Bir ilgili kişi tarafından coğrafi konum hizmetleri sağlayan Verizon Connect Italy S.p.A. (“Verizon”) şirketine karşı şikayette bulunulmuştur. İşbu ilgili kişi ikinci bir şirket olan Giessegi Industria Mobili (“Giessegi”) adına mal teslim etmek için kullandığı araçta bir cihaz bulunduğunu iddia etmiştir. (İlgili kişi Giessegi tarafından istihdam edilmekte olup Verizon ile doğrudan bir ilişkisi bulunmamaktadır.) Söz konusu Verizon şirketi, araçlarını takip etmek isteyen Giessegi'ye coğrafi konum hizmetleri sağlamıştır.
İlgili kişi, şikayetinde işveren tarafından aracına coğrafi konum belirleme cihazlarının takılı olduğu hakkında bilgilendirilmediğini ve söz konusu cihazı fark etmesinin ardından cihaz üzerinde adı görünen Verizon'a bir erişim talebiyle başvurduğunu belirtmiştir. Bu talebe Verizon tarafından herhangi bir yanıt verilmemiştir. İtalya Veri Koruma Otoritesi, Verizon tarafından hazırlanan savunma yazılarını inceledikten sonra GDPR Madde 5(1)(a), 6 ve 28(3)'ün olası ihlallerini tespit etmek amacıyla idari bir inceleme başlatmıştır.
Soruşturma sırasında Verizon, söz konusu işleme üzerinde herhangi bir kontrol yetkisi olmadığını iddia etmiştir. Giessegi ile aralarında imzalanan hizmet şartlarında Verizon, kendisini veri sorumlusu olan Giessegi adına “veri işleyen” olarak nitelendirmiştir. İşbu nitelendirmeyi, Verizon'un genellikle ilgili kişilerden gelen erişim taleplerine yanıt vermemesinin ve sadece ilgili tüm verileri müşterilerine sağlayarak erişimi dolaylı olarak kolaylaştırmasının mazereti olarak göstermiştir. Buna ek olarak, Giessegi ile yapılan anlaşmanın 2020'de sona erdiği ve Verizon’un cihazları devre dışı bırakması sebebiyle artık coğrafi konum bilgilerine erişiminin bulunmadığı belirtilmiştir.
Bununla birlikte, İtalya Veri Koruma Otoritesi, Verizon ve Giessegi arasında veri işleyenin yükümlülüklerini belirleyen yazılı bir anlaşmanın mevcut olmadığı ve bu durumun GDPR Madde 28(3)'ün ihlaline yol açabileceği tespit edilmiştir. Verizon, veri sorumlusu ve veri işleyen arasında yazılı bir anlaşma yapma yükümlülüğünün GDPR'da “açıkça belirtilmediği” şeklinde bir savunmada bulunmuştur. Verizon tarafından ilgili yükümlülüğün, GDPR'daki veri sorumlusu ve veri işleyen kavramlarına ilişkin 07/2020 sayılı EDPB kılavuzundan kaynaklandığı ancak bu kılavuzun, olayların gerçekleştiği tarihte yürürlükte olmadığı belirtilmiştir.
İtalya Veri Koruma Otoritesi tarafından;
İlk olarak, veri işleyenin hak ve yükümlülüklerini düzenleyen yazılı bir anlaşma yapma yükümlülüğünün açıkça GDPR Madde 28(3)'ün kendisinden kaynaklanmakta olduğu değerlendirilmiştir.
İkinci olarak, Verizon ve Giessegi arasındaki hizmet şartlarının Verizon’u "veri işleyen" olarak nitelendirmiş olmasının GDPR Madde 28(3) tarafından belirlenen koşulları karşılaması için yeterli olmadığı belirtilmiştir. Veri sorumlusu ve veri işleyen arasında GDPR Madde 28(3) uyarınca imzalanmış bir anlaşma mevcut olmadığından, Verizon’un GDPR Madde 5(1)(a) ve 6 dahil olmak üzere veri sorumlusu için geçerli olan aynı yükümlülüklere tabi olacağı ifade edilmiştir. Nitekim GDPR Madde 5(1)(a) ve 6, verileri işleyen öznenin niteliğine bakılmaksızın geçerli olan genel işleme ilkelerini ve koşullarını belirlemektedir. Bu durumda, söz konusu olgulara uygulanabilir bir yasal dayanak bulmak mümkün olmadığından, işleme açıkça hukuka aykırı olarak değerlendirilmiştir.
Yukarıda sayılan nedenler doğrultusunda, İtalya Veri Koruma Otoritesi, GDPR Madde 5(1)(a), 6 ve 28(3)'ün ihlal edildiğini tespit etmiş ve GDPR Madde 58(2)(i) ve 83'e dayanarak idari para cezasını nihai olarak 30.000 Euro olarak belirlemiştir.
İlgili karara buradan ulaşabilirsiniz.