Danimarka

Danimarka Veri Koruma Ajansı’ndan Google’a Kişisel Veri İşleme Yasağı

Danimarka Veri Koruma Otoritesi olan Datatilsynet, 14 Temmuz 2022 tarihinde yaptığı bir açıklama ile bir belediyenin ilkokullarda Google Workspace ve Chromebook kullanmasını yasakladı ve belediyeye ciddi eleştiriler yöneltti.

Kararda en çok dikkat çeken husus şüphesiz Datatilsynet’in veri aktarım faaliyetlerini durdurması oldu. Datatilsynet’in bu kararının dayanağı GVKT’nin bağımsız idari otoritelerin yetkililerini düzenleyen 58. maddesi. Maddenin 2. fıkrasının d ve f bentlerine göre her bağımsız idari otoritenin sahip olduğu yetkiler arasında “veri sorumlusu ya da veri işleyene, kişisel veri işleme faaliyetlerini belirtilen şekilde ve sürede Tüzük hükümlerine uygun hale getirme emri verme” ve “kişisel veri işleme yasağı da dahil olmak üzere bu işleme faaliyetlerine geçici ya da kalıcı bir sınırlama getirmek” de bulunuyor.

Kişisel verilerin işlenmesine ve/ya aktarılmasının yasaklanmasına dair Kişisel Verileri Koruma Kurulu’nun da benzer bir yetkisi var. 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 15(7) gereğince “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına” karar verebilir.

Bilindiği kadarıyla* Kurul bu yetkisini hiç kullanmadı. Ancak veri sorumlularının, özellikle yurt dışına veri aktarımı süreçlerini kurgularken, Kurul’un böyle bir yetkisi olduğunu dikkatlerinden kaçırmaması önemli.

Danimarka Veri Koruma Ajansı’nun kararına ilişkin genel bir fikir sahibi olmanıza yarayacak özet, arka plan ve karar kısımlarının tercümesini yazının devamında bulabilirsiniz.

***

Özet

Danimarka Veri Koruma Ajansı, uzun zamandır belediyelerde Google Chromebook ve Google Workspace (önceki adıyla eğitim için G Suite)  kullanılmasına odaklanmaktaydı. Bunların ülke içinde kullanımı yaygın bir hal almış ise de Danimarka Veri Koruma Ajansı’nın özellikle Helsingør Belediyesi’ne  ilişkin olarak bekleyen bir dosyası vardı.

Bu nedenle Danimarka Veri Koruma Ajansı, eylül 2021’de, Helsingør Belediyesi’ne, belediyelerin ilkokullarda Chromebooks ve Workspace kullanarak kişisel veri işlemeleri ile ilgili bir risk değerlendirmesi yapmasını emrettiği bir karar verdi. Helsingør Belediyesi’nin hazırladığı ilgili kişilere ilişkin risk dökümantasyonu ve değerlendirmesine dayanarak, Danimarka Veri Koruma Ajansı, söz konusu veri işlemenin çeşitli açılardan GDPR’daki gereklilikleri karşılamadığını tespit etti.

Danimarka Veri Koruma Ajansı’nda BT güvenliği uzmanı ve avukat olarak çalışan Allan Frank [konuya ilişkin olarak], “Helsingør Belediyesi, ilkokulda kişisel verilerin nasıl işlendiğini haritalama konusunda harika bir iş çıkarttı ancak bu durum, büyük teknoloji şirketlerinin iş bitirme yöntemlerinde söz konusu olabilecek kişisel veri koruma hukuku sorunlarına da ışık tutuyor.” dedi.

Danimarka Veri Koruma Ajansı, Helsingør Belediyesi’nin  veri işleme tasarımına has riskleri ise değerlendirmediğini tespit etti. Buna ek olarak veri işleme sözleşmesinde destek gereken durumlarda gerekli güvenlik seviyesini sağlamaksızın verinin üçüncü ülkelere aktarılabileceği belirtiliyordu.

Eylül 2021’deki kararın ışığında, Danimarka Veri Koruma Ajansı yeni bir karar verdi. Kararda; belirtilen diğer hususların yanı sıra şunlar yer almaktadır:

  • Helsingør Belediyesi’nin yeterli koruma seviyesi sağlanmaksızın verinin üçüncü ülkelere aktarılmasına dair işleme faaliyetinin gerçekleştirilmesinin askıya alınması,
  • Yeterli dökümantasyon ve etki değerlendirilmesi yapılıncaya ve işleme faaliyeti [GVKT] Tüzük ile uyumlu hale getirilinceye değin Google Workspace’in kullanılmasına dair genel bir yasaklama,
  • Belediye’nin kişisel veri işleme süreçlerine yönelik ciddi eleştiriler.

Danimarka Veri Koruma Ajansı, bu kararda ortaya konulan bir çok değerlendirmenin aynı veri işleme yapısını kullanan diğer belediyeler için de geçerli olduğuna dikkat çekmektedir. Bu nedenle Danimarka Veri Koruma Ajansı, hali hazırda diğer belediyeleri ilgilendiren bir dizi kararı sonuçlandırmak üzere ise de bu belediyelerin de [bu] karar temelinde ilgili adımları atmalarını beklemektedir.

Olayın Arka Planı

29 Ocak 2020 tarihinde Helsingør Belediyesi bir kişisel veri güvenliği ihlalini Danimarka Veri Koruma Ajansı’na bildirmişti.

