| Okuma Süresi: 8 Dakika

AVRUPA VERİ KORUMA OTORİTELERİ KARARLARI – OCAK 2021


MGC Legal ICT Law Ekibimiz, Ocak 2021 boyunca ön plana çıkan ‘Avrupa Veri Koruma Otoriteleri Kararlarını’ derledi;

AVRUPA BİRLİĞİ

Aşağı Saksonya Eyaleti’ndeki Veri Koruma Kurumu notebooksbilliger.de’ye 10,4 milyon Euro idari para cezası verdi

Aşağı Saksonya Eyaleti’ndeki Veri Koruma Kurumu, şirketin çalışanlarını izlemek için hiçbir yasal gerekçe olmaksızın en az iki yıldır güvenlik kamerası kullandığının tespit edilmesi nedeniyle notebooksbilliger.de’ye 10,4 milyon Euro idari para cezası verdi. Yasa dışı kameralarla kaydedilen alanlar arasında çalışma alanları, satış katları, depolar ve personel odaları da bulunuyor.

Şirket, güvenlik kameralarının cezai suçları önlemek ve soruşturmak ile depolardaki mal akışını izlemek için kurulduğunu iddia etti. Ancak güvenlik kamerası sisteminin, yalnızca belirli kişilerin bu tür suçları işlediklerinden makul olarak şüphelenildiği durumlarda bu suçları araştırmak için kullanılabileceği kabul edilmektedir. Durum böyleyse şirkete, ilgili şahısları sınırlı bir süre için kamera ile takip etme izni verilebilmektedir. Ancak notebooksbilliger.de, güvenlik kamerası sistemini belirli çalışanlarla veya belirli bir dönemle sınırlamadı. Üstelik kayıtların çoğu, gerekenden çok daha uzun bir süre (60 gün) boyunca saklandı. Veri Koruma Kurumu, genel şüphenin yeterli olmadığını da ayrıca vurguladı. Nitekim 10,4 milyon Euro tutarındaki idari para cezası, Aşağı Saksonya Eyaleti’ndeki Veri Koruma Kurumu tarafından bugüne kadar verilen en yüksek ceza oldu.

Hollanda Veri Koruma Kurumu, Yüz Tanıma Teknolojisi kullanması nedeniyle bir süpermarkete yönelik resmi bir uyarı yayımladı

Hollanda Veri Koruma Kurumu, yüz tanıma teknolojisini kullanması nedeniyle bir süpermarkete yönelik resmi bir uyarı yayımladı. Yüz tanıma teknolojisi Aralık 2019’da devre dışı bırakılmış olmasına rağmen bu teknolojinin, mağazanın girişindeki kameralara bağlandığı tespit edildi. Süpermarket, yüz tanıma teknolojisini müşterilerini ve çalışanlarını korumak ile hırsızlık olaylarını önlemek için kullandığını iddia etti. Ancak medyada yükselen haberlerin ardından 8 Aralık 2019’da yüz tanıma teknolojisini devre dışı bırakmak zorunda kaldı. Buna rağmen işletme sahibi, Veri Koruma Kurumu’na sunduğu belgelerde yüz tanıma teknolojisini kullanmaya devam etmek istediğini belirtti.

Ancak bu teknolojinin insanları tanımlamak için biyometrik veriler kullanması ve yüzünüzü bir arama motorundan geçirdiğinizde yüzünüzün adınıza ve diğer kişisel verilerinize bağlanma olasılığının varlığı nedenleriyle güvenlik için yüz tanıma teknolojisinin kullanılmasının iki istisnai durum dışında yasak olduğu vurgulandı.

Birincisi, veri sahiplerinin verilerinin işlenmesi için açık rıza vermiş olması olup sadece süpermarkete girmenin rıza olarak sayılmayacağı belirtildi. Diğer istisna, yüz tanıma teknolojisinin yalnızca önemli ölçüde kamu yararının söz konusu olduğu durumlarda kimlik doğrulama veya güvenlik amaçları için gerekli olması olarak ifade edildi. Süpermarket durumun bu istisnadan ibaret olduğunu iddia etse de Kurum mağaza hırsızlığını önlemek amacının yeterli olmadığını düşünüyor.

