CNIL, şirketi mayıs 2018’de incelemiş ve müşterilerinin, potansiyel müşterilerinin ve çalışanlarının verileri ile ilgili eksikliklere dikkat çekmiştir. Bu nedenle CNIL başkanı, 2019’da şirkete karşı bir yaptırım prosedürü başlatılmasına karar vermiştir.

Şirketin, çeşitli Avrupa ülkelerinde bulunan müşterileri ve potansiyel müşterileri olması nedeniyle CNIL hükmolunacak yaptırım kararı çerçevesinde ilgili diğer Avrupa kurumları ile süreç boyunca iş birliği yapmıştır.

Yürütülen soruşturmalara dayanarak, yaptırımların duyurulmasından sorumlu CNIL organı olan sınırlı oluşum, şirketin GDPR’da bulunan çeşitli yükümlülükleri yerine getirmediğine kanaat getirmiştir:

Veri minimizasyonu ilkesinin ihlali (GDPR Madde 5/1-c)

Müşteri hizmetleri çalışanları ile yapılan telefon görüşmelerinin tamamının kalıcı olarak kaydedilmesi aşırıdır. Tüm telefon görüşmelerinin kaydediliyor olması gerçeği, çalışanların eğitiminden sorumlu kişinin her hafta, personel başına yalnızca bir görüşmesinin dinlenmesi ile meşrulaştırılamaz.

Telefonla verilen siparişlerde iletişim sırasında iletilen müşterinin banka hesap detaylarının kaydedilmesi ve saklanması, izlenen amacın, yani personel eğitimi, yerine getirilmesi için gerekli de değildir.

Dolandırıcılıkla mücadele kapsamında, İtalya’da müşterilerin “sağlık kartlarının” kopyalarının toplanması da aşırıdır. Bir kimlik kartından çok daha fazla bilgi içeren bu belgenin iletilmesi ve  kimlik kartının da bir kopyasının da ayrıca isteniyor olması karşısında aşırı ve ilgisizdir.

Veri saklama süresinin sınırlandırılması yükümlülüğünün ihlali (GDPR Madde 5/1-e)

CNIL tarafından yapılan kontroller süresince, düzenli olarak kişisel verileri silmeyen ve verileri arşivlemeyen şirket tarafından müşteri ve potansiyel müşteri verileri için bir saklama süresi koymamıştır. Şayet şirket, CNIL kontrolünden bu yana bu verileri 5 yıl için tutmayı planlamışsa dahi, sınırlı oluşum, eski müşterilerin verilerinin birkaç yıldır (3 milyondan fazla müşteri 5 yıldan uzun süredir hesaplarına giriş yapmamıştır) tutuluyor olması nedeniyle yine de bir GDPR ihlali tespit etmiştir.

Potansiyel müşteri verisine istinaden, şirket son hesap hareketinden (örneğin bir haber bülteninin açılması) itibaren 5 yıllık bir saklama süresi öngörmüştür. Ancak, şirket şayet iki yıl boyunca şirketin ürün ya da hizmetleri ile ilgilendiklerine dair herhangi bir emare göstermedikleri takdirde bu kişilere ticari araştırma yöneltemez. Sınırlı komite bu nedenle potansiyel müşteri verisinin iki yıldan uzun süre ile saklanmasının gerekli olmadığına kanaat getirmiştir.

Sınırlı oluşum, bir kişi tarafından yalnızca -şirketin saklama süresini meşrulaştırmayı mümkün kılan- bir araştırma epostasının açılmasının tek başına bu kişinin, bu epostayı kasten açmaması mümkün olduğundan, şirketin ürün ya da hizmetleriyle ilgilendiğinin göstergesi olmadığını belirtmektedir.

Müşteriler için beş yıllık bir saklama süresi sonrasında, eposta adresi ve şifrelerinin, hesaplarına yeniden bağlanabilmeleri için bulanıklaştırılmış ve anonim olmayan bir formda saklanması GDPR’a uygun değildir.

Aydınlatma yükümlülüğünün ihlali (GDPR Madde 13 )

İnternet sitesinde yer alan veri gizliliği politikasında yer alan bilgi tutarlı değildir. Gerçekten de şirket, birçok işleme faaliyeti diğer yasal temellere, sözleşme ya da şirketin meşru menfaatlerinin sağlanması gibi, dayanmasına rağmen tüm veri işleme süreçleri için açık rızayı yasal temel olarak gösteremez.

Çalışanlarla ilgili olarak, müşterilerle yapılan telefon görüşmelerinin kaydedildiği bilgisi yetersizdir. Çalışanlar işleme için öngörülen amaç, sistemin hukuki temeli, veri alıcıları, verinin saklanma süresi ve hakları ile ilgili olarak aydınlatılmamıştır.

Veri güvenliğinin sağlama yükümlülüğünün ihlali (GDPR Madde 32)

İnternet sitesindeki müşteri hesaplarına giriş için kullanılan şifrelerle ilgili olarak, şirket kullanıcılarını daha güç şifreler kullanmaya zorlaması gerekirdi.

Dolandırıcılıkla mücadelenin bir parçası olarak, bir siparişte kullanılan banka kartının altı aylık süreyle taranmadan saklanması, müşterinin banka verisinin güvenliğini garanti etmez.

İhlal sayısı ışığında, kısıtlı grup 250.000 Euro para cezasına hükmetmiş ve yaptırımını kamuoyuna açıklama kararı vermiştir. Özellikle, telefon görüşmelerinin ve banka verisinin saklanması ile ilgili ihlallesin ciddiyeti değerlendirmeye alınmıştır. Ayrıca etkilenen kişi sayısı, gerekli sürenin ötesinde birkaç bin kişinin verisinin tutuluyor olması da (3 milyondan fazla eski müşteri ve 25 milyondan fazla potansiyel müşteri) hesaba katılmıştır. Ayrıca kısıtlı komite, ihlallerin birçoğunun GDPR’ın yürürlüğe girmesinden dahi önce halihazırda mevcut olan yükümlülüklerle ilgili olduğunu da  hatırlatmaktadır.

Kısıtlı komite ayrıca şirkete işleme süreçlerini GDPR’a uygun hale getirmesine ve değerlendirmenin bildirilmesinden itibaren geciktiği her gün için 250Euro para cezasına tabi olmak üzere 3 aylık süre içinde meşru hale getirmesine vermiştir.

Yazının orijinali için bkz.