İTALYA VERİ KORUMA OTORİTESİ TARAFINDAN ŞAHIS ŞİRKETİ PETTA FABİO GİOVANNİ’YE KARŞI TEDBİR KARARI

Hazırlayan: Ayşegül Sivri

Olay Örgüsü

İtalya Veri Koruma Otoritesi (bundan sonra kurum olarak anılacaktır) tarafından verilen karar, http://www.inelenco.com/ adlı web sitesinde yayınlan kişisel verilere (isim, adres, telefon numarası) ilişkindir. Yapılan araştırmalar neticesinde web sitesinin şahıs şirketi Petta Fabio Giovanni’ye (bundan sonra Petta olarak anılacaktır) ait olduğu saptanmıştır. Bahse konu web sitesinde yayınlanan kişisel verilere ilişkin yapılan şikâyette, şikâyetçiler; kişisel verilerinin bu siteye eklenmesine hiçbir zaman izin vermediklerini, hatta verilerinin sitede yer aldığını Google arama motoru aracılığıyla İnternet’te yapılan aramalardan sonra öğrendiklerini beyan etmişlerdir. Şikâyetçiler ayrıca sitedeki formu kullanarak verilerinin silinmesi talebinde bulunduklarını ancak hiçbir sonuç alamadıklarını belirtmişlerdir. Ek olarak bir şikâyetçinin telefon numarasıyla ilgili verilerinin, hatalı bir şekilde tanımadığı bir şirkete atfedildiği de beyanlar içerisinde yer almaktadır.

Şikâyetlere cevap olarak söz konusu şirket beyanlarında; sitede veri giriş formu ve veri silme formu bulunduğunu, sistemlerinde 72 saatte bir etkinleştirilen bir Crontab (belirlediğiniz bir zamanda belirlediğiniz işlemleri gerçekleştirmeye yarayan bir komut) aracılığıyla silme talebinde bulunan tüm kullanıcıların verilerini otomatik olarak silen bir programları olduğunu belirtmiştir. Şirket ayrıca bildirimde bulunan kişilerle ilgili olarak doğrudan internet sitesinde yaptıkları talep üzerine tüm verilerin sistemden otomatik olarak silindiğini söylemiştir ancak beyanlarını destekleyecek herhangi bir belge sunamamıştır.

Tespit Edilen İhlaller

1. Uygun Bir Yasal Dayanağın Yokluğunda Kişisel Verilerin Yayılması

Kurum’a göre, elde edilen çok sayıda belge ve web sitesinin içeriğinin incelenmesi, kişisel verilerin uygun bir yasal dayanağın yokluğunda İnternet’te yayılmasına yol açan elektronik haberleşme operatörlerinin tek bir veri tabanından kaynaklanmayan bir telefon rehberinin oluşturulmasından kaynaklanan bir ihlalin ana hatlarını çizmektedir. Aynı zamanda süreç boyunca Petta tarafından belgelenmemiş kısa cevaplarla iddia edilen verilerin otonom eklenme olasılığı düşük olduğundan, verilerin kaynağını kesin olarak açıklığa kavuşturmak için yeterli bulunmamıştır. Tüm şikâyetçiler herhangi bir yetki vermeden ve hatta verilerinin orada bulunduğunu bile bilmeden, kişisel verilerinin web sitesinde bulunuyor olmasından şikâyet ettiler. Ayrıca, görünürlük ihtiyaçları olan kişilerin iletişim bilgilerinin resmi telefon rehberleri tarafından karşılandığını görebildikleri göz önüne alındığında, ilgili kişini genel bir telefon rehberine dahil edilmesinden ne gibi bir fayda elde edeceği de açık değildir.

Diğer yandan, şirketin bu tür işlemleri gerçekleştirmedeki ekonomik çıkarı, web sitesinin sayfalarında reklam afişleri yayınlama olasılığı nedeniyle daha belirgin görünmektedir. Ve her halükârda, bir rızanın varlığı kabul edilmek istense de ilgililer tarafından gönderilen (sayısız) silme talebinden sonra bu hukuki dayanak kesinlikle geçerli olmayacaktır.

2. Silme Hakkına Saygı Gösterilmemesi

Şikâyetçiler ek olarak, silme hakkının ve potansiyel olarak kişisel verilerin korunmasıyla bağlantılı diğer herhangi bir hakkın kullanılmasının imkânsızlığından şikâyet etti, çünkü site sahibi ile hiçbir iletişim kanalı bulunamadı ve mevcut, silinecek numaranın girileceği çevrimiçi bir form hiçbir zaman etkili olmadı. Firma tarafından beyan edilenin (fakat belgelenemeyen) aksine sitede yer alan form aracılığıyla gönderilen silme talepleri belirtilen süreler içerisinde ele alınmamıştır. Şikâyetçiler, formda açıklanan prosedürü kullanarak birçok kez numarayı silmeye çalıştıklarını ancak aylar geçmesine rağmen silinmediğini belirttiler.

Ayrıca, internet sitesinde veri sorumlusunun kimliğini tespit etmek için uygun başka bir kaynak bulunmadığından, silme hakkının yanı sıra başka herhangi bir hakkın alternatif kanallara başvurularak kullanılması mümkün değildir.