Polonya Veri Koruma Kurumu, veri ihlali bildirimlerinin eksikliği nedeniyle üniversiteyi cezalandırdı

Kişisel Verileri Koruma Kurumu (UODO) Başkanı, veri koruma ihlali nedeniyle Silezya Üniversitesi’ne (the Medical University of Silesia) 25.000 PLN (5850 EUR’dan fazla) tutarında idari para cezası verdi. Veri sorumlusunun yalnızca denetim makamını değil, aynı zamanda olaydan etkilenen kişileri de bilgilendirmesi gerektiği vurgulandı. Denetleme makamı verilen para cezasının yanı sıra üniversiteye, veri koruma ihlalini, özel e-eğitim platformunda video konferans şeklinde yapılan sınavlarla bağlantılı olarak meydana gelen ihlalden etkilenen kişilere de bildirmesini emretti. Zira ihlal hakkında yapılan şikayetler, 2020’nin Mayıs ayı sonunda video konferans şeklinde yapılan sınavlar sırasında sınava giren öğrencilerin kimliklerinin tespit edildiğini gösterdi. Soruşturmanın sonunda, kayıtlara sadece ilgili kişilerin değil, aynı zamanda sisteme erişimi olan diğer kişilerin de ulaşabildiği ve hatta doğrudan bir bağlantı kullanarak, herhangi bir üçüncü kişinin bile sınav kayıtlarına ve sınava giren öğrencilerin kimliklerinin belirlenmesi için sunduğu kişisel verilerine erişebildiği tespit edildi.

Bu tespitlerin sınava giren kişilerin hak ve özgürlüklerine yönelik yüksek bir riskin varlığını işaret etmesi üzerine Kurum’un, veri sorumlusundan durumu netleştirmesini, veri ihlalinin bir denetim makamına bildirilmesini ve etkilenen kişilerin de ihlalden haberdar edilmesini defalarca istemesine rağmen olaydan sonra sistemde değişiklik yapıldı ve üniversite bir veri ihlali bildiriminde de bulunmadı. Bu nedenle, idari bir işlem başlatıldı. Sonuç olarak çalışanlardan birinin e-eğitim platformunda tamamlanan sınavdan sonra testin yapıldığı sanal odaya erişimi kapatmaması nedeniyle ihlalin meydana geldiği tespit edilse de Kurum, öğrencilerin kişisel verilerinin sorumluluğunun veri sorumlusuna ait olduğunu ve ihlalin meydana gelmesinin veri sorumlusunun ihmalinden kaynaklandığını belirtti.

İtalyan Veri Koruma Kurumu, Palermo şehrinden bir kızın ölümünden sonra TikTok’un kişisel verileri işleme faaliyetlerine bir sınırlama getirdi

İtalyan Veri Koruma Kurumu, yaşı kesin olarak belirlenemeyen kullanıcıların verileriyle ilgili olarak TikTok tarafından gerçekleştirilen işlemlere derhal bir sınırlama getirdi. Kurum, Palermo şehrinden 10 yaşındaki bir kızın ölümünün neden olduğu infialden sonra, (GDPR’in 58. maddesinin 2. cümlesinin f bendi ile 66. maddesinin ilk cümlesi uyarınca) acil önlemler almaya karar verdi.

Kurum Aralık ayında; küçüklerin korunmasına yönelik yetersiz özen gösterildiğine, şirketin 13 yaşın altındaki çocuklara uyguladığı kayıt yasağının kolayca ihlal edildiğine ve varsayılan ayarların gizlilik gereksinimlerini karşılamadığına ilişkin ihlaller dahil olmak üzere TikTok’a birçok ihlal hakkında bildirimde bulunmuştu. Ancak bu bildirim yoluyla talep edilen geri bildirim alınana kadar, Kurum sosyal platforma katılan İtalya’daki küçüklere acil koruma sağlamak amacıyla bir adım daha atmaya karar verdi.

