HOLLANDA VERİ KORUMA OTORİTESİNİN KAMU KURUMLARI HAKKINDA VERDİĞİ İKİ KARARA İLİŞKİN DEĞERLENDİRME YAZISI

1. Dolandırıcılık ve Şüpheli İşlem Tespiti İçin Hollanda Maliye Bakanlığı Vergi İdaresi Tarafından Yürütülen Veri İşleme Süreçleri Hakkında İhlal Kararı

Hollanda Veri Koruma Otoritesi, Hollanda Maliye Bakanlığı Vergi İdaresi tarafından yıllardır kullanılan FSV (Fraud Signalering Voorziening/Dolandırıcılık Tanımlama Aracı) aracılığıyla yürütülen kişisel veri işleme faaliyetini kişisel veri koruma mevzuatına aykırı bularak veri sorumlusuna 3.700.000 € para cezası verdi. FSV, Hollanda Maliye Bakanlığı Vergi idaresi tarafından dolandırıcılık işlemlerini önlemek için kullanılan bir tür veri kayıt sistemidir. Ancak aynı zamanda bir tür kara liste (black list) olan bu araç nedeniyle kayıt sistemine birçok defa yanlış şekilde eklenen insanlar için sistemin büyük etkileri oldu ve bu nedenle ilgili kişiler tarafından Hollanda Veri Koruma Sistemine şikayetler gerçekleştirildi.

FSV ile ilgili yürütülen soruşturma boyunca Hollanda Veri Koruma Otoritesi tarafından Genel Veri Koruma Tüzüğü (GDPR) uyarınca birçok sayıda ihlal tespit edilmiştir. İhlallerden biri, Vergi İdaresi’nin anılan kayıt sisteminde yer alan kişisel verileri işlemek için herhangi bir kanuni dayanağının olmamasıydı. GDPR, ise herhangi bir dayanak olmadan kişisel verilerin işlenmesini açıkça yasak kılmaktadır.

FSV sistemindeki kişisel veri işleme faaliyeti kanuni dayanaktan yoksun olmanın yanı sıra çoğu durumda, işlenen kişisel veriler doğru dahi olmadığından, ilgili kişiler hatalı olarak olası bir vergi kaçakçısı olarak kaydedilmek, bir diğer anlatımla fişlenmek durumunda kalmıştır. Bunlara ek olarak, liste uygun bir şekilde korunmamıştır. Vergi İdaresi bünyesindeki gizlilik denetçisi, ihlale konu listenin oluşturulmasının ilk aşamasında yer almamıştır.

Hollanda Veri Koruma Otoritesinin Uyguladığı En Yüksek Ceza

Toplamda 3.700.000 Euro tutarındaki bu para cezası, Hollanda Veri Koruma Otoritesi tarafından şimdiye kadar uygulanan en yüksek cezadır. Bunun nedeni ise yaşanılan ihlallerin ciddiyeti, ihlalden etkilenen kişi sayısı ve ihlallerin uzun süredir devam etmesidir.

Hollanda Veri Koruma Otoritesi Başkanı Aleid Wolfsen konu ile ilgili olarak şu açıklamaları yaptı: “Vergi İdaresi tarafından FSV listesinde yer alması nedeniyle, 270.000 kişinin hakkı benzeri görülmemiş bir derecede ihlal edildi. Ve bu 6 yıldan fazla sürdü. İnsanlar korkunç sonuçlarıyla birlikte vergi kaçakçısı olarak damgalandı. Adınızın FSV’de görünmesi nedeniyle, tarafınıza ödeme planı sunulmaması veya yeniden borç planlaması için uygun olmadığınızın söylenmesi gibi durumlarla karşılaşabiliyorsunuz. Vergi İdaresi, FSV’yi kullanarak birçok insanı çözmesi gereken bir kargaşa içinde bıraktı.”

Ayrımcılık

Soruşturma neticesinde, Vergi İdaresi tarafından oluşturulan FSV sisteminde dolandırıcılık risk analizlerinde uyruk ve fiziksel görünüş gibi faktörlerin de değişken olarak kullanıldığı tespit edildi. Wolfsen bu hususa ilişkin olarak ise şu açıklamaları yaptı:“Eğer ki Türk, Fas veya Doğu Avrupa vatandaşıysanız, sadece uyruğunuzdan dolayı haklı olmaksızın soruşturmaya tabi tutulmuş olabilirsiniz” Yapılan bu ayrımcılık kabul edilemez. Vergi İdaresi ayrıca camilere yapılan bağışları ve yüksek ilaç maliyetlerine sebep olan Doğu Avrupa kökenli isimli kişilerin sebep olduğu yüksek ilaç maliyetlerini kaçakçılık için risk faktörü olarak gösterdi. “

Bu Olay Vergi İdaresinin İlk İhlali Değil

Hollanda Veri Koruma Otoritesi, para cezasının miktarını belirlerken Vergi İdaresi’nin GVKT’yi ilk kez ihlal etmeyişini de göz önünde bulundurdu. 2018 yılında da Hollanda Veri Koruma Otoritesi, Vergi İdaresi’nin kişisel verileri yeterli derecede korumadığını tespit etmişti.