Danimarka Veri Koruma Ajansı de 10 Eylül 2021 tarihinde bu veri güvenliği ihlaline ilişkin bir karar vermişti. Datatilsynet, Helsingør Belediyesi’nin Google Chromebook kullanarak gerçekleştirdiği kişisel veri işleme faaliyetlerinin, Avrupa Genel Veri koruma Tüzüğü’nün 5(2), 5(1)(a),(c) ve (f), madde 6(1)(a) ve ayrıca madde  32(1), madde 33(1) ve madde 35(1)’e uygun gerçekleşmesi gerektiğine yönelik ciddi eleştiriler yöneltti.

Dahası, Danimarka Veri Koruma Ajansı, Helsingør Belediyesi’ne Google Chromebook kullanarak gerçekleştirdiği kişisel veri işleme faaliyetlerini GVKT’ye uygun hale getirmesi için talimat verme konusunda gerekçeleri olduğunu da tespit etmişti. Bu, Helsingør Belediyesi’nce veri işlemenin gerektirdiği kişisel veri akışlarını yansıtan işleme faaliyetinin risk değerlendirmesi gerçekleştirilerek yapılacaktı. Risk değerlendirmesi, kısmen ürünün konfigüre edilmesi için gerekli seçenekler ile Belediye’nin öğrencilerden Chromebook kullanmalarınıı talep etmesinin İlk ve Ortaokul Yasası’nda yer alan yetki kapsamı ile ilgili soruları ele almalıydı. [Bu işleme] İlgili kişilerin hak ve özgürlükleri için risk yüksek olarak değerlendirildiyse, Belediye de talimatın bir parçası olarak bir etki değerlendirmesi yapmak zorunda kalacaktı.

Tedbir [kararı], Veri Koruma Tüzüğü madde 58(2)(d) gereğince alındı.

Ek olarak, Danimarka Veri Koruma Ajansı, Helsingør Belediyesi’ne veri korumaya ilişkin etki değerlendirmesi yapılmaksızın Google GSuite’in kullanılması hususunda bir uyarı vermek için gerekçeler bulunduğuna da karar vermişti, zira [burada] muhtemelen Veri Koruma Tüzüğü’nün 35(1) maddesi ihlal edilmekteydi.

Son olarak Danimarka Veri Koruma Ajansı,  Helsingør Belediyesi’nin gerçekleştireceği risk değerlendirmesinin ilgili kişilerin hak ve özgürlükleri yönünden yüksek bir risk ortaya çıktığını göstermesi halinde, bu yüksek riski azaltmak için kişisel veri işleme faaliyetlerinin geçici olarak kısıtlanmasının temeli bulunduğuna da karar vermişti. Kısıtlama, söz konusu riskler yüksek seviyeden daha az bir seviyeye inmedikçe kişisel veri işleme faaliyetinin gerçekleştirilemeyeceği anlamına gelmekteydi.

Danimarka Veri Koruma Ajansı’nın 10 Eylül 2021 tarihli kararını müteakiben Helsingør Belediyesi, 10 Kasım 2021 tarihli bir dilekçe ile kişisel veri işleme faaliyetinin hukuka uygunluğunu ortaya koymak için Chromebook ve eğitim için G-Suite’in kullanılmasına ilişkin risk değerlendirmesini sundu. Ayrıca Danimarka Veri Koruma Ajansı’nın 2 Aralık 2021 tarihli talebine cevaben 09 Aralık 2021 tarihinde dosyaya ilişkin alarak ek bilgi sundu.

Karar

Helsingør Belediyesi’nin sunmuş olduğu risk değerlendirmesi ve sunduğu belgeler genel olarak incelendikten sonra Danimarka Veri Koruma Ajansı, Helsingør Belediyesi’nin eğitim için Google Chromebook ve Workspace kullanarak kişisel veri işlemesini yasakladığını bildirmesi için gerekçeler olduğunu tespit etti. Bu yasak, Helsingør Belediyesi’nin veri işleme faaliyetlerini Veri Koruma Tüzüğü’ne uygun hale getirmesine ve bunu yeterli bir şekilde belgelendirmesine kadar sürecektir.

İlaveten, Helsingør Belediyesi Veri Koruma Tüzüğü’nün V. bölümündeki kurallara uyduğunu gösterinceye değin Google Cloud EMEA’nın Helsingør Belediyesi’nin talimatına istinaden [onun] veri işleyen sıfatıyla Amerika Birleşik Devletleri’ne herhangi bir kişisel veri aktarımı gerçekleştirmesi de askıya alınmıştır.

Yasak ve askıya alma derhal yürürlüğe girecektir ancak Helsingør Belediyesi’ne 3 Ağustos 2022 tarihine değin kullanıcılar ve hakları geri çekme ve sona erdirmesi yanında halihazırda aktarılmış verileri silmesi için süre verilmiştir.

Yasak, GVKT madde 58(2)(f) gereğince [Helsingør Belediyesi’ne] bildirilmiştir.

Danimarka Veri Koruma Ajansı tarafından bildirilen bu yasağın ihlali halinde Veri Koruma Kanunu’nun 41(1) ve 41(2)(4) uyarınca para cezası veya 6 aya kadar hapis cezası ile cezalandırılır.

Son olarak Danimarka Veri Koruma Ajansı, Helsingør Belediyesi tarafından gerçekleştirilen kişisel veri işleme faaliyetinin GVKT madde 5(1), 5(2), 24(1)(a)(1), 35 ve 46(1) gereğince madde 44’e uygun olarak gerçekleştirilmediğine yönelik ciddi eleştiriler yöneltmiştir.

***

*Böyle bir karar varsa hatırlatmanızdan mutluluk duyarım.

Leave a Reply

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!