Belçika Veri Koruma Kurumu telekom operatörü Proximus’a, kamuya açık telefon rehberlerinin yayımlanması amacıyla kişisel veri işlerken birçok veri koruma ihlali gerçekleştirmesi nedeniyle 20.00Euro para cezası vermiştir.

Olaylar

Bir Belçika vatandaşı (şikayetçi),  kamuya açık rehber yayımcısı olan Proximus’tan, Proximus’un ve diğer yayımcıların kamuya açık rehberlerinde bulunan kişisel verilerinin kaldırılması talebinde bulunmuştur. Kendi kamuya açık rehberini yayımlayan olarak Proximus şikayetçiye kişisel verisinin artık yayımlanmayacağını ve şikayetçinin kişisel verisini yayımlamamaları bilgisini diğer kamuya açık rehber yayımcılarına da ileteceğini teyit etmiştir. Buna karşılık, birkaç ay sonra, şikayetçi kişisel verilerinin yalnızca Proximus’un rehberinde değil, ayrıca diğer kamuya açık rehber yayımlayanlardan birinde de yayımlandığını tespit etmiştir. Şikayetçi ile olan görüşmesi sırasında Proximus, şikayetçinin kişisel verilerini diğer kamuya açık rehber yayımcılarına aktardığından da bahsetmiştir.

Arka Plan: e-Gizlilik Direktifinin özel hükmü
Belçika’da bir kamuya açık rehberde yayımlanma rızası Ulusal Telekomünikasyon Kanunu hükümlerine göre verilmektedir. Bu hükümler e-Gizlilik Direktifi’nin 12. maddesinin ulusal uyarlamasıdır. Genel kanun olan GDPR karşısında, e-Gizlilik Direktifi özel kanun olmasına rağmen, GDPR’ın 95. maddesinde belirtildiği üzere GDPR’da rızayı düzenleyen hükümlere göre, e-Gizlilik Direktifi’nin 12. maddesindeki rıza ile ilgili yasal işlemenin ön koşulu olarak geçerli olmaya devam etmektedir.

Dava Dairesinin Kararı

Belçika Veri Koruma Kurumu’nun Dava Dairesi, diğer hususların yanı sıra, şunları ortaya koymuştur:

–    Proximus kendi kamuya açık rehberini yayımlamaktadır ve bu nedenle ilgili işleme faaliyetleriyle ilgili olarak bir veri sorumlusu olarak değerlendirilmelidir. Bu itibarla, mevcut işleme faaliyetlerini veri ilgilisinin rızasını geri çekmesiyle uyumlu hale getirme sorumluluğu vardır. Rızanın geri çekilmesinden sonra şikayetçinin kişisel verisinin hukuka aykırı olarak işlenmediğinden emin olmak ve ispat edebilmek için Proximus’un uygun tedbirleri almadığı açıktır. Bu neden le, Proximus, bir veri sorumlusu olarak yükümlülüklerini (düzgünce) yerine getirmemiştir ve GDPR’ın  7. maddesi ile bağlantılı olarak okunan 6. maddesinin yanı sıra 24. ve 5/2. maddelerini  ihlal etmiştir.
–    Proximus, veri ilgilisinin talebi sırasında ve sonrasında veri ilgilisine şeffaf bilgi sağlamadığı gibi, veri ilgilisinin haklarını düzgünce kullanmasını da kolaylaştırmamıştır ve bu nedenle GDPR’ın 12. ve 13. maddelerini ihlal etmiştir.

Dava Dairesi, kimliğinin yayımlanmasında kamu yararı bulunması nedeniyle davalının adını takma adlandırmamaya karar vermiştir.

Kararın Hollandaca metnini buradan bulabilirsiniz.

Daha fazla bilgi için lütfen Belçika Veri Koruma Kurumu ile iletişim kurunuz: contact@apd-gba.be