Karar Özeti: Veri Koruma Otoritesi tarafından incelenen başvuruda, diğerlerinin yanı sıra, e-postanın yalnızca küçük bir grup tarafından alınması durumunda, veri sorumlusunun bir e-postanın alıcılarının BCC yerine CC’de listelenmesinden kaynaklanan bir veri ihlalinin bildirmek zorunda olmadığına karar verdi. Şikayetin, oğlunun fotoğraflarının çekilmesiyle ilgili olarak veri sorumlusunun ihlalini tespit etmek için yeterli kanıt sağlamadığını tespit etti. Veri Koruma Otoritesi, çocuklara ait görsel materyalin veri sorumlusu tarafından kamuya açıklanacağı varsayımsal durumunda resimlerin yayınlanması için meşru bir menfaat veya yasal zorunluluk olmadığında, velilerinin veya yasal vasinin ön onayının veya en azından belirli izninin vazgeçilmez olduğuna karar verdi. Ayrıca, veri sorumlusunun bir kamu makamı olarak kişisel verilerin işlenmesi için meşru menfaati yasal bir dayanak olarak ileri süremeyeceğine karar vermiştir. Veri Koruma Otoritesi, e-posta adreslerini ifşa etmek için yasal bir dayanağı olmadığı için veri sorumlusu tarafından ihlalin varlığı sonucuna varmıştır. Ayrıca, Veri Koruma Otoritesi, CC kullanımının bir veri ihlali anlamına geldiği, ancak maruziyetin e-posta adresleri ve küçük bir alıcı grubuyla (16 kişi) sınırlı olması nedeniyle veri sahiplerinin hak ve özgürlükleri için bir risk oluşturmadığı sonucuna varmıştır. Bu nedenle veri sorumlusunun GDPR Madde 33(1) uyarınca veri ihlalini Veri Koruma Otoritesi’ye bildirmek zorunda olmadığını tespit etti. Veri Koruma Otoritesi, haber bülteniyle ilgili olarak kısmen veri sorumlusunun yasal dayanak olarak onay aldığı doğrudan pazarlama olarak değerlendirdi. Bununla beraber Veri Koruma Otoritesi, veri sorumlusunun veri öznelerini haber bülteninin amaçları hakkında kendi gizlilik politikasında bilgilendirirken, temel misyonu ile ilgili iletişimler ile pazarlama iletişimleri arasında net bir ayrım yapmadığını kaydetti. Bu nedenle Veri Koruma Otoritesi, veri sorumlusunun GDPR’nin 12 ve 13. Maddelerini ihlal ettiğine karar verdi.