İngiltere Veri Koruma Otoritesi Tarafından Easylife Limited Hakkında Verilen 04/10/2022 Tarihli Karar Özeti

1. Easylife Limited (“Easylife”) Hakkında

Easylife, 1992 yılında kurulmuş, katalog üzerinden ev araç gereçleri ve sağlıkla ilgili hizmet ve ürünleri satan bir firmadır. İngiltere Veri Koruma Kurumu 04.10.2022 tarihinde Easylife hakkında, Veri Koruma Kanunu’nun 155. Bölümü ve Genel Veri Koruma Tüzüğü’nün (GVKT) 83. Maddesi uyarınca 1,350,000 £ tutarında para cezasına hükmetmiştir.

2. Soruşturmanın Başlangıcı

Easylife hakkındaki soruşturmanın başlangıcı başka bir soruşturmaya dayanmaktadır. İngiltere Veri Koruma Otoritesi, pandemi sırasında cenaze planları[1] tanıtımı yapan bir tele pazarlama şirketi hakkında soruşturma başlatmıştır. Bu soruşturma sırasında tele pazarlama şirketi tarafından Easylife adına da aramalar yapıldığı tespit edilmiş olması Veri Koruma Otoritesi’ni Easylife şirketine yönlendirmiştir.

Pazarlama kampanyasının Easylife adına üçüncü parti bir firma tarafından yürütülmekte olduğu anlaşılmıştır. Müşteri, Easylife kataloğunda “tetikleyici ürünler (trigger products)” olarak belirlenmiş 122 ürün arasından satın alım yaptığında bu durum ilgili kişinin aynı zamanda bir pazarlama çağrısı almasına da neden olmaktadır. Easylife, söz konusu tetikleyici ürünleri müşterilerin olası sağlık problemleriyle ilişkilendirerek ve daha sonra tahmin edilen bu sağlık problemlerine yönelik olarak müşterilere sağlık destek ürünleri pazarlaması aramaları yapılmasını sağlamaktadır. Pazarlama aramasını yapmak için kullanılan veriler Easylife adına toplandığından bu noktada Easylife Limited’in veri sorumlusu sıfatı taşıdığına karar verilmiştir.

Easylife Limited’in yaptığı bu verileri kullanarak yürütülen pazarlama kampanyasından da ötedir. Easylife, topladığı verileri müşteriler hakkında profilleme yapmak için kullanmaktadır. Örneğin 122 adet olarak belirlenen tetikleyici ürünlerden belirli 80 tanesinin satın alınması Easylife tarafından müşteride Artrit hastalığı olduğu sonucuna ulaşılmasını ve bu sayede bu hastaları hedefleyen pazarlama çalışmaları yapılmasını sağlamaktadır. Çağrı merkezi tarafından pazarlama yapılan müşteriler, Easylife tarafından gerçekleştirilen profilleme neticesinde belirlenen sağlık koşullarına sahip olanlar arasından seçilmektedir.

Özet olarak; Easylife Limited’in tele pazarlama amacı ile kullandığı veriler Veri Koruma Otoritesi tarafından kişisel veri olarak değerlendirilmiştir. Ayrıca sağlık verilerine dayalı çıkarımlar üzerinden gerçekleştirilen profilleme işleminin özel nitelikli kişisel veri işleme olduğuna karar verilmiştir.

3. İhlalin Bildirilmesi

Soruşturma aşamasında elde edilen bilgilere göre Easylife tarafından 145.400 bireyin profili çıkartılmıştır. Ancak konu hakkında soruşturma öncesinde İngiltere VKO’ya hiç şikâyette bulunulmamıştır. İhlallerin Easylife’ın bireyleri asla bilgilendirmediği görünmez bir işlemeyi içermesi ve bunun sonucunda bireylerin rızaları olmadan kişisel verilerinin ve özel kategori verilerinin işlenmesinin ne kadar tehlikeli olduğu konusunda bilgi sahibi olamadıkları için bu durum hiç de şaşırtıcı değildir. Yukarıda da belirtildiği üzere söz konusu ihlal Veri Koruma Otoritesi tarafından bir tele pazarlama şirketine yönelik yapılan soruşturma sırasında ortaya çıkmıştır.

4. Veri Sorumlusunun Cevabı

Easylife, konu ile ilgili olarak veri koruma politikasının aşağıda belirtilen kısmına dayanarak, profilleme iddialarını reddetmiş ve işlenen verilerin sadece yapılan işlemlere dair işlenen kişisel veriler olduğunu, hastalık çıkarımı yapmak üzere herhangi bir kişisel veri toplanmadığını ve toplanan verilere ilişkin olarak meşru menfaat değerlendirmesi yapıldığını savunmuştur. Easylife’ın topladığı verileri hangi amaçlarla kullanacağını belirtmiş olduğu aydınlatma metni aşağıdadır:

“Kişisel Verilerinizi Nasıl Kullanacağız?”

Kişisel verileniz siparişinin hazırlanması veya hizmetin yerine getirilmesi amacı ile kullanılacak ve muhafaza edilecektir.

Şirketimizden yapmış olduğunuz alışverişin delili olarak saklanacaktır.