TikTok’u, yaşla ilgili gerekliliklere uyulmasını sağlamak amacıyla yaşı kesin olarak belirlenemeyen herhangi bir kullanıcıyla ilgili kişisel verileri işlemekten menetti. Ancak bu yasak, 15 Şubat’a kadar geçici olarak uygulanacak. Zira TikTok kısa bir süre önce AB’deki merkez kuruluşunun İrlanda’da olduğunu duyurduğundan dolayı, bu sınırlama emrinin İrlanda Veri Koruma Kurumunun dikkatine sunulması gerekiyor.

Polonya Kişisel Verileri Koruma Ofisi (UODO): Veri sorumlusu ihlalleri önlemek için her zaman hızlı ve etkin önlemler almalıdır

Aynı zamanda MoneyMan.pl borç verme platformunun da sahibi olan ID Finance Poland Şirketi, şirket sistemindeki kişisel verilerin güvenliğine ilişkin verilen güvenlik uyarılarına yeterince hızlı geri dönüş sağlamadı ve sunucuların müşterilerinin kişisel bilgilerini içerip içermediğine dair bilgi kontrolünü sağlayamadı. Şirket’in müşterilerin kişisel verilerinin güvenliği için yeterli tedbirleri almaması, yetkisiz bir üçüncü kişinin müşterilere ilişkin kişisel verilere ulaşmasına yol açtı. Yetkisiz kişi tarafından çalınan kişisel veriler silindi ve daha sonra fidye talep edildi. Gerçekleşen ihlal sonrasında Şirket bu ihlali Yüksek Denetleme Kurulu’na bildirdi ve güvenlik açığını tespit etmek için çalışmalara başladı.

Yapılan soruşturma neticesinde Kişisel Verileri Koruma Ofisi (UODO), ID Finance Poland Şirketi’nin sorumluluğunda olan güvenlik sisteminin yenilenmemesinden kaynaklı bir sorun olduğunu tespit etti. Elde edilen verilerde müşterilerin şifrelerinin bulunmasının, onların aynı şifreyi kullandıkları diğer hesapları için de büyük risk oluşturduğu saptandı. Şirketin ise yapılan uyarıları ciddiye almadığı ve gerekli önlemleri almadığı ortaya çıktı. Kişisel Verileri Koruma Ofisi’nin görüşüne göre; veri sorumlusu ihlalleri önlemek için her zaman hızlı ve etkin önlemler alabilmelidir.

UODO tarafından ihlalin ölçeği ve çalınan verilerin kapsamı da dikkate alınarak, hızlı ve etkili önlemler almayan ID Finance Poland Şirketi’ne 1 milyon PLN (Polonya Zlotisi)’nin üzerinde (250.000 EUR) idari para cezası uygulanmıştır Bu cezanın diğer veri sorumluları için de örnek teşkil ettiği belirtilmiştir.

Polonya Kişisel Verileri Koruma Ofisi (UODO): Veri güvenliğine ilişkin teknik önlemler düzenli olarak test edilmelidir

Kişisel Verileri Koruma Ofisi (UODO), işlenen kişisel verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemlerin alınmaması nedeniyle Virgin Mobile Polska Şirketi’ne 1,9 milyon PLN (460,000 EUR) tutarında para cezası verdi.

Virgin Mobile Polska adlı şirketin, işlediği kişisel verilerin güvenliğini sağlamak için aldığı önlemlerin etkinliğine ilişkin düzenli ve kapsamlı testleri, ölçümleri ve değerlendirmeleri yapmadığı tespit edildi. Kişisel verilerin güvenliğine ilişkin değerlendirme yapılmaması sonucunda şirkete ait sistemde güvenlik açığı meydana geldi ve bu güvenlik açığını kullanan yetkisiz üçüncü bir kişi tarafından bazı müşterilerin kişisel verileri ele geçirildi.

