| Okuma Süresi: 7 Dakika

AVRUPA VERİ KORUMA OTORİTELERİ KARARLARI – ŞUBAT 2021


MGC Legal Bilişim ve Teknoloji Hukuku Ekibimiz, Şubat 2021 boyunca ön plana çıkan ‘Avrupa Veri Koruma Otoriteleri Kararlarını’ derledi;

AVRUPA BİRLİĞİ

Hollanda Veri Koruma Kurumu Tıbbi Kayıtları Korumakta Yetersiz Kaldığı için OLVG Hastanesine Para Cezası Verdi

Hollanda Veri Koruma Kurumu hastaların tıbbi kayıtlarını korumakta yetersiz kalması nedeniyle Amsterdam merkezli OLVG Hastanesi’ne 440.000 € para cezası verdi.

2018 ve 2020 yılları arasında OLVG, tıbbi kayıtlara kimin ulaştığıyla ilgili gerekli denetlemeleri yapmadı ve bilgi sistemi güvenliğine dair eksikliklere sahipti. Yeterli denetlenmeyen veriler arasında vatandaş hizmet numaraları, adresler ve telefon numaraları gibi kişisel veriler de mevcuttu. Veri Koruma Kurumu, yaptığı soruşturma sonucunda OLVG’nin tıbbi kayıtlara erişen personelleri düzenli olarak kontrol edilmediğini ve hasta kayıtlarına erişim için iki faktörlü kimlik doğrulamasını uygulamadığını tespit etti. Veri Koruma Kurumu Başkan Yardımcısı Monique Verdier, hasta verilerini korumanın önemini vurgulayarak, OLVG Hastanesi’nin ciddi bir ihlal yaptığını ve Veri Koruma Kurumu’nun bu yüzden ceza verdiğini belirtti.

OLVG, Veri Koruma Kurumu’nun soruşturması sırasında verilere erişim kayıtlarını incelemeye başladı ve tıbbi kayıtlara erişim için iki faktörlü kimlik doğrulama uygulamasını başlattı. Verilen para cezasıyla birlikte diğer hastane ve sağlık hizmeti kuruluşlarının da hasta verilerinin korunmasına ilişkin güvenlik tedbirlerini eksiksiz bir şekilde uygulamaları bekleniyor.

İsveç Veri Koruma Kurumu: Polis Yasadışı Bir Şekilde Yüz Tanıma Uygulamasını Kullandı

İsveç Gizlilik Koruma Kurumu İsveç Polis Teşkilatının bireyleri tanımlamak için Clearview AI uygulamasını kullanırken İsveç Ceza Verileri Yasasını ihlal ettiğini tespit etti.

İsveç Gizlilik Koruma Kurumu (IMY), İsveç Polis Teşkilatı medyasında yer alan haberler üzerine, Polis Teşkilatı aleyhinde soruşturma başlattı ve polisin Clearview AI uygulamasını kullanırken veri sorumlusu olarak yükümlülüklerini yerine getirmediğini ve yüz tanıma amaçlı edinilen biyometrik verileri hukuka uygun olarak işlemek için yeterli önlemleri almadığını belirledi.

Gizlilik Koruma Kurumu, Ceza Verileri Yasasının ihlali nedeniyle Polis Otoritesine 2.500.000 SEK (yaklaşık 250.000 EUR) tutarında idari para cezası verdi ve çalışanlara kişisel verilere ilişkin eğitim verilmesine hükmetti. Ek olarak, Polise kişisel verileri ihlal edilen veri sahiplerinin bilgilendirilmesi ve Clearview AI’ye aktarılmış tüm kişisel verilerin silinmesi talimatı verildi.

