| Okuma Süresi: 5 Dakika

AVRUPA VERİ KORUMA OTORİTELERİ EKİM AYI BÜLTENİ

STJ. AV. YASİN ERZURUM

İNGİLTERE

30 EKİM 2020

Information Commissioner’s Office (ICO), Marriott International Incorporation’ a müşterilerin kişisel verilerini güvende tutmadaki başarısızlığı sebebiyle 18,4 milyon sterlin ceza verdi.

2014 yılında Starwood Hotels and Resorts Worldwide Incorporation’a yapılan bir siber saldırının ardından dünya çapında 339 milyon misafir kaydının etkilendiği tahmin ediliyor. Bilinmeyen bir kaynaktan gelen saldırı, şirketin Marriott tarafından satın alındığı Eylül 2018 tarihine kadar saptanamadı.

Saldırının detayları, bilinmeyen bir saldırganın, Starwood sistemindeki bir cihaza “Web Shell” olarak bilinen bir kod parçasını yükleyerek bu cihazın içeriğine uzaktan sınırsızca erişme ve bunları düzenleme olanağı vermesiyle rezervasyon verilerini depolayan veri tabanına erişerek bunları dışa aktarması olarak açıklandı.  Konuyla bağlantılı kişisel veriler ilgili kişiler arasında farklılık gösterse de isimler, adresler, telefon numaraları, şifrelenmemiş pasaport numaraları, varış / ayrılış bilgileri, misafirlerin VIP durumu ve sadakat programı üyelik numaraları söz konusu kişisel veriler arasında bulunuyor.

Bir kişinin birden çok kaydı olması nedeniyle etkilenen kişilerin sayısı belirsiz olsa da yedi milyon misafir kaydının Birleşik Krallık’tan ilgili kişilerle bağlantısı olduğu saptandı.  İhlal, Birleşik Krallık Avrupa Birliği’nden ayrılmadan önce meydana geldiğinden, ICO, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında baş denetim otoritesi olarak tüm AB otoriteleri adına soruşturma yaptı. ICO’nun soruşturması Marriott’un, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) gerektirdiği şekilde, sisteme işlenen kişisel verileri korumak için uygun önlemleri almakta başarısız olduğunu ortaya çıkardı.

Temmuz 2019’da ICO, Marriott’a para cezası verme niyetinde bir bildirim yayınladı. Düzenleyici sürecin bir parçası olarak, ICO, Marriott’tan gelen temsilleri değerlendirdi, Marriott’un olayın etkilerini ve COVID-19’un işletmeleri üzerindeki ekonomik etkisini azaltmak için attığı adımları nihai bir ceza belirlemeden önce değerlendirdi.

Ceza ve dava, GDPR‘nin iş birliği süreci aracılığıyla diğer AB Veri Koruma Otoriteleri tarafından da onaylandı.

29 EKİM 2020

Great Manchester merkezli hasar yönetim şirketine milyonlarca rahatsız edici arama yaptığı için 250.000 £ değerinde para cezası

Information Commissioner’s Office (ICO), Elektronik Pazarlama Yasası’nı ihlali nedeniyle Reliance Advisory Limited (RAL) şirketine 250.000 £ değerinde para cezası verdi. Zira, RAL şirketinin 2019’un başından itibaren altı aylık süre içinde hukuka aykırı satışlara konu olan PPI (Payment Protection Insurance) gibi konularda ilgili kişilere 15,1 milyon arama yaptığı tespit edildi. Bunun üzerine, ICO nezdinde günde birkaç kez aldıkları ısrarlı çağrılar nedeniyle ilgililer tarafından 85 şikayette bulunuldu. Reliance Advisory Limited şirketi, soruşturma sırasında yaptığı aramaların büyük bir çoğunluğu için rızalara dair kanıt sunamazken rızanın sağlandığı durumlar için ise rızanın serbestçe verilmediği, spesifik olmadığı veya alıcılarının bilgilendirilmediği tespit edildi. Reliance Advisory Limited şirketi, ayrıca kanun kapsamındaki sorumluluklarının farkında olmadığını savunsa da ICO Soruşturma Başkanı Andy Curry, yasaların insanların özel hayatlarını tecavüzden korumak için olduğunu ve işletmelerin de bu yasalara saygı göstermeleri ve sorumluluklarının bilincinde olmaları gerektiğinin üstünde durarak, kuralları bilmemenin asla geçerli bir argüman olmayacağı açıklamalarında bulundu.

16 EKİM 2020

ICO, British Airways’e 400.000’den fazla müşteriyi etkileyen veri ihlali nedeniyle 20 Milyon Sterlin ceza verdi.

ICO soruşturması, havayolunun yeterli güvenlik önlemleri olmadan önemli miktarda kişisel veriyi işlediğini ortaya çıkardı. Veri koruma yasasını ihlal eden bu ihmal nedeniyle şirket, 2018’de iki aydan fazla bir süre maruz kaldığı siber saldırıları tespit edemedi.