Kişisel verilerin ihlaline ilişkin şirkette inceleme başlatan UODO, veri güvenliğini sağlamak için yapıldığı iddia edilen testleri, ölçümleri ve değerlendirmeleri kapsamlı ve yeterli bulmadı. Denetleme sırasında, BT sistemindeki uygulamalar arasında veri alışverişinin, ön ödemeli hizmet müşterilerinin kayıt başvurularından belirli parametrelerin doğrulanmasından sonra gerçekleşeceği ortaya çıktı. BT sistemindeki doğrulama mekanizmasının düzgün test edilemediği ve güvenlik açığının buradan kaynaklandığı anlaşıldı. Şirket, güvenlik açığını onarmaya yönelik faaliyetlere ihlalden sonra başladı ve şirketin veri ihlalinden önceki faaliyetlerinin yetersiz bulunması sonucunda şirketin Genel Veri Koruma Tüzüğü’nde (GDPR) belirtilen veri gizliliği ve hesap verebilirlik ilkelerini ihlal ettiği sonucuna varıldı. Sistemin denetlenmemesinin de veri sorumlusunun ihlali sayıldığı açıkça belirtildi.

Şirketin inceleme sürecindeki iyi iş birliğini ve veri ihlalini tespit ettikten sonra hızlı bir şekilde ortadan kaldırmasını hafifletici sebep olarak gören UODO, buna rağmen Virgin Mobile Polska’ya idari para cezası uyguladı. Gerekçe olarak ise yetkisiz kişilerin sisteme kısa süre erişebilse dahi yüksek miktarda kişisel veri elde edebileceği gösterildi.

Polonya Kişisel Veri Koruma Ofisi (UODO): Kişisel veri ihlalleri gecikme olmaksızın bildirilmelidir

Kişisel Veri Koruma Ofisi (UODO), Towarzystwo Ubezpieczeń i Reasekuracji WARTA SA (WARTA SA Sigorta ve Reasürans Şirketi) için işleyici olarak çalışan sigorta acentesinin, müşterilere ait olan adlar, soyadlar, ikamet adresleri, PESEL numaraları (kişisel kimlik numaraları) ve sigortalarına ilişkin bilgileri (binek otomobili) içeren bir sigorta poliçesini yetkisiz üçüncü bir kişiye gönderdiğini tespit etti.

UODO tarafından müşterilerinin kişisel verilerini korumakla mükellef olan ama elde ettiği kişisel verileri üçüncü bir kişiyle yetkisiz paylaşan şirketten kişisel verilerin ihlali ile ilgili bir değerlendirme talep edildi. Şirket, değerlendirmesi sonucunda müşterinin e-posta adresini kendilerine yanlış bildirdiğini ve bu sebeple kişisel verileri içeren belgenin yetkisiz üçüncü bir kişiye gönderildiğini düşünerek kişisel verilerin ihlali konusunda UODO’ya bir bildirimde bulunmadı. Yetkisiz üçüncü kişiden müşterilere ait kişisel verileri içeren belgeyi şirkete iade etmesi istenildi. Yetkisiz kişi belgeyi iade etti. Şirketin veri güvenliği ihlalini Kişisel Verileri Koruma Ofisi (UODO)’ne bildirmesi ise ihlalden 5 ay sonra gerçekleşti.

Şirket, söz konusu veri ihlalini UODO’ya bildirmediği ve Genel Veri Koruma Yönetmeliği (GDPR)’ni ihlal ettiği için 85 588 PLN (20.000 EUR) tutarında idari para cezasına çarptırıldı. UODO para cezasına gerekçe olarak, verilerin üçüncü kişiden istenerek silinmesinin riski ortadan kaldırmadığını, üçüncü kişinin bilgileri kopyalamış olabileceğini ve güvenlik riskinin hâlâ devam ettiğini belirtti. Ek olarak, müşterinin e-posta adresini yanlış bildirmesinden kaynaklansa dahi kişisel verilerin yetkisiz üçüncü kişiyle paylaşılması, veri güvenliğini ihlal sayıldı.

