VG Wiesbaden’in Schufa’ya yönelik denetimsel işlemlerle ilgili kararı
İdari yargı, bugüne dek bilgi kuruluşlarının ilgili kişilere yönelik bilgi verme yükümlülüğünün kapsamıyla defalarca ilgilenmek zorunda kaldı. Güncel olarak, Wiesbaden İdari Mahkemesi 29 Aralık 2023 tarihli kararıyla (Dosya No: 6 K 788/20.WI), Schufa Holding AG’nin skor bilgisi kapsamında, hesaplamada kullanılan faktörlere dair bilgi verip vermemesinin ve kesin ağırlıkları açıklamamasının veri koruma hukuku tarafından ne ölçüde izin verilebilir olduğuyla ilgilendi.
Sürecin arka planı
Sürecin başlamasına sebep olan olay, Schufa’nın ilgili kişilere verdiği bilgilerin niteliği nedeniyle veri koruma denetim makamının müdahalesi oldu; zira verilen bilgilerin, 15. madde DSGVO uyarınca bilgi edinme hakkını yeterince korumadığı ileri sürüldü. Kurum özellikle, Schufa’nın skor değerlerine ilişkin açıklamalarının, hesaplama temelini yalnızca genel biçimde gösterdiğini ve bu nedenle ilgililerin bireysel karar sürecini anlayamadıklarını belirtti.
DSGVO kapsamında işletmeci yükümlülükleri
Bilgi verme yükümlülüğünün kapsamı
Dava esas olarak, DSGVO 15. madde 1. ve 2. fıkralarına dayalı bilgi verme yükümlülüğünün doğru kapsamıyla ilgiliydi. Buna göre, ilgili kişiler işlenen kişisel veriler hakkında kapsamlı aydınlatma isteme hakkına sahiptir; buna otomatik karar mekanizmalarında yer alan mantık hakkında anlamlı bilgiler de dahildir.
Ağırlık faktörlerinin açıklanması
Schufa, skor bilgisi kapsamında ilgili kişilere, skor değerinin tespitinde hangi veri türlerinin dikkate alındığını ve genel hesaplama faktörlerini açıklamıştır. Ancak, belirli veri noktalarının tam ağırlıklarını ticari sır gerekçesiyle bildirmemiştir. Veri koruma denetim otoritesi ise bu bilgilerin de somut olarak açıklanmasını talep etti.
İdari mahkemenin değerlendirmesi
Saydamlık gereği ve ticari sırların korunması arasında denge
Wiesbaden İdari Mahkemesi, Schufa’nın izlediği uygulamanın veri koruma hukukuna esasen uygun olduğu sonucuna vardı. Mahkeme, özellikle, ilgili veri türlerinin ve genel işleyişin açıklanmasının şeffaflık hedefini sağlayacağını ve şirketin ticari sırlarının korunmasına yönelik meşru çıkarını orantısız biçimde kısıtlamayacağını belirtti.
Ağırlık detaylarına ilişkin daha ileri hak talebi yok
Sonuç olarak mahkeme, halihazırda verilen bilgilerin ötesinde, tekil ağırlık faktörlerine veya matematiksel modellere dair daha ayrıntılı bir inceleme sağlanmasının zorunlu olmadığına karar verdi. Bunun, bilgi kuruluşunun rekabet ortamında işleyişini olumsuz etkileyebileceği ve ilgili kişi için bilgi kazanımının anlamlı biçimde artmayacağı ifade edildi.
İlgili şirketler ve sorumlular için önemi
Wiesbaden İdari Mahkemesi’nin kararı, bilgi kuruluşlarının ve diğer veri işleyen birimlerin DSGVO uyarınca gelen bilgi taleplerine yaklaşımı açısından büyük önem taşıyor. Kararın gerekçesi, ticari sırların, bilgi verme yükümlülüğünün tasarımı sırasında gözetilmeye devam edeceğini vurguluyor. Bununla birlikte, şirketlerin, otomatik karar süreçlerinin işleyişine dair anlamlı bilgiler sunmalarının zorunlu olduğu da unutulmamalıdır.
Ayrıca, bu karara karşı hâlen hukuki itiraz yolları açık olup (kaynak: VG Wiesbaden, 6 K 788/20.WI), hukuki durumun ileride mahkemeler tarafından tekrar ele alınabileceğini belirtmek gerekir. Tüm taraflar için masumiyet karinesi geçerlidir.
Tartışma gereksinimi ve hukuki değerlendirme
Sorumlu şirketler için, bu karar, DSGVO 15. madde kapsamında otomatik karar süreçleriyle ilgili yükümlülüklerini nasıl yerine getirecekleri konusunda hala belli bir hareket alanı bırakmaktadır. Yine de, uygulamanın ayrıntıları çok katmanlı ve dinamik gelişen bir hukuk alanı olmaya devam etmekte ve mahkemelerin vereceği ek kararlar ışığında sürekli gözden geçirilmelidir.
Veri koruma hukukunun çok yönlülüğü göz önünde bulundurulduğunda, süreçlerin DSGVO kapsamındaki bilgi ve bilgilendirme haklarına uygunluğunu analiz etmek isteyenler için MTR Legal, veri koruması konusunda ayrıntılı bilgi ve bireysel hukuki danışmanlık sunmaktadır.