 

Belçika Veri Koruma Kurumu Family Service (Aile Hizmetleri) Şirketi’ne 50.000 Euro Tutarında İdari Para Cezası Verdi

Belçika Veri Koruma Kurumu, Belçika’daki anne ve babalar tarafından çok iyi bilinen “pembe kutuları” dağıtmakta olan Family Service (Aile Hizmetleri) Şirketi’ne, GDPR’nin çeşitli hükümlerinin ihlali nedeniyle 50.000 Euro tutarında idari para cezası verdi. Şirket, gelecekteki ebeveynler için çeşitli örnekler, özel teklifler ve bilgiler içeren kutular dağıtan bir pazarlama şirketi olarak ifade edildi. Ancak şirketin, müşterilerine yeterli bilgi sağlamadan ve dolayısıyla müşterilerinin geçerli rızası olmaksızın, kişisel verileri üçüncü kişilere aktardığı hususunda Kurum’a şikayette bulunulmasının üzerine Kurum’un Denetleme Ofisi, şirket hakkında soruşturma başlattı.

Kurum’un Denetleme Ofisi ve Dava Dairesi, şirketin kişisel verileri ticari amaçlarla kiraladığını ve/veya sattığını, ancak müşterilerle yapılan görüşmelerde bu uygulamaların açık ve anlaşılır bir şekilde belirtilmediğini tespit etti. Pembe kutuların jinekologlar ve hastaneler aracılığıyla dağıtıldığı göz önüne alındığında, bu durumda şirketin müşteriyi bu uygulamalar hakkında doğru şekilde bilgilendirmesinin daha da önemli olduğu fark edildi. Dahası, müşteriler tarafından bu veri aktarımları için verilen rıza, aydınlatılmış rıza olmaması nedeniyle geçersiz olarak ifade edildi.

Kurum ihlalin ciddiyetini ve çocuklarla ilgili veriler başta olmak üzere işlenen verilerin niteliğini dikkate alarak, şirkete 50.000 Euro tutarında idari para cezası verdi ve bu iş modelinin GDPR’e aykırı olması nedeniyle şirketin GDPR’e uymasını emretti.

 

Polonya Veri Koruma Kurumu Kurum ile İş Birliği Yapmaması Nedeniyle Smart Cities Şirketi’ne İdari Para Cezası Verdi

Kişisel Veri Koruma Kurumu (UODO), mektubuna cevap vermeyerek ve kişisel veriler ile görevlerini yerine getirebilmek için gereken diğer bilgilere erişim sağlamayarak Kurum ile iş birliği yapmaktan kaçınan, Varşova merkezli Smart Cities Şirketi’ne 12.000 PLN’in (3000 Euro) üzerinde idari para cezası verdi.

UODO, GDPR’nin 51. maddesinin uygulanma alanına giren bir denetim makamı olarak, bu tüzüğün kendi topraklarında uygulanmasını izlemek ve sağlamakla görevli, görevlerini yerine getirilebilmek için veri sorumlusu ve işleyiciden gerekli tüm bilgileri sağlamasını istemek ve veri sorumlusu ile işleyici aracılığıyla tüm kişisel verilere ve gerekli tüm bilgilere erişim sağlamak yetkileri de dahil olmak üzere bir dizi yetkiye sahiptir. Dolayısıyla UODO’nun bu yetkilere dayanarak talep ettiği bilgilere erişiminin engellenmesi, şirketin denetim otoritesi ile iş birliği yapmaya ilişkin yükümlülüklerinin aleni bir şekilde göz ardı edildiğini gösterdiği ifade edildi.

Polonya Veri Koruma Kurumu GDPR Kurallarını İhlal Ettiği Gerekçesiyle Ulusal Yargı ve Savcılık Okulu’na (KSSIP) İdari Para Cezası Verdi

Polonya Veri Koruma Kurumu, bir veri sorumlusu olarak yükümlülüklerini yerine getirmediği ve GDPR’i ihlal ettiği için KSSIP’e 100.000 PLN (yaklaşık 22.000 Euro) tutarında idari para cezası verdi. Kişisel Verileri Koruma Kurumu’na göre söz konusu veri sorumlusu, kişisel verilerin GDPR’e uygun olarak işlenmesi için işleme hizmetlerinin gizliliğini sağlamaya imkan verecek gerekli teknik ve organizasyonel önlemleri almadı. KSSIP, KSSIP eğitim platformunun veri tabanının kopyasında yer alan kişisel verilerin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkililiğinin etki değerlendirmesini test edemedi ve bu nedenle kişisel verilerin işlenmesindeki değişikliklerle ilişkili riskleri yanlış şekilde hesaba kattı.

