KP Veri - Fransız Veri Koruma Otoritesi CNIL, scooter kiralama firması Cityscoot

Fransız Veri Koruma Otoritesi CNIL, scooter kiralama firması Cityscoot’a 125.000 Euro para cezası verdi.

Veri sorumlusu, bir mobil uygulama aracılığıyla ortak elektrikli scooter kiralayan bir şirket olan Cityscoot'tur. Veri sorumlusu sınır ötesi işleme operasyonları yürütmektedir ancak ana kuruluşu Fransa'da olması sebebiyle Madde 56 uyarınca CNIL denetime yetkilidir.

Mayıs 2020'de CNIL tarafından veri sorumlusunun web sitesi ve mobil uygulaması hakkında bir soruşturma başlatılmıştır. Bu soruşturmada temel olarak üç nokta vurgulanmaktadır;

İlk olarak, şirketin scooterları bir SIM kart ve GPS coğrafi konum sistemi içeren elektronik kutularla donatıldığından scooter aktif olduğunda her 30 saniyede bir, aktif olmadığında ise her 15 dakikada bir konum verisi toplanabilmektedir. Bu verilerin şirket tarafından trafik suçlarını tespit etmek ve ele almak, müşteri şikayetlerini ele almak, kullanıcı desteği (bir kullanıcının düşmesi durumunda yardım çağırmak için), hak talepleri ve hırsızlık yönetimini sağlamak amaçlarıyla toplandığı belirtilmiştir.
İkinci olarak, veri sorumlusu GDPR'ın gerektirdiği tüm şartların mevcut olmadığı sözleşmelerle 15 tane veri işleyici ile çalışılmaktadır. Örneğin; sözleşmelerden birinde işleyicinin belirlenen yükümlülüklere uygunluğunu göstermek için tüm bilgileri veri sorumlusuna sunma yükümlülüğünden bahsedilmemiştir, başka bir sözleşmede veri işlemenin amacı veya süresi belirtilmemiştir.
Üçüncü olarak, veri sorumlusunun web sitesinde çerezler hakkında herhangi bir bilgi vermediği ve çerez panelibulundurmadığı tespit edilmiştir.

İlk olarak CNIL, bir scooter kiralandığında işlenen coğrafi konum verilerinin kişisel veri oluşturduğunu değerlendirmiş ardından her bir amaç için veri toplamanın uygunluğunu ve gerekliliğini analiz etmiştir:

Trafik suçlarının yönetimi ile ilgili olarak, kiralamanın başlangıç ve bitiş tarih ve saati ile suçun tarih ve saatinin bilinmesinin bu amacı karşılamak için yeterli olduğunu değerlendirmiştir. Ayrıca, her 30 saniyede bir tüm scooterlardan verisinin toplanmasının, tüm kullanıcıları ilgilendirmemesi ve yalnızca bir kullanıcının bir suça itiraz etmek istemesi durumunda arızi bir amaca için kullanılması sebebiyle aşırı olduğunu düşünmüştür.

Müşteri şikayetlerinin ele alınması için, her 30 saniyede bir bilgi toplanmasının amaç için gerekli olmadığını belirtmiştir. Kullanıcı uygulamada yardım istediğinde coğrafi konumun tetiklenmesi veya kullanıcının kiralamayı sonlandırdığını onaylamak için bir kısa mesaj gönderilmesi gibi daha az müdahaleci mekanizmaların kullanılabileceğini açıklamıştır.

Kiralama sırasındaki hırsızlıkların yönetimi ile ilgili olarak, veri sorumlusu coğrafi konum verilerini kullanıcı verileriyle çapraz referanslamasa bile, farklı veritabanları arasında bu bağdaştırmayı yapma olasılığının scooter konum verilerinin RGPD'ye tabi olmasını haklı çıkardığını değerlendirmiştir. Bu durumda CNIL, hırsızlıkların yönetilmesi amacına ulaşmak için kalıcı toplamanın aşırı olduğunu değerlendirmiştir. (Coğrafi konumun örneğin hırsızlık beyanından itibaren toplanması gerektiğini düşünmüştür.)

Kaza yönetimi ile ilgili olarak ise coğrafi konumun kalıcı olarak değil, yalnızca bir kaza meydana geldiğinde/rapor edildiğinde etkinleştirilmesi gerektiğini değerlendirmiştir.

CNIL, bahsi geçen amaçlardan hiçbirinin, Madde 5(1)(c)'yi ihlal edecek şekilde, her 30 saniyede bir konum verilerinin toplanmasını haklı göstermediği sonucuna varmıştır.

İkinci olarak, veri sorumlusu ve işleyicileri arasındaki ilişki kapsamında, CNIL sözleşmelerin çok eksik olduğunu değerlendirmiş ve 28(3) maddesinin açık bir şekilde ihlal edildiğini tespit etmiştir.

Üçüncü olarak, CNIL, “veri sorumlusu iç hukuk kapsamındaki muafiyete dayanamayacak olup bu nedenle Veri Koruma Kanunu'nun 82. maddesi kapsamında veri sorumlusu, çerez yerleştirme için kullanıcıları bilgilendirmesi ve kullanıcıların onaylarını alması gerektiğini” değerlendirmiştir.

Sonuç olarak CNIL, veri sorumlusu tarafından GDPR Madde 5(1)(c) ve 28(3)'ün ihlal edildiğini tespit etmiş ve 100.000 Euro,Veri Koruma Kanunu'nun(DPA) 82. Maddesinin ihlali için ise 25.000 Euro para cezası vermiştir.

İlgili karara buradan ulaşabilirsiniz.