Estonya Veri Koruma Otoritesi (“Otorite”), borçlulara ait kişisel verilerin kamuya açık bir Facebook grubunda ifşa edilmesinin hukuka aykırı olduğuna karar vermiş ve veri sorumlusunun söz konusu işlemi durdurmasını emretmiştir. Çünkü grubun yöneticisi herhangi bir meşru veya kamu menfaatine dayanamayacaktır.

Veri sorumlusu, insanları bahse konu borçlularla ticari işlem yapmamaları konusunda uyarmak ve borçlarını ödemeleri için onlara baskı yapmak amacıyla borçlular hakkında bilgi paylaşmayı amaçlayan bir Facebook grubu açmıştır.

Bu Facebook grubu herkese açıktı ve burada yayınlanan kişisel veriler herhangi bir kısıtlama olmaksızın herkesin erişimine açıktı. Verilerinin grupta yayınlandığını öğrenen bir ilgili kişi, Estonya Veri Koruma Otoritesi'ne şikayette bulunmuştur.

Estonya Veri Koruma Otoritesi bir soruşturma başlatmış ve veri sorumlusundan faaliyeti durdurmasını istemiştir. Ancak veri sorumlusu olan grubun sahibi bu öneriye uymamıştır.

Otorite, GDPR Madde 4(7)'nin veri sorumlusunu işleme faaliyetlerinin amaçlarını ve araçlarını belirleyen kişi olarak tanımladığına dikkat çekmiştir. Söz konusu davada, grubun amaçlarını (isim ve kurallar) ve araçlarını (sosyal medya platformu seçimi, halka açık grup) belirledikleri için veri sorumlusunun grup yöneticisi olduğuna karar vermiştir. Bu nedenle, yönetici, gruptaki verilerin ifşasının hukuka uygun olmasını sağlamaktan sorumlu kabul edilmiştir.

Otorite ayrıca kişisel veri işlemenin GDPR Madde 6'daki yasal dayanaklardan birine dayandırılması gerektiğinin altını çizmiştir. Bunu göz önünde bulunduran Otorite, işleme için yasal bir dayanak olup olmadığını analiz etmiştir.

İlk olarak, Otorite, veri sorumlusunun ilgili kişilerin verilerinin işlenmesine rıza gösterdiğine dair herhangi bir kanıt sunmadığını iddia etmiştir. Dolayısıyla, GDPR Madde 6(1)(a)'ya dayanmak mümkün olmamıştır.

İkinci olarak, Otorite, GDPR Madde 6(1)(f)'ye göre, kişisel verilerin meşru bir menfaat temelinde işlenmesinin ancak bu menfaatlerin ilgili kişilerin hak ve özgürlüklerini geçersiz kılmadığı durumlarda mümkün olduğunu hatırlatmıştır. Söz konusu davada, Otorite, kişisel verilerin yalnızca borçlu hakkında kamuoyunu uyarmak amacıyla işlenmesinin meşru olmadığına karar vermiştir. Ayrıca, veri sorumlusu Otorite'ye meşru menfaat değerlendirmesi sunmamıştır.

Üçüncü olarak, Otorite, bu tür borç verilerinin yayınlanmasında kamu yararı olmadığını ve olsa bile, Gazetecilik Etik Kurallarına uyulması gerektiğini ve bu durumda bunun yapılmadığını belirtmiştir.

Son olarak, Estonya Kişisel Verilerin Korunması Kanunu'nun 10. Maddesinde yer alan ve borçlunun kişisel verilerinin sözleşmeden doğan yükümlülüğünü ihlal etmesinin ardından ifşa edilmesine izin verilen hükümle ilgili olarak, Otorite aşağıdaki gerekliliklerin karşılanması gerektiğini açıklamıştır:

1) veri sorumlusunun ifşa için yasal bir dayanak olduğunu doğrulamış olması;

2) veri sorumlusunun verilerin doğruluğunu doğrulamış olması;

3) ifşanın kaydedilmiş olması (hangi verilerin kime ifşa edildiğinin kaydının tutulması).

Otorite, veri sorumlusunun verileri ifşa etmek için yasal bir dayanak olup olmadığını kontrol etmediğini değerlendirmiştir. Borç verileri kamuya açık olarak yayınlandığından, bu verilere kimin erişimi olduğunu veya bu erişimin sağlanması için yasal bir dayanak olup olmadığını izlemek mümkün değildi. Dolayısıyla, Estonya Kişisel Verilerin Korunması Kanunu'nun 10. maddesine dayanmak mümkün değildi.

Bu nedenlerden dolayı, Otorite veri işlemenin yasa dışı olduğuna karar vermiş ve veri sorumlusunun veri işlemeyi durdurmasını emretmiştir.

İlgili karara buradan ulaşabilirsiniz.

Estonya Veri Koruma Otoritesi (“Otorite”), borçlulara ait kişisel verilerin kamuya açık bir Facebook grubunda ifşa edilmesini GDPR’a aykırı bularak, gerçek kişi olan veri sorumlusunun veri işlemeyi durdurmasına karar verdi.