Ek olarak, veri sorumlusunun kişisel verilerin işlenmesini, kişisel verileri yalnızca veri sorumlusundan gelen belgelenmiş talimatlara göre işlemek için sözleşmesel bağlayıcı bir taahhüt almaksızın bir işleyiciye bıraktığı; sözleşmesel taahhüdün yokluğu nedeniyle işlemenin konusu, süresi, niteliği ve amacı ile kişisel verilerin türü, veri sahibi kategorileri ve veri sorumlusunun hak ve yükümlülüklerinin ayrıntılı olarak belirtilmediği belirtildi.

Polonya Veri Koruma Kurumu Tarafından İdari Bir Karar Emrine Uyulmadığı için İlk Para Cezası

Polonya Veri Koruma Kurumu, verilen idari karara uyulmaması nedeniyle sağlık hizmetleri alanında ekonomik faaliyet yürüten bir girişimciye 85.000 PLN’den (20.000 EUR) fazla idari para cezası verdi.

Kişisel Verileri Koruma Ofisi (UODO), girişimciye kişisel verilerinin ihlal edildiğini, ihlalin sonuçlarını ve alınması gereken önlemleri hastalarına bildirmesini emretti. Kişisel Verileri Koruma Ofisi (UODO) yaptığı denetimler sırasında girişimcinin verilen idari karara uymadığını ve hastalara veri ihlalini bildirmediğini tespit etti.

Para cezası verilirken, UODO, ihlalden etkilenen kişilerin bildirim yapılmamasından kaynaklı olarak uzun süre zarar görmesini ve veri sorumlusu olan girişimcinin denetim görevini yerine getirmediğini ağırlaştırıcı sebep olarak dikkate aldı. Girişimcinin Kişisel Verileri Koruma Ofisi’nin verdiği karara uymaması veri koruma yükümlülüklerinin açık bir ihlali sayıldı. Veri sorumlularının UODO kararlarına uymaması durumunda, UODO Başkanı’nın kişisel veri ihlalini veri sahiplerine bildirme emri verme ve GDPR 58/2. maddesinde belirtilen önlemlere ek olarak idari para cezası uygulama yetkisinin olduğu belirtildi.

 

İspanyol Veri Koruma Kurumu (AEPD) CAIXABANK, S.A.’ya 6.000.000 EUR Para Cezası Verdi

İspanyol Veri Koruma Kurumu (AEPD), müşterilerin kişisel verilerini hukuka aykırı olarak işleyen ve kişisel verilerin işlenmesine ilişkin yeterli bilgi sağlamayan CAIXABANK, SA’ya toplam 6.000.000 EUR para cezası verdi.

AEPD, kişisel verilerin işlenmesine ilişkin düzenlenen bilgilendirici belgenin veri işlemenin amacına ve yasal dayanağına ilişkin yeterli bilgileri içermemesi nedeniyle CAIXABANK’ın GDPR’nin 13. ve 14. maddelerini ihlal ettiği sonucuna vardı. İhlalin niteliğini, ciddiyetini, süresini ve şirketin büyüklüğünü de dikkate alan AEPD, GDPR’nin 83 (5) b maddesi uyarınca CAIXABANK, SA’ya 2.000.000 Euro para cezası verdi. Öte yandan AEPD, CAIXABANK’ın veri sahibinin rızasını toplamak için herhangi bir mekanizma sağlamadığını tespit etti. Bunun GDPR’nin 6. maddesini ihlal ettiği sonucuna varan AEPD, GDPR’nin 83 (5) a maddesine göre 4.000.000 EUR tutarında idari para cezası uyguladı. Ek olarak, AEPD, CAIXABANK’a veri işleme faaliyetlerini önümüzdeki altı ay içinde GDPR’nin 6, 13 ve 14. Maddelerine uygun hale getirmesini emretti.

