Polonya Kişisel Verileri Koruma Kurumu, GDPR kapsamında 943.000 Polonya Zlotisi (220.000 avro) tutarındaki ilk cezasını bir veri analiz şirketine verdiğini duyurdu. Aydınlatma yükümlülüğünün yerine getirilmemesi sebebiyle verilen ceza oldukça tartışmalı bir niteliğe sahip olmakla birlikte önemli tespitler içermektedir.
Cezaya maruz kalan şirket, ticari kuruluşlara ait verileri tamamen kamuya açık kaynaklardan toplayarak çeşitli raporlama faaliyetlerinin ve kredi değerlendirme çalışmalarının yapılması gibi ticari amaçlarla işlemektedir. Bu kapsamda şirket ortakları ve yetkilileri de dahil olmak üzere çok sayıda kişinin isim, soy isim, kimlik numarası ve iletişim adresleri toplanmıştır. Şirket, bu kişilere yönelik aydınlatma yükümlülüğünü yerine getirmek amacıyla yaklaşık 700.000 kişiye e-posta göndermiştir. Ancak yalnızca telefon numarasına sahip olduğu 200.000 kişi ile adres bilgisine sahip olduğu yaklaşık 6.5 milyon kişiye yüksek bir maliyet gerektireceği gerekçesiyle özel bir bilgilendirme yapmamıştır. Bunun yerine internet sitesindeki aydınlatma metninin yeterli olacağına karar vermiştir. Nitekim GDPR’ın 14 (5)-b maddesinde aydınlatma yükümlülüğünün “orantısız bir çaba” gerektirmesi halinde, veri sorumlularının bu yükümlülüğü kamuya açık bir şekilde yayınlamak gibi tedbirlerle yerine getirebileceği düzenlenmiştir. Ancak Kurum, somut olayda bu yaklaşımın ancak verilerin bir kısmı bakımından geçerli olabileceğini belirterek şirketin aydınlatma yükümlülüğünü yerine getirmediğine karar vermiştir.
Kararın oldukça tartışmalı bir niteliğe sahip olduğu ve itiraz aşamasının da dikkatle takip edilmesi gerektiği söylenebilecektir. Öte yandan bu karara ilişkin tartışma, ülkemizdeki mevzuatın yorumlanması ve şirketlerin uygulamaları açısından da son derece büyük önem taşımaktadır. Zira Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde bu yükümlülüğün yerine getirilmesi hususunda takdir yetkisi veri sorumlusuna bırakılmıştır. Veri sorumlusu veya yetkilendirdiği kişinin, hangi yöntemle aydınlatma yapacağına kendisinin karar vereceği belirtilmiştir. Ancak bu karardaki tartışmalar çerçevesinde veri sorumlusu tarafından kullanılan yöntemin de Kurul tarafından sıkı şekilde denetlenebileceği söylenebilir. Bu sebeple veri sorumlularının, işleme faaliyetinin niteliğini hesaba katarak en uygun yöntemin ne olacağına karar vermeleri gerekmektedir. Aksi durumda aydınlatma yükümlülüğünün gereği gibi yerine getirilmemesi sebebiyle idari yaptırım uygulanması söz konusu olabilecektir.