Bununla birlikte, açıklanan davranış nedeniyle GVKT’nin 12. madde, par. 2, 15, 16 ve 17. maddeleri uyarınca, ilgililerin verilerin kaynağı ile işlenme yöntem ve amaçlarını bilmeleri, hatalı verilerin düzeltilmesini veya iptalini istemeleri mümkün değildir.

Kurum, belirtilenlerin aynı zamanda kişisel verilerin korunmasına ilişkin hukuka uygun şekilde yerine getirilen işlemeyi güvence altına alan teknik ve idari tedbirlerin genel olarak eksik olduğunu ve böylelikle tüzüğün 24’üncü maddesinin ihlal edildiğini belirledi.

Üstelik silme taleplerinin (resmi de olsa kullanılabilecek tek hak olan) kabul edilmesinde etkisiz olduğu kanıtlanan bir iletişim formunun hazırlanması da ilgili kişilerin haklarını koruyacak teknik tedbir alınamadığından tüzüğün 25’inci maddesinin ihlalini içermektedir.

3. Bilgilendirmenin Yetersizliği

Web sitesinde, gerçek bir kişinin verilerinin eklenmesini talep etmesinin mümkün olacağı “özel ekle” bağlantısı bulunmaktadır. Bu bağlantı, aşağıdaki verileri (bazıları isteğe bağlıdır) girilmesinin istendiği bir forma götürür: ad, soyadı, telefon, cep telefonu, tam adres, herhangi bir sosyal medya hesabı bilgisi vs. Formun alt kısmında – hâlihazırda seçili ve seçimi kaldırılamaz – “Gizlilik koşullarını kabul ediyorum” ve “Verilerimin çevrimiçi yayınlanmasına izin veriyorum” seçenekleri vardır. Kuralların artık yürürlükte olmayan versiyonuna göre sağlanan gizlilik politikası, veri sorumlusunun kimliğinin belirlenmesine olanak tanıyan herhangi bir bilgi içermemektedir. Aynı zamanda site, mevcut iş mevzuatının gerektirdiği şekilde, web sitesinin sahibi olan ekonomik operatörün adı ve KDV numarası ile ilgili herhangi bir bilgi içermemektedir.

4. Denetim Makamı ile İş birliği Eksikliği

Web sitesinde gerekli bilgilerin bulunmaması, Kurum’u sitenin sahibini belirlemeye yönelik bir ön soruşturma yürütmeye zorlayarak prosedürü yavaşlatmıştır. Ayrıca, Kurum tarafından iadeli taahhütlü posta yoluyla gönderilen iki bilgi talebinden yukarıda açıklanan sınırlı süre içinde yalnızca ilki yanıtlanırken, ikincisi e-posta yoluyla cevap verilmesi beklenirken göndericiye iade edilmiştir. Ayrıca bilgi entegrasyonu talebinin kendisine bildirildiği şirket, herhangi bir belgesel kanıt eklemeden kendisini belgesiz açıklamalar yapmakla sınırlamıştır.

Karar

          Yukarıda bahsedilen olaylara dayanarak Kurum, Petra’nın ilgili Tüzük ve Yönetmeliği ihlal ettiğine kanaat getirerek 50.000 € para cezası ile cezalandırılmasına karar vermiştir. Söz konusu kararda ağırlaştırıcı koşullar dikkate alınmıştır. Ayrıca elektronik haberleşme operatöründen alınmayan telefon rehberinin çevrimiçi elde edilmesi ve dağıtımı amacıyla kişisel verilerin elde edilmesi, yayınlanması ve depolanmasının veri sorumlusu bakımından yasaklanmasına karar verilmiştir. Söz konusu ağırlaştırıcı koşullar aşağıdaki gibidir:

1. Davranışın hukuka ve özellikle madde hükümlerine aykırı olması nedeniyle ihlalin ciddiyeti. Kanun’un 129. maddesi ve kişisel iletişim verilerinin internet ortamında yayılması nedeniyle ilgili taraflara önemli ölçüde zarar vermesinin muhtemel olması;
2. Verileri yayınlanan kişi sayısının yüksek olması (6 Mayıs 2022 itibarıyla 357.46’dır);
3. İhlalin süresi: şirket, 8 Ekim 2012’den beri ticaret siciline kayıtlıdır; ayrıca www.archive.org adresinde yapılan bir kontrolde, http://www.inelenco.com/ sitesinin 27 Mart 2015 tarihinden itibaren varlığı tespit edilmiş ve o sırada mevcut sitenin aynı içeriğini bildirmiştir;
4. Kişisel verileri koruyan kuralların tamamen göz ardı edilmesi ve kurumun müdahalesinden sonra dahi dikkate alınmaması nedeniyle veri sorumlusunun ciddi ihmalkârlığı;
5. Düzeltici tedbirlerin tamamen yokluğu ve iddia edilen ihlalleri gidermek için otorite ile iş birliği yapılmaması;
6. İlgili tarafların haklarını kullanmasına izin vermeyen ve şirkete ait herhangi bir tanımlayıcı unsuru veya iletişim bilgilerini sitede belirtmeyen veri sorumlusunun sorumluluk derecesi;
7. Sitenin içerisinde reklam afişlerinin bulunmasından kaynaklanan kişisel verilerin sitede yayınlanması sayesinde elde edilebilecek ekonomik fayda.

Kaynak: https://static.nrc.nl/2022/pdf/letter-dutch-dpa-legitimate-interest.pdf