NORVEÇ

Norveç Veri Koruma Kurumu E-Posta İletimi Sebebiyle Para Cezası Verdi

Norveç Veri Koruma Kurumu, bünyesindeki bir çalışana ait e-postaların kanuna aykırı bir şekilde işverene iletimini sağladığı için bir kuruluşa 40.000 Euro para cezası verdi. Çalışan, kendisine ait olan e-postaların otomatik olarak işverene yönlendirildiğini fark edince Veri Koruma Kurumu’na şikayette bulundu.

Çalışanın hastalığı sebebiyle işyerinde bulunmadığı süreçte kurulan yönlendirme sistemi sayesinde bir aydan fazla süre boyunca çalışana ait e-postaların işverene ilettiği tespit edildi. Veri Koruma Kurumu, araştırmaları sonucunda işverenin çalışanlara ait elektronik bilgilere erişimle ilgili ulusal düzenlemeleri ve Genel Veri Koruma Tüzüğü uyarınca veri sahibini bilgilendirme ve çalışanın itirazlarını değerlendirme yükümlülüğünü ihlal ettiği sonucuna vardı.

Veri Koruma Kurumu, kuruluşa e-posta gelen kutularına erişim için gerekli olan yazılı prosedürleri gözden geçirme talimatı verdi ve 40.000 Euro tutarında para cezası uyguladı.

 

Norveç Veri Koruma Kurumu Lindstrand Trading AS’e İdari Para Cezası Verdi

Norveç Veri Koruma Kurumu, yasal bir dayanağı olmaksızın bireylerin ve şahıs şirketlerinin toplam dört kredi notunu (mali güvenilirlik derecesini) yönetmesi nedeniyle Lindstrand Trading AS’e 10.000 Euro (100.000 NOK) tutarında para cezası vermeye karar verdi. Bu ceza, Lindstrand Trading ile aralarında herhangi bir müşteri ilişkisi veya başka bir ilişki olmaksızın kredi derecelendirmesine tabi tutulduğunu fark eden bir kişinin yaptığı şikayete cevaben verildi. Zira GDPR, kişisel verilerin işlenmesinin yasal bir temele sahip olmasını gerektirir ve kredi notu, özel korumaya tabi bir kişisel veridir. Birçok farklı kaynaktan alınan kişisel verilerin derlenmesi ile elde edilen kredi notu ile, bir kişinin borcunu ödeyebilme olasılığı tahmin edilir. Kredi notu; ödeme temerrüdü, borç-gelir oranı ve kişinin herhangi bir ipotek altında olup olmadığı gibi şahısların kişisel mali durumuna ilişkin ayrıntılı bilgileri de içerir.

Bir şahıs şirketinin kredi notu da kişisel veri olarak kabul edilir, zira bu tür bir ticari işletme doğrudan mal sahibine ve dolayısıyla sahibinin kişisel mali durumuna bağlıdır. Bu, şahıs şirketlerini bir kredi derecelendirmesine tabi tutmak için yasal bir dayanağın gerekli olduğu anlamına gelir. Sonuç olarak Veri Koruma Kurumu, bu kredi derecelendirmelerinin kişisel amaçlar için yapıldığını ve kuruluşun ticari faaliyetlerinden tamamen kopuk olduğunu tespit etti. Kredi derecelendirmelerinin yasal bir dayanak olmaksızın yürütüldüğü ve dolayısıyla bu faaliyetin GDPR hükümlerine aykırı olduğu sonucuna varıldı. Ancak Lindstrand Trading AS, para cezasına itiraz etti.

 

Norveç Veri Koruma Kurumu Cyberbook AS’e İdari Para Cezası Verdi

Norveç Veri Koruma Kurumu, eski bir çalışanın e-postalarının otomatik olarak yönlendirilmesini yasadışı bir şekilde ayarladığı için Cyberbook AS’e 20.000 Euro (200.000 NOK) tutarında idari para cezası verdi.

