Polonya Veri Koruma Kurumu (UODO), Glovo platformunu işleten Restaurant Partner Polska şirketine, kullanıcıların kimlik bilgilerini yasal dayanağı olmadan toplaması nedeniyle 5 milyon 898 bin 64 zł (yaklaşık 1.6 milyon TL) para cezası verdi. UODO, şirketin dolandırıcılık şüphesi durumlarında kullanıcıların kimlik belgelerini talep etmesinin, veri minimizasyonu ilkesini ihlal ettiğini ve yasal bir gerekçesi olmadığını tespit etti. Karar, Polonya’da kişisel veri koruma alanında önemli bir emsal teşkil ediyor.
### Glovo’nun Veri Toplama Uygulaması İncelemeye Alındı
UODO tarafından yapılan açıklamaya göre, inceleme, Glovo mobil uygulamasının kullanıcı verilerinin işleniş şekline yönelik bir denetim sonucunda başlatıldı. Kurum, uygulamanın temel işlevleri için gerekli olmayan ve yasal bir dayanağı bulunmayan kişisel verilerin toplandığını belirledi.
### Şirket Yasal Dayanak Gösteremedi
Restaurant Partner Polska şirketi, veri toplama faaliyetlerini gerekçelendirmek için Avrupa Genel Veri Koruma Yönetmeliği’nin (GDPR) 6. maddesinin 1. fıkrasının (f bendi) kapsamında, meşru menfaatlerine dayandırdı. Ancak UODO, şirketin bu gerekçesini kabul etmedi. Kurum, toplanan verilerin aşırı olduğunu, yasal bir dayanağı bulunmadığını ve belirlenen amaçlarla orantılı olmadığını vurguladı.
### Dolandırıcılık Şüphesi Veri Toplamaya Gerekçe Sayılmadı
UODO’nun tespitlerine göre, Glovo, dolandırıcılık şüphesi durumlarında ek bir doğrulama adımı olarak kullanıcıların kimlik belgelerini talep ediyordu. Bu durum, kuryelerin müşteri tarafından siparişin çalınması, sahte para kullanılması veya kredi kartı bilgilerindeki tutarsızlıklar gibi şikayetleri üzerine gerçekleşiyordu. Şirket, bu uygulamayı dolandırıcılığı önleme amacıyla meşru bir menfaat olarak savunuyordu.
### UODO’nun Kararı ve Gerekçeleri
UODO Başkanı, kişisel verilerin işlenmesinin GDPR’nin 6. maddesinin 1. fıkrasındaki şartlardan birini karşılaması gerektiğini belirtti. Kurum, şirketin “meşru menfaat” gerekçesinin, kimlik belgelerindeki geniş kapsamlı kişisel verilerin işlenmesi göz önüne alındığında yetersiz olduğunu değerlendirdi. Ayrıca, kimlik belgelerinin kopyalanması veya kaydedilmesinin, yalnızca yasal olarak yetkilendirilmiş kurumlar ve belirli durumlarda yapılması gerektiğini vurguladı.
### Yasal Dayanak Arayışları Sonuç Vermedi
UODO, şirketin Polonya’daki kara para aklama ve terörün finansmanı ile mücadele yasasına veya elektronik hizmetler yasasına dayanarak veri toplama faaliyetlerini meşrulaştırma girişimlerinin de başarısız olduğunu belirtti. Kurum, bu yasaların tam kimlik belgesi taramalarının işlenmesi için bir dayanak sağlamadığını ifade etti.
### Ceza ve Yaptırımlar
UODO, Restaurant Partner Polska şirketine 5 milyon 898 bin 64 zł para cezası uyguladı. Ceza, ihlalin niteliği, süresi (Temmuz 2019’dan beri) ve potansiyel etkisinin genişliği göz önünde bulundurularak belirlendi. Şirketin veri tabanında 3,4 milyondan fazla aktif kullanıcı bulunduğu belirtildi. Ayrıca, UODO, şirketin kimlik belgelerini toplamasına ve işlemeye devam etmesini yasakladı ve toplanan verilerin 30 gün içinde silinmesini talep etti.
Kaynak : GazetaPrawna