429.612 müşteri ve personelin kişisel verilerine erişilmiş olduğuna inanılan saldırıda 244.000 havayolu şirketi müşterisinin isimleri, adresleri, ödeme kartı numaraları ve CVV numaralarının, 108.000 müşteriye ait sadece kart numaralarının ihlale konu olduğu tespit edildi.

Saldırıda British Airways çalışan ve yönetici hesaplarının kullanıcı adları ve şifrelerinin yanı sıra 612 British Airways Executive Club hesabına kadar kullanıcı adları ve PIN’lerine de potansiyel olarak erişildi. ICO, British Airways’in saldırıyı 22 Haziran 2018 ‘de kendilerinin tespit etmediğini, ancak 5 Eylül’ de iki aydan fazla bir süre sonra üçüncü bir tarafça uyarıldığını, farkına vardıklarında derhal harekete geçtiğini ve ICO’ya bildirimde bulunduğunu tespit etti.

ICO Komiseri Elizabeth Denham olayla ilgili “İnsanlar kişisel bilgilerini British Airways’ e emanet ettiler ve British Airways bu ayrıntıları güvende tutmak için yeterli önlemleri alamadı. Harekete geçmemeleri kabul edilemezdi ve yüzbinlerce insanı etkiledi. Bu nedenle, British Airways’e şimdiye kadarki en büyük cezamız olan 20 Milyon Sterlin kadar bir ceza verdik. Kuruluşlar, insanların kişisel verileriyle ilgili kötü kararlar aldıklarında, bu, insanların yaşamları üzerinde gerçek bir etkiye sahip olabilir. Yasalar artık bize, güncel güvenliğe yatırım yapmak da dahil olmak üzere işletmeleri veriler hakkında daha iyi kararlar almaya teşvik edecek araçlar sağlıyor.” şeklinde açıklamalarda bulundu.

8 EKİM 2020

ICO tarafından salgın sırasında yüz maskesi satışına dair spam e-postalar gönderen şirkete karşı yaptırım ihtarı gönderildi.

Londra merkezli bir yazılım danışmanlığı şirketi olan Studios MG Ltd, izinleri olmadan insanlara 9.000’e kadar yasadışı pazarlama e-postası göndererek halk sağlığı acil durumundan yararlanmaya çalıştı için, ICO tarafından 40.000 sterlin para cezasına çarptırıldı ve bir yaptırım ihtarı (enforcement notice) aldı. E- postalar pandeminin ortasında, 30 Nisan’da gönderildi. Soruşturmada şirket müdürünün kâr karşılığında satmak için yüz maskeleri almaya karar verdiği ortaya çıkarıldı.

Makale İçeriği

AVRUPA BİRLİĞİ

26 EKİM 2020 – NORVEÇ

Norveç Veri Koruma Otoritesi, Odin Flissenter AS’ye (Fayans distribütörü), yasal bir temele sahip olmaksızın bir şahıs şirketinin kredi kontrolünü yaptığı için 13 905 EUR (150 000 NOK) tutarında bir idari para cezası verdi.

Bir şahıs şirketi hakkındaki kredi bilgileri, sahibi doğrudan teşebbüsle tanımlandığından ve bu doğrudan sahibinin özel ekonomisiyle bağlantılı olduğundan kişisel veri olarak kabul edilir.

Kredi kontrolü derecelendirmeleri, birkaç farklı kaynaktan alınan kişisel verilerin bir derlemesi üzerine inşa edilir ve bir kişinin veya bir şahıs şirketinin kendi adına ödeme yapabilme olasılığını belirten bir puan gösterir. Kredi notu ayrıca, ödeme açıklamaları, gönüllü teminat (maliyetler için) ve borç / öz sermaye oranı gibi işletmenin ekonomisiyle ilgili ayrıntıları da göstermektedir.

Söz konusu para cezasının arka planı da Odin Flissenter’ın müşteri ilişkisi veya şirketle başka bir bağlantısı olmayan bir şahıs şirketinin kredi kontrolü yaptığına dair şikâyette bulunan bir kişi olarak tespit edildi. Yapılan soruşturmada bağımsız bir şahıs şirketi hakkındaki özel bilgileri yasal olmayan yollarla elde eden Odil Flissenter AS’ye 13 905 EUR para cezası verildi.

İdari para cezası verme bildirimine kıyasla, Covid-19’un şirket üzerinde yarattığı ekonomik sonuçlar nedeniyle para cezası miktarında indirime gidildi.

21 EKİM 2020 – LİTVANYA

Litvanya DPA (Veri Koruma Müfettişliği), evlat edinilen bir çocuğun ebeveynlerinin uygunsuz şekilde işlenmiş kişisel verileri için para cezası uygulamaktadır.

Bir soruşturma yürüten Eyalet Veri Koruma Müfettişliği (SDPI), Belediye İdaresinin Merkezi Başvuru Sunma ve Nüfus Bilgi Sistemi evlat edinilen çocuğun eğitim başvurusunu doldururken başvuru sahibinin verileri, Litvanya Cumhuriyeti Nüfus Kayıtlarında bulunan çocuğun biyolojik ebeveynlerinden birinin iletişim verileri (e-posta adresi) ile değiştirildiğini saptamıştır.