Şirketin şirketteki kişisel e-posta adreslerinin de otomatik olarak yönlendirilmesini etkinleştirdiğini fark eden eski bir Cyberbook çalışanının şikayeti üzerine soruşturma başlatıldı. Veri Koruma Kurumu konuyu inceledikten sonra, bu yönlendirmenin öncelikle bir işverenin, e-posta gelen kutularına ve diğer elektronik bilgilere erişimiyle ilgili ulusal düzenlemeleri ihlal ettiğini tespit etti. GDPR’in kişisel verilerin silinmesine ilişkin hükümlerinin yanı sıra; yasal dayanak, veri sahibini bilgilendirme ve işverenin çalışanın itirazlarını dikkate alma yükümlülüğü ile ilgili gerekliliklerinin de ihlal edildiği tespit edildi.

Sonuç olarak Veri Koruma Kurumu, şirkete mevcut çalışanlarının ve eski çalışanlarının e-posta gelen kutularına erişim için yazılı prosedürleri uygulamasını emretti ve yasadışı yönlendirme nedeniyle şirkete 20.000 Euro idari para cezası verdi.

 

Norveç Veri Koruma Kurumu Coop Finnmark’a İdari Para Cezası Verdi

Norveç Veri Koruma Kurumu, bir mağazadan alınan bir kamera kaydının hukuka aykırı olarak dağıtılması nedeniyle Coop Finnmark SA’ya 40.000 Euro (400.000 NOK) tutarında idari para cezası verdi. Söz konusu mağazanın müdürü, telefonuyla güvenlik kamerası görüntülerini kaydetti, bu kaydı dağıttı ve kayıt hızla yayıldı. Veri Koruma Kurumu, vakayı inceledikten sonra, Coop Finnmark’ın mağaza müdürünün güvenlik kamerası görüntülerini dağıtmak için yasal dayanaktan yoksun olduğunu tespit etti ve kişisel verilerin işlenmesinin, hukuka uygun olması için yasal bir dayanak gerektirdiği vurgulandı.

Kurum, kamera görüntülerinin çocukları gösterdiğine ve dağıtımın potansiyel olarak çocukların mahremiyetine yönelik büyük bir risk oluşturduğuna ağırlık verdi. Ceza miktarı, ihlalin ciddiyetine ve şirketin mali durumuna ilişkin genel bir değerlendirmeye dayalı olarak hesaplandı.

 

BİRLEŞİK KRALLIK

ICO Rahatsız Edici Aramalar Yapan Firmalara Toplam 270.000 £ Para Cezası Verdi

Birleşik Krallık Veri Koruma Kurumu ICO TPS’ye kayıtlı numaralara kanuna aykırı şekilde pazarlama çağrıları yapmaktan iki ayrı şirkete toplam 270.000 £ para cezası verdi.

Kişiler onay vermedikçe 28 günden fazla Telefon Tercihi Hizmeti’ne (TPS) kayıtlı numaralara pazarlama görüşmeleri yapmanın yasalara aykırı olduğu belirtildi. Bilgi Komisyonu Ofisi’ne (ICO) ve Telefon Tercihi Hizmeti’ne (TPS) yapılan şikayetlerle, Call Centre Ops of Nottingham ve House Guard of Bournemouth şirketlerinin yaklaşık 860.000 yasadışı çağrı yaptığı tespit edildi. ICO yaptığı araştırma sonucunda Call Center Ops’un 159.461 adet istenmeyen pazarlama çağrısı yaptığını tespit etti ve şirkete 120.000 £ para cezası verdi. Öte yandan Hoyse Guards of Bournemouth Şirketi’nin pazarlama amaçlı 699.966 adet istenmeyen çağrı yaptığı saptandı ve şirkete 150.000£ para cezası verildi.

MGC Legal ICT Law Department