Duyurumuz; Fransa Veri Koruma Kurumu (“CNIL”) tarafından “Direct Energie” isimli enerji şirketinin veri işleme faaliyeti kapsamında yapmış olduğu değerlendirme ve bunun sonucunda aldığı karar hakkımdadır.
Genel Olarak;
Elektrik şirketleri tarafından kullanılan akıllı sayaçlar, sadece kullanılan enerji miktarını değil; aynı zamanda kullanılan enerjinin zamanını da kaydediyor. Hal böyle olunca tüketicilerin ne zaman evde olduğu, hangi zamanlar evin boş olduğu gibi verilerin de enerji şirketlerince kayıt altına alınması söz konusu oluyor.
Fransa’da faaliyet gösteren Direct Energie isimli şirket, üretmiş olduğu enerjinin dağıtımını Enedis isimli dağıtım şirketi aracılığıyla sağlamaktadır. Tüketicilerin enerji kullanımlarını ölçmek amacıyla kullanılan akıllı sayaçların aktivasyonu da Enedis’e verilecek onay ile mümkün olmakta; ancak akıllı sayaçların ürettiği veriler Direct Energie tarafından toplanmaktadır.
Denetlemenin Esaslı Noktaları;
CNIL’in mevcut durumu incelerken üzerinde durduğu asıl özellikli nokta, bu akıllı sayaçların tüketicinin kullanımına açılması sırasında alınan rızanın hukuki geçerliliği konusundadır. Mevcut durumda, birbiriyle bağlantılıymışçasına, sayacın aktive edilebilmesi için akıllı sayaçlar vasıtasıyla edinilen verilerin Direct Energie tarafından toplanmasına da onay verilmesi gerektiği yönünde bir algı oluşturularak, aynı anda her iki husus için de tüketiciden rıza alınması hususu eleştirilmektedir.
Şöyle ki, akıllı sayaçların aktivasyonu Enedis’in sorumluluğunda olup, enerji kullanım verilerinin sayaçlarla Direct Energie tarafından toplanmasına rıza verilmesine bağlı değildir. Aksi yönde oluşturulan kanı ile alınan rıza ise tüketicinin yanıltılmış olması sebebiyle, açık rızanın şartlarını sağlamamaktadır.
Ayrıca belirtmek gerekir ki CNIL, akıllı sayaçlar ile toplanan verilerin, tüketicilerin özel hayatına ilişkin bilgiler ihtiva etmesi sebebiyle, söz konusu verileri özel nitelikli kişisel veri kategorisinde değerlendirmiştir.
Tüm bunlar göz önünde bulundurulduğunda, kişisel verilerin korunması alanında mevcut olan ulusal ve bölgesel [Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)] düzenlemelere aykırılık; toplanan kişisel verilerin niteliğiyle de bağlantılı olarak, Direct Energie tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmemesi ve bu şartlar altında tüketiciden alınan rızanın geçerli olmayışı sebepleriyle gerçekleşmiştir.
Direct Energie’nin Savunması;
Direct Energie tüm bu değerlendirmelere karşın, söz konusu verileri toplamasında tüketicinin menfaati olduğunu, keza bu veriler doğrultusunda daha hassas ve doğru faturalandırma yapıldığını ileri sürmüştür.
Karar;
CNIL, faturalandırmada kullanım saatlerinin temel alınmadığını gerekçe göstererek Direct Energie’nin savunmasını kabul etmemiştir.
Şirket’e kişisel verilerin korunması alanında ulusal ve bölgesel düzenlemelere uyum sağlaması için 3 aylık mühlet tanınmış olup, işbu süre içerisinde gerekli önlemlerin ve aksiyonların alınmaması halinde ulusal mevzuat uyarınca 3.000.000 Euro’ya varan para cezasına hükmedileceği belirtilmiştir.
İlgili Kararın Fransızca metni için :
İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.
|
Ersin Nazalı Yönetici Ortak, Avukat, YMM |