NORVEÇ

Norveç Veri Koruma Kurumu, Grindr LLC’ye 10 milyon Euro tutarında idari para cezası vermek niyetinde

Norveç Veri Koruma Kurumu; eşcinsel, biseksüel, trans ve queer insanlar için konum tabanlı bir sosyal ağ uygulaması olan Grindr LLC’ye (Grindr), GDPR’nin rıza ile ilgili kurallarına uyulmadığı gerekçesiyle 100.000.000 NOK tutarında idari para cezası vermeyi planladığını bildirdi.

2020 yılında Norveç Tüketici Konseyi, kişisel verilerin üçüncü kişilerle pazarlama amacıyla ve hukuka aykırı olarak paylaşıldığını iddia ederek Grindr aleyhine şikayette bulundu ve Norveç Veri Koruma Kurumu Genel Direktörü, ilk olarak Grindr’in yasal dayanak olmaksızın kullanıcı verilerini bir dizi üçüncü kişiyle paylaştığını tespit ettiklerini ifade etti. Paylaşılan veriler arasında GPS konumu, kullanıcı profili verileri ve dolayısıyla söz konusu kullanıcının Grindr’de bir profili olduğu gerçeği vardı. Grindr’ın bu kişisel verileri paylaşmak için veri sahiplerinin rızasını alması gerektiği, ancak Grindr’ın aldığı rızaların bu uygulama için geçerli olmadığı görüldü. Genel Direktör Kurum’un bir kişinin Grindr kullanıcısı olduğu gerçeğinin cinsel eğilimini gösterdiğine inandığını, bu nedenle söz konusu verilerin belirli korumayı hak eden özel kategoride kişisel veri teşkil ettiğini ve kullanıcıların neye rıza gösterdikleri konusunda uygun şekilde bilgilendirilmedikleri iş modellerinin yasalara uygun olmadığını da ayrıca belirtti. Kullanıcıların uygulamayı kullanmak için gizlilik politikasını bütünüyle kabul etmeye zorlanması ve kendilerine verilerinin üçüncü kişilerle paylaşılmasına izin verip vermediklerinin sorulmaması nedenleriyle alınan rızanın GDPR kapsamında geçerli bir rıza için aranan şartları sağlamadığını düşündüklerini söyledi.

Bu bilgiler ışığında idari para cezasının etkili, orantılı ve caydırıcı olması gerektiği; dolayısıyla Norveç Veri Koruma Kurumu’nun bugüne kadarki en yüksek para cezasını vereceği düşünülüyor. Ancak yapılan bildiri yalnızca taslak bir karar olup nihai karar verilmeden önce, Grindr’e 15 Şubat 2021’de Kurum’un tespitleri hakkındaki düşüncelerini belirtme fırsatı verilecek.

BİRLEŞİK KRALLIK

Bir motor endüstrisi çalışanı, Bilgisayarın Kötüye Kullanılması Kanunu davasında mahkum edildi

Bir motor endüstrisi çalışanı, ICO tarafından yürütülen bir davada sekiz ay hapis cezasına çarptırıldı, ancak cezası iki yıl süreyle ertelendi. RAC için çalışan Kim Doyle, yetkisi olmaksızın dava konusu kişisel verileri bir kaza hasar yönetimi şirketine aktardı. 33 yaşındaki Doyle, Ocak 2020’deki duruşmada bilgisayar verilerine yetkisiz erişimi sağlama almak ve yasadışı olarak elde edilen kişisel verileri satmak için komplo kurmak suçunu işlediğini kabul etti. 8 Ocak 2021’de Manchester Crown Mahkemesi’nde mahkum edildi ve Mahkeme, Doyle’un işverenlerinden herhangi bir izin almış olmamasına rağmen isimleri, cep telefonu numaralarını ve sicil numaralarını (plaka) içeren karayolu trafik kazası verilerinin listelerini derlediğini öğrendi. Yasa dışı bir şekilde aktarılan bu verilerin rahatsız edici aramalar yapmak için kullanıldığına dair kanıt da vardı.