Yine 2020 yılında Hollanda Veri Koruma Otoritesi, serbest meslek sahiplerinin KDV sicil numaralarındaki vatandaş hizmet numaralarının (BSN) hukuka aykırı bir şekilde kullanılması nedeniyle Vergi İdaresi’nin kişisel verileri işlemesini yasaklamıştı. Buna ek olarak, 2021 yılında Vergi İdaresi, çocuk bakımı yardımları konusundaki ayrımcı ve kanuna aykırı yöntemleri nedeniyle Hollanda Veri Koruma Otoritesi tarafından 2,75 milyon € para cezasına çaptırılmıştı.

Wolfsen geçmiş ihlallerle ilgili olarak ise şu hususların altını çizdi: “Vergi İdaresi, Hollanda’daki insanlara karşı majör sorumluluğu olan bir hükümet organı olmasına rağmen tekrar tekrar hata yaptı. Bu insanlar Vergi İdaresi’ne bağlıdır. Başka bir yere daha avantajlı olduğu için başvurmaya veya vergi beyannamenizi başka bir yere göndermeye karar veremezsiniz. İnsanların, Vergi İdaresi tarafından bilgilerinin dikkatli bir şekilde kullanıldığına dair güvenmeleri gerekir. İşbu FSV davası, dairenin gereken özeni göstermediğini bir kez daha ortaya çıkardı.”

Olayda Tespit Edilen İhlaller

FSV olayına ilişkin olarak verilen 3,7 milyon € para cezası, tespit edilen 6 ayrı kişisel veri ihlali için kesilen para toplam para cezasını içermektedir. Tespit edilen ihlaller şunlardır:

• Vergi Dairesi’nin FSV’deki kişisel verileri işlemek için kanuni dayanağı olmaması: 1.000.000 €
• FSV’nin amacının önceden belirli bir biçimde tanımlanmaması: 750.000 €
• İşlenen verilerin çok uzun süre saklanması: 250.000 €
• FSV’nin yeterli düzeyde korunmaması: 500.000 €
• Vergi Dairesi’nin FSV’yi kullanmanın risklerini değerlendirme konusunda gizlilik alanındaki iç denetçisinden tavsiye almak için bir yıldan fazla süre beklemesi: 450.000 €

Bu soruşturma neticesinde 2020 yılı Şubat ayı itibariyle Vergi İdaresi FSV’yi kapattı.

2. Hollanda Dış İşleri Bakanlığı’nın Vize Başvuru Süreçlerindeki İhlalleri Hakkında Karar

Hollanda Kişisel Verileri Koruma Kurulu, Hollanda Dış İşleri Bakanlığına, vize başvuru işlemleri sürecinde; Avrupa Veri Koruma Tüzüğü’nü (GDPR/GVKT) uzun süreli, geniş ölçekte ve ciddi şekilde ihlal etmiş olması sebebiyle 565.000 € idari para cezası verdi.

Cezaya sebep olan kişisel veri işleme faaliyeti, Dış İşleri Bakanlığı tarafından Schengen Vize Süreci için kullanılan NVIS adındaki dijital sistemin yeterli güvenlik seviyesinde olmamasıdır. Gerekli idari ve teknik tedbirlerin alınmamış olmasından dolayı sisteme yetkisiz kişilerin erişme ve dosyaları değiştirme riski bulunmaktadır. Ayrıca, veri sorumlusu olan Dışişleri Bakanlığı, ilgili kişi konumundaki vize başvuru sahiplerine kişisel bilgilerinin 3. kişilerle paylaşımı konusunda yeterli bilgilendirme de sağlamamıştır.

Hollanda Veri Koruma Otoritesi, verdiği para cezasına ek olarak, Dış İşleri Bakanlığı’na uygun bir güvenlik düzeyi sağlamasını (iki haftada bir 50,000 € para cezasına tabidir) ve başvuru sahiplerine gereken bilgiyi vermesini (haftada 10,000 € para cezasına tabidir) emretmiştir.

Yetersiz Güvenlik

Geçtiğimiz 3 yılda Dış İşleri Bakanlığı yıllık olarak ortalama yaklaşık 530.000 vize başvurusunu işleme almıştır. Tüm bu başvurularda kişisel veriler yeterli düzeyde korunmamıştır.

