Fransa Ulusal Bilişim ve Özgürlükler Komisyonu (CNIL) 06.09.2018 tarihinde verdiği kararla; çalışanlarının parmak izini gerekmediği halde toplayan ve kayda alınan telefon görüşmeleri konusunda çalışan ve müşterilerini bilgilendirmeyen Assistance Centre d’Appels adlı şirkete ceza uyguladı. Ayrıca Komisyon veri güvenliğine ilişkin bazı teknik tedbirlerin eksik olduğunu da tespit etti.
Bir şikayet üzerine yapılan incelemede, çalışanların saatlerini kontrol etmek amacıyla şirket tarafından parmak izi verisi toplayan bir biyometrik cihaz kurulduğu ve ayrıca bilgilendirme yapılmaksızın telefon görüşmelerinin kaydedildiği tespit edildi. Ancak biyometrik verilerin kişilerin tanımlanmasında büyük bir öneme sahip olması sebebiyle ayrıcalıklı bir değerlendirme ve hukuki rejime tabi tutulması gerektiği belirtildi. Bu çerçevede aşağıda belirtilen hususlarda düzenlemelerin yapılması talep edildi:
♦ Yalnızca işleme amacı bakımından gerekli ve uygun verilerin toplanması ve bu kapsamda çalışma saatlerinin kontrolü amacıyla parmak izi verilerinin toplanması politikasına son verilmesi,
♦ Konuşmaları kaydedilen müşterilerin, diğer kişilerin ve özellikle de çalışanların bu konuya ilişkin politikayı inceleyebilecekleri ve haklarını öğrenebilecekleri, aydınlatma yükümlülüğünün gerekliliklerini yerine getiren detaylı bir bilgilendirmenin yapılması,
♦ Kişisel verilerin güvenliği ve gizliliğinin sağlanması için gerekli teknik eksikliklerin giderilmesi. Bu kapsamda özellikle; 1) Windows sistemine, biyometrik verilerin de dahil olduğu şirket içi verilerin depolandığı yazılıma giriş için kullanılan şifrelerin güvenli kabul edilecek niteliklere sahip olmadığı, 2) bu şifrelerin uzun süredir güncellenmediği, 3) işlem yapılmaması halinde çalışacak otomatik kilit sisteminin mevcut olmadığı tespit edilmiştir.
Ancak Komisyon tarafından yapılan bu uyarılara rağmen, eksikliklerin önemli bir kısmının giderilmemesi sebebiyle şirket hakkında 10.000 avro tutarında para cezası uygulanmasına karar verildi. Bu karar, özel nitelikli verilerin işyeri uygulamaları çerçevesinde toplanması için veri sorumluları tarafından ayrıntılı bir değerlendirme yapılması gerekliliğine dikkat çekmektedir. Ayrıca aydınlatma yükümlülüğünün, gerek çalışanlar gerekse ilgili kişiler açısından muhakkak yerine getirilmesi gerektiğini de önemle belirtmektedir.