Para cezası, Genel Veri Koruma Yönetmeliği ‘nin ilgili maddelerinin ihlali, yani uygun teknik ve organizasyonel önlemlerin uygulanmaması, dolayısıyla işlenen kişisel verilerin doğruluğunun sağlanamaması nedeniyle verilmiştir. İdari para cezasının miktarına karar verirken SDPI, Belediye İdaresini sorumlu tutmakla ilgili tüm koşulları dikkate almıştır, örneğin: Söz konusu durumda, Belediye İdaresi tarafından işlenen ihlal kişilere (başvuru sahiplerine) atfedilmesine rağmen kişisel verilerin işlenmesinde Belediye İdaresi tarafından uygunsuz bir şekilde uygulanan teknik ve organizasyonel önlemlerden dolayı aynı koşullarda herhangi bir kişi için meydana gelmiş olması tesadüf olmayan; özellikle hassas veriler olan, çocuğun evlat edinilmesine ilişkin veriler ve ileri eğitimi ifşa edilmiştir.

Belediye İdaresine para cezası uygulanırken, cari yıla ait bütçe miktarı ve geçen yıl alınan diğer kapsamlı yıllık gelirler de dikkate alındı.

SDPI’nin yukarıda belirtilen kararı etkili değildir ve mahkemeye itiraz edilebilir.

14 EKİM 2020 – Norveç

Norveç Veri Koruma Kurumu: Fine Bergen Belediyesi Kararı

Norveç Veri Koruma Kurumu, Fine Bergen Belediyesi’ne; okul ile ev arasındaki iletişim sistemindeki kişisel bilgilerin yeterince güvenli olmaması sebebiyle yaklaşık 276.000 EUR (3 milyon NOK) tutarında idari para cezası verilmesi için nihai kararını verdi.

Ekim 2019’da, Veri Koruma Kurumu, Belediye’nin okul ve ev arasındaki iletişim için yeni aracı Vigilo ile ilgili olarak Fine Bergen Belediyesi tarafından kişisel veri ihlali konusunda bilgilendirildi. Vigilo, okul ve ebeveynlerin bir portal veya uygulama aracılığıyla iletişim kurabileceği bir modül içeriyor ancak Belediye’nin, araç kullanıma sunulmadan önce çocukların ve ebeveynlerin kişisel bilgilerini gizli bir adresle güvence altına almak için gerekli yönergeleri belirlememiş veya iletmemiş olduğu tespit edildi.

Bu uygulama korunmasız, sağlığı ve hayatı özellikle korunması gereken çocukların kişisel bilgilerinin yetkisiz insanların eline geçmesi bakımından risk taşıdığı için Belediye’ye idari para cezası verilmiştir.

7 EKİM 2020 – BELÇİKA

Belçika Veri Koruma Kurumu, Ulusal Sicilden kişisel verilerin yanlış işlenmesi nedeniyle bölgesel bir kamu çevre kurumuna bir uyarı ve kınama kararı verdi.

Üç Belçikalı davacı, Belçika Veri Koruma Kurumu’na bölgesel bir kamu çevre kurumuna karşı şikâyette bulundu. Bu kurum, çevre mevzuatına aykırı bir ihlal durumunda, örneğin çöp atma durumunda harekete geçme yetkisine sahip bir kurum niteliği taşımaktadır. Kurum, örneğin, bir vatandaşa, üzerinde o vatandaşın isminin yazılı olduğu, yasadışı olarak yerleştirilmiş çöpler bulduğunda para cezası verebilmektedir.

Kurumun önüne gelen bir ihlalde ilk davacıya böyle bir para cezası verilmiş ancak kurum; para cezasına hükmeden kararda, kurum aynı zamanda ilk davacının sivil ortağına ve kayınpederine de atıfta bulunmuştur. Kurum, birinci davacının Ulusal Sicilinde sivil ortağın (ikinci davacı) adını ve bağlantısını bulmuştur ancak bu bilgilerin Ulusal Sicilden alınarak yapılması yasal bir işlem niteliği taşımamaktadır. İddia edilen kayınpeder (üçüncü davacı), kurum tarafından başlatılan çevresel prosedürde ilk davacıyı savunmak için kurumla iletişim kurmuştur. Kurum, ikinci ve üçüncü davacının soyadına dayanarak verdiği kararında, ikisi arasında bir aile bağı olduğu sonucuna varmıştır ancak bu varsayım dayanaktan yoksun olduğundan bir kararda kullanılmasının hukuki olmadığı gözlemlenmiştir. Bu da Kurum’un verilerin doğruluğu ve veri minimizasyonunu ihlal ettiğini göstermiştir.

Belçika yasası gereği Belçika Veri Koruma Kurumu, bir Belçika kamu kurumuna idari para cezası veremeyeceğinden; verilerin doğruluğunu ve minimizasyonunu ihlal ettiği için ilgili Kurum’a uyarı ve kınama kararı vermiştir.