Avrupa Tek Ödeme Alanı (SEPA) hizmeti sunan Slimpay şirketinin, dolandırıcılıkla mücadele projesi kapsamında test verisi olarak kullandığı müşteri verileri bakımından hukuki statüsü (veri sorumlusu/veri işleyen) CNIL tarafından nasıl belirlenmiştir?

CNIL, bu konuda ikili bir ayrıma gitmiştir. Slimpay, müşterilerine (tüccarlara) ödeme hizmeti sunarken, onların borçlularına ait verileri işlediği için temel faaliyetinde bir 'veri işleyen' (processor) konumundadır. Ancak, dolandırıcılıkla mücadele için başlattığı kendi iç projesi kapsamında, bu verileri kendi amaçları (ürün geliştirme, test etme) için kullanmıştır. Bir faaliyetin 'amaç ve vasıtalarını' belirleyen taraf 'veri sorumlusu' (controller) olduğundan, CNIL, Slimpay'in bu özel proje kapsamında gerçekleştirdiği veri işleme faaliyeti yönünden 'veri sorumlusu' sıfatına da haiz olduğuna karar vermiştir. Bu ayrım önemlidir, çünkü veri sorumlusu sıfatı, GDPR kapsamında daha geniş ve doğrudan yükümlülükler (örn: hukuki sebep, güvenlik tedbirleri, bildirim) getirmektedir.