Flixton Road, Urmston’dan 32 yaşındaki Shaw da bilgisayar verilerine yetkisiz erişimi sağlama almak için komplo kurmak suçunu işlediğini kabul etmesinin ardından sekiz ay hapis cezasına çarptırıldı, ancak cezası iki yıl süreyle ertelendi.

Mahkeme tarafından, Suç Gelirleri Yasası kapsamında, suç işlemenin bir sonucu olarak elde edilen menfaatin geri alınması için bir Müsadere Emri verildi. Bu nedenle Doyle’un 25.000 Sterlin tutarında ve Shaw’ın ise 15.000 Sterlin tutarında bir ödeme yapması gerekiyor. Bu rakamların üç ay içinde ödenmemesi halinde hem Doyle hem de Shaw, üç ay hapis cezasıyla karşı karşıya kalacak.

Rahatsız edici aramalar yapan şirketlere toplam 480.000 Euro idari para cezası verildi

ICO, sabit hatlı cep telefonu kullanıcılarının soğuk (ani) çağrılar almamayı tercih etmelerine olanak tanıyan Telephone Preference Service (TPS)’ye kayıtlı numaraları, yasa dışı aramalar yapmak için kullanan dört ayrı şirkete toplam 480.000 Euro idari para cezası verdi. Leeds merkezli Chameleon Marketing (H.I) Limited Şirketi; Sutton Coldfield merkezli Rancom Security Limited Şirketi; Redhill merkezli Repair & Assure Limited Şirketi ve Stockton on Tees’deki Solar Style Solutions Limited Şirketi’nin 2,4 milyon yasadışı arama yaptığı ve bu aramaların ICO ve TPS’ye 250’den fazla şikayetle sonuçlandığı tespit edildi. Zira veri sahiplerinin rızası olmadıkça, TPS’ye kayıtlı numaralara 28 günden fazla pazarlama aramaları yapmak yasalara aykırıdır. Sonuç olarak;

17 Mart- 2 Temmuz 2019 tarihleri arasında, TPS’ye kayıtlı kişilere 617.323 doğrudan pazarlama araması yaptığının ve ICO soruşturmasının sonunda, alınan rızaların bu aramalar için yetersiz olduğunun tespit edilmesi nedeniyle ICO, Chameleon Marketing (H.I) Limited Şirketi’ne 100.000 Euro idari para cezası verdi.

Yine ICO soruşturması sırasında; yapılan 851.342 aramadan 565.344’ünün TPS’ye kayıtlı kullanıcılara ait olduğunun ve Rancom Security Limited (RSL) Şirketi’nin gerekli özeni gösteremediğinin tespit edilmesi ile Şirket’in TPS lisansına ilişkin herhangi bir kanıt sunamamasının bir sonucu olarak ICO, RSL’yi 110.000 Euro idari para cezasına çarptırdı.
Redhill merkezli RAL da 2 Ocak ve 11 Haziran 2019 tarihleri arasında 1.103.292 rahatsız edici arama yapmaktan sorumlu tutuldu. ICO, Şirket’e 180.000 Euro idari para cezası verdi ve 30 gün içinde pazarlama aramaları yapmayı durdurmasını emreden bir bildirim yayımladı.

Son olarak, 1 Ocak- 29 Nisan 2019 tarihleri arasında Stockton on Tees merkezli yenilenebilir enerji teknolojisi şirketi de soruşturmaya tabi tutuldu. Dört aylık süre boyunca SSSL’in, 126.019’u TPS’ye kayıtlı kullanıcılara yönelik 188.665 arama yaptığı tespit edildi ve ICO SSSL’ye de 90.000 Euro idari para cezası verdi.

MGC Legal ICT Law Department