İspanya Veri Koruma Otoritesi (AEPD), Residential Quality Enjoy adlı konaklama sağlayıcısına, müşterilerinden kimlik belgelerini WhatsApp aracılığıyla talep ederek GDPR Madde 5(1)(c) – Veri Minimizasyonu İlkesini ihlal ettiği gerekçesiyle 1.200 avro para cezası verdi.
Şikayet, bir veri sahibinin ailesiyle birlikte kiraladığı konaklama birimi için kendisinden ve ailesinden –bir çocuk dahil– kimlik kartı fotoğraflarının WhatsApp üzerinden gönderilmesinin istenmesi üzerine yapıldı. Gönderilen kimliklerde isim, cinsiyet, doğum tarihi ve adres gibi çok çeşitli kişisel veriler yer alıyordu. Üstelik veri sahibine, bu verilerin neden toplandığı ve nasıl işleneceğine dair herhangi bir aydınlatma yapılmadı.
Soruşturma sürecinde veri sorumlusu, İspanyol Kraliyet Kararnamesi RD 933/2021 uyarınca kimlik doğrulamanın zorunlu olduğunu savunsa da, AEPD bu düzenlemenin yalnızca kimliğin doğrulanmasını şart koştuğunu, kimlik fotokopisinin alınmasını veya saklanmasını zorunlu kılmadığını belirtti.
Bu gerekçeyle AEPD, gereksiz veri işleme yapıldığını tespit ederek GDPR kapsamında veri minimizasyon ilkesinin ihlal edildiğine hükmetti. Başlangıçta 2.000 avro olarak belirlenen ceza, İspanyol 39/2015 sayılı Kanun kapsamında sorumluluğun kabulü ve gönüllü ödeme halinde uygulanan %40 indirimle 1.200 avroya düşürüldü.
DPA’nın ek yükümlülükleri: Kuruma yalnızca para cezası verilmekle kalmadı; aynı zamanda konaklama kayıt sisteminin güncellenmesi ve geçmiş müşterilere ait kimlik kopyalarının sistemden silindiğinin kanıtlanması da emredildi.
Neden Önemli?
Bu karar, veri sorumlularının sadece yasal yükümlülükleri değil, aynı zamanda hangi veri türünü ne ölçüde işleyeceklerini dikkatle değerlendirmeleri gerektiğini de ortaya koyuyor. Kanuni gerekçelere dayanmak, veri minimizasyonu ilkesinden taviz vermek anlamına gelmemeli.
Kaynak: https://gdprhub.eu?title=AEPD_(Spain)_-_EXP202313983&mtc=today
