Fransız Veri Koruma Kurumu'nun (CNIL) Slimpay kararında (SAN-2021-020), bir şirketin kendi iç projesi için müşteri verilerini işlemesi durumunda hukuki statüsü (veri sorumlusu/veri işleyen) nasıl belirlenmiştir? Bir şirketin aynı anda hem veri sorumlusu hem de veri işleyen olması mümkün müdür?

CNIL'in Slimpay kararında, şirketin müşterilerine ödeme hizmeti sunarken müşterilerinin borçlularına ait verileri işlemesi bakımından 'veri işleyen' (processor) sıfatına sahip olduğu kabul edilmiştir. Ancak, bu verileri kullanarak dolandırıcılıkla mücadele amacıyla kendi inisiyatifiyle bir şirket içi araştırma projesi yürüttüğünde, bu spesifik işleme faaliyeti için amaç ve araçları kendisi belirlediğinden 'veri sorumlusu' (controller) sıfatına haiz olduğuna karar verilmiştir. Bu karar, bir şirketin yürüttüğü farklı veri işleme faaliyetlerine göre aynı anda hem veri işleyen hem de veri sorumlusu olabileceğinin tipik bir örneğidir. Sorumluluk, her bir işleme faaliyetinin niteliğine göre ayrı ayrı değerlendirilir.