Bahsi geçen kişisel veriler; başvuru sahibinin parmak izi, adı, adresi, doğduğu ülke, seyahat amacı, uyruğu ve fotoğrafı gibi hassas bilgileri içermektedir. Bilindiği üzere, vize başvurusunda bulunan herkesin bu bilgileri Dış İşleri Bakanlığına ibraz etmesi gerekmektedir.

Hollanda Kişisel Verileri Koruma Kurumu Başkan Yardımcısı Monique Verdier konu ile ilgili şu açıklamaları yapmıştır: “Fiziki ve dijital veri güvenliği yetersiz olduğunda, yetkisiz çalışanların kişisel verilere erişimi ve bunları değiştirmesi ve diğer hataların veya suiistimallerin uzun süre boyunca fark edilmeden kalma riski artar. Bunun bireyler üzerinde ciddi etkisi olabilir. Örneğin, sonuç olarak vize başvuruları hatalı bir şekilde reddedilebilir ve bu durum kişinin seyahat etme özgürlüğünde ciddi ihlallere yol açabilir.  Vize almak için insanlar Dış İşleri Bakanlığına bağlıdır. Bu bağlı olma hali nedeniyle veri güvenliği eksikliği çok ciddi bir sorundur.”

Her ne kadar veri sorumlusu olan Dış İşleri Bakanlığı bir süredir vize sistemindeki güvenlik risklerinin farkında olsa da Hollanda Veri Koruma Otoritesi, Bakanlığın yeterince hızlı hareket etmediğini ve güvenliğin sağlanmasına yönelik olarak çok az iş/işlem yaptığını düşündüğü için veri sorumlusunu cezalandırma yoluna gitmiştir.

Monique Verdier olayda ciddi bir ihmal olduğunun altını çizerek ayrıca şu hususları belirtmiştir: “Vize başvuru sahiplerinin kişisel verilerini ibraz etmeleri göz önüne alındığında, Dış İşleri Bakanlığı verileri düzgün bir şekilde korumak için gerekli önlemleri derhal almalıydı. Sistemin güvenliği çok uzun yıllardır yetersiz durumda olduğundan, bize göre Dış İşleri Bakanlığı ciddi bir ihmalkarlık içinde olmuştur ve olmaya da devam etmektedir.”

Uygulanan Diğer Tedbirler

Hollanda Veri Koruma Otoritesi, veri sorumlusu olan bakanlığa, ilgili kişilerin hakları ve veri kaydının (sistemdeki kullanıcıların ve olayların kaydı) düzenli olarak kontrol edilmesi yoluyla uygun güvenliğin sağlandığından emin olması için talimat vermiştir. Hollanda Veri Koruma Otoritesi ihlalin devam ettiği her 2 haftada bir 50.000 € para cezasına tabi olunacak şekilde karar vermiştir (maksimum 500.000 €’ya kadar).

Hollanda Veri Koruma Otoritesi, Dış İşleri Bakanlığının vize başvurusu yapan ilgili kişilere, kişisel verilerinin üçüncü taraflarla paylaşımı konusunda yeterli bilgi vermediğine de karar vermiştir. İlgili kişilerin, veri sorumlusu olan bakanlığın işlediği kişisel verileri kimlerle paylaştığını bilmeleri için veri sorumlusunun şeffaflığı sağlamak zorunda olduğu kararda vurgulandı. Sonuç olarak, Hollanda Veri Koruma Otoritesi, Dış İşleri Bakanlığının, ilgili kişilerin kişisel verilerini işleme süreciyle ilgili ve özellikle verilerinin kimlerle paylaşıldığına ilişkin olarak düzgün ve açık bir şekilde bilgilendirmesine karar vermiştir. Hollanda Veri Koruma Otoritesi, ihlalin devam ettiği her hafta için 10.000 € para cezasına tabi olunacak şekilde karar vermiştir (maksimum 300.000 € ‘ya kadar).

Hollanda Veri Koruma Otoritesi tarafından Hollanda Maliye Bakanlığı Vergi İdaresi’ne ve Hollanda Dış İşleri Bakanlığı’na verilen bu para cezalarına yönelik olarak yargı yolu açık olup veri sorumluları tarafından kararlara itiraz edilebilir.

Bu kararlar, kamu kurumlarının da kişisel veri işleme konusunda sınırsız yetkiye sahip olmadıklarını ve mevzuat çerçevesinde hareket etmeleri gerektiği konusunda önemli birer örnek teşkil etmektedir.

 

Kaynak: 1. https://autoriteitpersoonsgegevens.nl/en/news/tax-administration-fined-fraud-blacklist

2. https://autoriteitpersoonsgegevens.nl/en/news/ministry-foreign-affairs-fined-inadequately-securing-visa-applications