Siparişinizin durumu veya ilginizi çekebilecek ek ürünler, servisler, hizmetler ya da promosyonlar hakkında sizi bilgilendirmek için kullanılacaktır

Herhangi bir ürün iptali konusunda sizi haberdar etmek veya satın almış olduğunuz diğer ürünler hakkında bilgi sağlamak amacı ile kullanılacaktır.

Bilgilerinizi analiz ederek size sunmuş olduğumuz ürün veya hizmetlerimizin iyileştirilmesi ve geliştirilmesi amacı ile kullanılacaktır.

Müşterilerimiz ve takipçilerimiz olan sizlere posta, e-posta veya telefon servisleri aracılığıyla katalog ve bilgi gönderilmesi amacı ile kullanılacaktır.

Ancak aydınlatma metninde görüldüğü üzere kullanıcılar kişisel verilerinin profilleme yapmak amacı ile kullanılacağı konusunda bilgilendirilmemiştir.  GVKT’nin 13. Maddesine göre veri sorumluları, ilgili kişileri hangi tür veri işleme ile karşı karşıya oldukları konusunda bilgilendirmelidir.

Easylife, işlenen verilerin yalnızca işlem verileri olduğunu ve meşru menfaat kapsamında işlendiğini, kişilerin çıkarım yoluyla elde edilen herhangi bir sağlık verisinin saklanmadığını belirtmiştir. Easylife aynı zamanda pazarlama kampanyasının pandemi sırasında yüz maskesi satışına yönelik bazı çağrıları içerdiğini de belirtmiştir.

5. GDPR Madde 5(1)(a)’in İhlali

İngiltere VKO, yukarıda özetlenen olayın veri koruma mevzuatına aykırılık teşkil edip etmediğini değerlendirmiştir. İhlalin niteliği, ağırlığını ve süresini göz önünde bulunduran VKO, bu ihlalin, 145.400 kişinin ad soyadları, telefon numaraları gibi kişisel verilerini ve sağlık bilgileri gibi özel nitelikli kişisel verilerinin işlenmesini içerdiğini tespit etmiştir. İhlalin ağırlığı ifadesiyle kastedilen, ihlalin uzun vadeli sağlık sorunları olan yaşlı, potansiyel olarak savunmasız insanlar olan ilgili kişilere karşı işlenmiş olmasıdır.

VKO aynı zamanda, yeterince bilgilendirilmedikleri için ihlalin farkında olmayan kişiler açısından devam eden potansiyel zararlardan da endişe duyulduğunu ifade etmiştir. İhlal süresinin 12 ayı kapsaması ayrıca ağırlaştırıcı bir etki teşkil etmektedir. VKO yaptığı soruşturma sonucunda Easylife’ın 145.400 kişinin kişisel ve özel kategori verilerini toplama, işleme ve kullanma şeklindeki işleminin GVKT’nin 5. Maddesine aykırılık teşkil ettiği sonucuna varmıştır. GVKT 5. Maddesinin ilgili kısmı “Kişisel verilerin işlenmesine ilişkin ilkeler (a) ilgili kişi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenir (‘hukuka uygunluk, adalet ve şeffaflık’)” şeklindedir.

VKO, ceza verilip verilmeyeceğine karar verirken GVKT’nin 83(2) Maddesinde belirtilen faktörleri dikkate almıştır. İlgili faktörler; (i) ihlallerin, düzeltici yetkilerini kullanmanın yanı sıra bir ceza verilmesini haklı kılacak kadar ciddi olduğu ve (ii) ihlallerin önemli bir para cezasını haklı çıkaracak kadar ciddi olması, şeklinde belirtilmektedir.

VKO söz konusu durumu göz önünde bulundurarak mali cezanın uygulanmasının gelecekteki uyumu sağlamak için etkili ve orantılı bir eylem olacağını düşünmüştür. Mali bir ceza, sadece Easylife için değil tüm benzer şekilde işlem yapan şirketler için caydırıcı olacaktır.

6. Sonuç

VKO yaptığı değerlendirmelere göre GVKT’nin 83(2) Maddesinde belirtilen faktörlerden kaynaklanan koşulların karşılandığı ve yargılama sürecinde adil prosedürü (fair procedure)[2] benimsediğini belirterek Easylife hakkında vermiş olduğu nihai kararını açıklamıştır. Yukarıda belirtilen tüm faktörleri dikkate alan Otorite, Easylife Limited’e 1.350.000 £ (bir milyon üç yüz elli bin pound) ceza verilmesine karar vermiştir.

Kararın tam metnine ilişikteki adresten ulaşılabilir: https://ico.org.uk/media/action-weve-taken/mpns/4021801/easylife-limited-mpn-article-5-1-a-20221004.pdf

[1] Cenaze planı, 50 yaş ve üzerindeki kişilerin cenaze masraflarını önceden karşılaması ve düzenlemesi yapması için hazırlanmış olan ve poliçe sahibi öldüğünde onun adına cenaze masraflarını karşılayan bir tür sigorta poliçesidir.

[2] Adil prosedür (fair procedure) bir Anglosakson hukuk (common law) terimidir. Kısaca belirli alanlarda ezici ekonomik gücü olan özel sektör aktörlerinin keyfi tasarruflarını kısıtlar.