ALMANYA VERİ KORUMA KOMİSERİ ÜÇÜNCÜ KİŞİLERİN KİŞİSEL VERİLERİ İLE ZENGİNLEŞTİRİLMİŞ VERİNİN AÇIK RIZA ALINMADAN KULLANILAMAYACAĞINA DAİR KARAR VERDİ

Hazırlayanlar: Elif Sağlam, Kübra Durmuş

Federal Almanya Cumhuriyeti’nin eyaletlerinden biri olan Aşağı Saksonya Eyaleti’nin Veri Koruma Komiseri (bundan böyle “LfD” olarak anılacaktır) adı açıklanmayan bir bankaya (“Veri Sorumlusu”) 900.000 Avro para cezası verdiğini açıkladı[1]. Ancak para cezası miktarı henüz kesinleşmedi.

İncelemeye konusu olaya göre; Veri Sorumlusu, eski ve mevcut müşterilerden (“ilgili kişi”) gelen verileri bu müşterilerin rızalarını almaksızın değerlendirerek dijital kullanım alışkanlıklarını analiz etti. Bunun için bankanın mobil uygulamaları üzerindeki toplam satın alma hacmini, hesap özeti çıktılarının kullanım sıklığını ve internet bankacılığındaki toplam transfer tutarını şubelerdeki kullanımla kıyasladı Veri Sorumlusu, bu işlem için bir servis sağlayıcı kullandı. Analiz sonuçlarını bir kredi kuruluşunun verileri ile karşılaştırdı ve çıkan sonuçlar bu kıyaslama ile daha anlamlı bir hale gelmiş oldu.

Bu işlemlerin yapılmasındaki amaç, dijital medyaya eğilimi artan müşterileri tespit etmek ve elektronik iletişim kanallarını sözleşmeyle ilgili veya reklam amaçlı olarak ele almak için daha fazla kullanmaktı. Birçok müşteri önceden bilgilendirilmiş, ancak müşterilerin Genel Veri Koruma Tüzüğü (bundan böyle “GVKT” olarak anılacaktır) 6/1-(a) maddesi kapsamında rızaları alınmamıştır.

Veri Sorumlusu; veri analizinde, veri zenginleştirmede ve akabinde, müşteri profillerinin oluşturulmasında GVKT’nin 6/1-(f) maddesi uyarınca meşru menfaati olduğunu iddia etmektedir. Ancak LfD’ye göre Veri Sorumlusu, GVKT 6/1-(f) maddesine uygun hareket etmemiştir. Zira Veri Sorumlusu, kişisel verileri yalnızca bir menfaat dengesi temelinde işleyebilir. Meşru bir menfaate dayalı olarak kişisel veri işlenmesi, veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengeleyici bir eylem gerektirir. Veri Sorumlusu, bu türden veri işlemelerinde, ilgili kişilerin makul beklentilerini de dikkate almak zorundadır.

LfD ayrıca, üçüncü kişi bir kaynaktan veri zenginleştirmenin ve bunu profillere bağlanmasının da meşru menfaate dayanamayacağına karar vermiştir. Zira böyle bir ihtimalde, hayatın her alanından gelmesi mümkün olan kişisel veriler gerçek bir müşteri profiline bağlanabilir. Oysa bu tür bir zenginleştirilmiş veri analizi, bir müşterinin kişisel verilerinin işlenmesine dair makul beklentisi kapsamında değerlendirilemez. Dolayısıyla bu müşterinin GVKT’nin 6/1-(a) maddesi kapsamında rızasının alınması gerekir.

Benzer vakalar

LfD, daha öncesinde profilleme amacı ile hukuka uygun bir şekilde işlenmiş olan müşteri verilerinin söz konusu veri sorumluları tarafından değerlendirildiği vakalarla giderek daha çok karşılaşmaktadır. Sorumlular bu tür işlemleri gerçekleştirmek için zaman zaman harici tedarikçiler kullanmakta veya elde ettikleri sonuçları harici tedarikçilerin verileri ile karşılaştırmaktadırlar.

LfD’de Veri Koruma Eyalet Komiseri Barbara Thiel, “Bu tür değerlendirmelerden sorumlu olanlar genellikle müşterilerin rızasını almıyor” diyor ve devam ediyor: “Bunun yerine, GVKT madde 6/1-(f)’ya göre menfaatlerin dengelenmesine atıfta bulunuyorlar. Ancak bu işleme şartı, büyük veri tabanlarını değerlendirerek reklam amaçlı profil oluşturulmasına izin vermemektedir.”

Potansiyel müşterilere reklam vermenin veri sorumlularının menfaatine olduğu doğrudur. Bununla birlikte, yasa koyucu, ilgili kişilere itiraz etmek için basitleştirilmiş bir fırsat sağlayarak bu ilgiyi daha az önemli olarak sınıflandırmaktadır. İtirazın gerekçelendirilmesine de gerek yoktur. Menfaatleri birbirileriyle tartarken, ilgili müşterilerin menfaatleri de gözetilmelidir. Ayrıca veri sorumluları, menfaatleri dengelerken, diğer hususların yanı sıra, müşterilerin makul beklentilerini de dikkate almalıdır.

Makul Beklentiler Üstün Gelir

Barbara Thiel beyanının devamında “Ancak, etkilenenler genellikle veri sorumlularının belirli ürün kategorilerine veya iletişim kanallarına yönelik eğilimlerini belirlemek için veri tabanlarını büyük ölçekte kullanacaklarını beklemiyorlar” demiştir. Bahsedilen nedenlerle, böyle durumlarda, veri sorumlularının meşru menfaate dayanamayacakları ve; [ilgili kişilerden] rıza almaları gerektiği sonucuna varılmaktadır.

Veri sorumlusunun işleyebileceği kişisel verilere, başka veri sorumlularına ilişkin veri setleri de dâhil edilirse (örneğin kredi kuruluşlarının barındırdığı veriler vs.), hayatın farklı alanlarından gelen veriler bağlanabilir ve daha kesin profiller oluşturulabilir. Ancak ilgili kişiler (müşteriler) bu nitelikteki kişisel veri işleme faaliyetlerini kabul etmek zorunda değildir, bu nedenle veri zenginleştirme ve bunlara dayalı olarak profil oluşturma için de [ilgili kişilerden] rıza alınmalıdır.

[1]https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken-213925.html (E.T. 07.09.2022)