerinin işlenip işlenmediğini öğrenmek üzere Slimpay’e başvuruda bulunabileceğini değerlendirmiştir.

CNIL, ayrıca Slimpay’in internet sitesinde yayımlayacağı bir kamuoyu bildiriminin, Slimpay tarafından sosyal medya, gazete, haber siteleri gibi farklı mecralarda yayınlanabilecek bildirimlerle desteklenerek çok daha geniş bir kitleye ulaşılabileceğine kanaat getirmiştir. Bu açıklamalar çerçevesinde, CNIL, Slimpay’in 34. Maddeyi ihlal ettiğine kanaat getirmiştir.

Karar

Tüm bu değerlendirmeler çerçevesinde, Slimpay’e 180 000 Euro idari para cezası verilmesine karar verilmiştir.

İlgili Maddeler

GDPR md. 28(3), 28(4), 32, 34

*https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay