Belçika

Belçika Yüksek Mahkemesi Data Protection Authority v. Cerreydt bv* C. 20.0323.N. sayılı ve 07.10.2021 tarihli Karar Özeti

24 Eylül 2022 /

Hazırlayanlar: Zeynep Cemre Demirtaş , Simge Yüce

Kararın Özeti

Belçika’da bulunan bir mağaza, müşterilerinin sadakat kart sahibi olarak indirimlerden faydalanabilmeleri için elektronik kimlik kartlarını şirketin bilgisayar sistemine okutmalarını gerektiren bir uygulama kullanmaktadır ve mağaza müşterilerine elektronik kimlik kartlarını okutmak haricinde kişisel verilerini şirket sistemine girebileceği alternatif bir yöntem sunmamıştır. Bu uygulama çerçevesinde, müşterinin elektronik kimlik kartında yer alan bilgiler (isim, soy isim, adres, doğum tarihi, cinsiyet, kimlik numarası), müşterinin alışveriş bilgileri ile barkod bilgisi işlenmektedir.

Mağaza müşterilerinden biri, bu verilerin işleme amacı dikkate alındığında, toplanan verilerin aşırı olduğu ve işleme faaliyetinin ölçülü olmadığı gerekçesi ile elektronik kimlik kartını sisteme okutmayı reddetmiş ve bu sebeple kendisine sadakat kart temin edilmemiştir. İlgili müşteri, sadakat kart uygulaması çerçevesinde sağlanan avantajlardan mahrum kaldığı gerekçesi ile Belçika Veri Koruma Otoritesi (“Otorite”) nezdinde başvuruda bulunmuştur.

Otorite, mağaza hakkında soruşturma başlatmış ve mağazanın bu uygulamasının Genel Veri Koruma Tüzüğü (“GVKT”) madde 5/1 (c) kapsamında veri minimizasyonu ilkesine aykırılık teşkil ettiğini değerlendirerek, mağaza hakkında 10.000 Euro para cezası verilmesine karar vermiştir. Mağaza, Otorite’nin kararını temyiz etmiştir.

Belçika Temyiz Mahkemesi (“Temyiz Mahkemesi”), (i) yeni elektronik kimlik kartı mevzuatının geriye dönük olarak uygulanamaması, (ii) cezanın yeterince gerekçelendirilmemesi ve (iii) şikâyet sahibi müşterinin elektronik kimlik kartını mağaza sistemine okutmadığı ve kişisel verilerinin işlenmediği gerekçeleriyle somut olayda kanıtlanmış bir ihlal bulunmadığını belirterek, Otorite tarafından verilen para cezasının kaldırılmasına hükmetmiştir. Otorite, Temyiz Mahkemesi tarafından verilen bu karara Belçika Yüksek Mahkemesi (“Yüksek Mahkeme”) nezdinde itiraz etmiştir.

Yüksek Mahkeme, Temyiz Mahkemesi tarafından verilen kararı bozmuştur. Yüksek Mahkeme’ye göre;

  • Öncelikle, somut olayda ilgili kişinin kişisel verilerinin fiilen işlenip işlenmediğine bakılmaksızın ilgili kişinin şikâyeti değerlendirmeye alınabilir ve böyle bir şikâyet uyarınca soruşturma açılabilir. Başka bir ifadeyle, bir veri sorumlusunun, bir fayda veya hizmetin ön şartı olarak, ilgili kişilerin kişisel verilerinin GVKT hükümlerine aykırı şekilde işlenmesini talep etmesi durumunda, ilgili kişinin verileri veri sorumlusu tarafından işlenmemiş olsa dahi GVKT’nin 2.1, 4 (2), 5.1 (c) ile 57.1 (a), (f) ve (h) maddeleri uyarınca veri minimizasyonu ilkesinin ihlaline yol açabilecek bir uygulamanın tespit edilmesinin yeterli olduğu dikkate alındığında, GVKT’nin ihlal edildiği değerlendirilebilecektir.

Bu doğrultuda, ilgili olayda kişisel veriler işlenmiş olmasa bile yapılan soruşturma sonucunda Otorite’nin ihlale yol açabilecek bir uygulama tespit etmesi halinde, düzeltici tedbirler alınmasını sağlamak ve uygun olduğu ölçüde idari para cezasına karar vermekle görevli olduğu değerlendirilmiştir.

  • Elektronik kimlik kartının okutulması suretiyle işlenen veriler dikkate alındığında, müşterilerin elektronik kimlik kartlarını sisteme okutmak durumunda kalmalarının GVKT madde 5/1 (c) kapsamında veri minimizasyonu ilkesine aykırılık teşkil edip etmediğininim değerlendirilmesi gerekmektedir.
  • Öte yandan, somut olayın aynı zamanda GVKT madde 6/1 (a) kapsamında değerlendirilmesi ve ilgili kişilerden alınan rızanın, rızanın özgür iradeye dayanması şartına aykırı olup olmadığının da dikkate alınması gerekmektedir. Zira, ilgili kişi, rıza vermediği takdirde sadakat kart uygulamasının sağladığı avantajlardan mahrum bırakılmakta olup, bu durumun rıza veren ilgili kişinin iradesini etkileyip etkilemeyeceği değerlendirilmelidir.

Yukarıda açıklanan nedenlerle, Yüksek Mahkeme, Temyiz Mahkemesi’nin kararını bozmuş ve yeni hüküm kurması için dosyayı Temyiz Mahkemesi’ne geri göndermiştir.

 

*Kaynaklar:

https://www.mondaq.com/data-protection/1128122/belgian-supreme-court-rules-that-data-protection-authority-may-impose-administrative-fines-even-where-a-data-subject39s-personal-data-were-not-processed

https://gdprhub.eu/index.php?title=Supreme_Court_-_C.20.0323.N

Bunlara da bakmak isteyebilirsin

BELÇİKA VERİ KORUMA OTORİTESİ’NİN, ESKİ MÜŞTERİLERE BELİRLİ DURUMLARDA MEŞRU MENFAAT KAPSAMINDA DOĞRUDAN PAZARLAMA İLETİLERİNİN GÖNDERİLEBİLECEĞİNE İLİŞKİN KARARI  
23 Ekim 2022
AVRUPA BİRLİĞİ ADALET DİVANI 171/22 SAYILI BASIN DUYURUSU
14 Nisan 2023
Belçika Veri Koruma Kurumu Tarafından Avrupa İnteraktif Reklamcılık Bürosu Hakkında Verilen 02/02/2022 Tarihli Karar Özeti
8 Haziran 2022

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!