| Okuma Süresi: 13 Dakika

VERİ OTORİTELERİ BÜLTENİ – HAZİRAN

MGC LEGAL BİLİŞİM HUKUKU DEPARTMANI

MGC Legal Haziran ayı veri otoriteleri bültenine göz atmak ister misiniz?

https://www.mgc.com.tr/files/pdf/bilisim-hukuku-haziran-ayi-ozeti.pdf

 

Birleşik Krallık 

11 Haziran 2020

ICO’dan Yaşa Uygun Tasarım Yasası’na Yeşil Işık

ICO, Çocuk Yasası olarak da bilinen Yaşa Uygun Tasarım Kanunu’na ilişkin bir açıklama yayımladı. Kurum yaptığı açıklamada, yasanın kabulünü memnuniyet ile karşıladıklarını, özellikle COVID-19 ile birlikte  çevrimiçi hizmetlere yönelik artan ilgiye karşın çocukların korunmasına ilişkin büyük ve önemli bir adım olarak gördüklerini belirtti. Kanunun; teknoloji endüstrisi,  ticaret kurumları ve sivil toplum kuruluşları dahil olmak üzere kapsamlı bir danışma kurulu tarafından yürütülen müzakereler sonucunda ortaya çıktığını belirten ICO,  çocukların çevrimiçi ortamlarda korunması için 15 ana ilke belirlendiğini ifade etti. Kurum aynı zamanda Kanunun uyum sürecini maliyet ve etki ölçüm faaliyetleri ile planladıklarını ve geçiş yılı boyunca uygulamaya yönelik destek paketlerini hayata geçireceklerini duyurdu.

 

18 Haziran 2020

ICO, Polis Tarafından El Konulan Cep Telefonlarından Elde Edilen Kişisel Verilere Yönelik İnceleme Raporu Yayımladı

ICO İngiltere’de yürütülen soruşturmalarda polis tarafından el konulan telefonlardan elde edilen ve işlenen kişisel verilere yönelik bir yürttüğü incelemeyi tamamlayarak inceleme  raporu yayımlandı. İncelemeyi sürdüren ICO Başkanı Elizabeth Denham Kanunların bugünki teknolojiden çok daha eski olduğunu bu nedenle mevcut hukuki sorunlara tam anlamıyla çözüm sunamadığını, söz konusu durumun yalnızca veri koruma perspektifinden değil adalet ve hak kavramları ile birlikte disiplinlerarası bir yaklaşım ile çözümlenebileceği kanaatinde olduğunu ifade etti.

 

18 Haziran 2020

ICO: «Polis Tarafından El Konulan Telefonlar Görevin İfası Kapsamındaysa Açık Rıza Aranmaz»

ICO tarafından yayımlanan “Polis Gücü İle El Konulan Telefonlardan Elde Edilerek İşlenen Kişisel Veriler” raporuna göre bu uygulamalar ülke çapında farklılıklar arz etmekle beraber genellikle bir çok veri kişisel verilerin korunması hakkındaki mevzuata aykırı düşecek biçimde işleniyor.  ICO’nun araştırma raporunda ilgili veri koruma mevzuatı ayrıntılı olarak incelemiş ve bir kuruluşun, veri işleme konusunda kişilerin açık rızasını alabilmek adına yerine getirmesi gereken yükümlülüklere yer verilmiştir.  Ayrıca bir istisnaya da değinilen raporda yetkili bir makam tarafından  kolluk kuvveti amacıyla yürütülen ve görevin ifası kapsamında kalan faaliyetlerde açık rıza gerekliliklerinin aranmayacağı da belirtildi.  Raporda son olarak veri koruma yasasına uyumun sağlanması ve kamu kurumlarına olan güvenin tesissi için bir dizi önerilere yer verilmiştir.

 

18 Haziran 2020

Birleşik Krallık Veri Koruma Kurumu Sivil Para Cezalarına İlişkin Sahip Olduğu Yetkileri Hatırlattı

Avrupa Genel Koruma Tüzüğü’nü (GDPR) 25 Mayıs 2018 tarihinden bu yana kabul eden ve Veri Koruma Yasası’na ekleyen ICO, belirtilen tarihten itibaren veri sorumlularına 20 Milyon Euro’ya veya şirket cirolarının %4’üne kadar sivil para cezası kesme yetkisine haiz olduğunu internet sitesinde yeniden duyurdu.

 

24 Haziran 2020

Birleşik Krallık Veri Koruma Kurumu Sivil Para Cezalarına İlişkin Sahip Olduğu Yetkileri Hatırlattı

Koronavirüs sonrası yeni normal kapsamında yavaş yavaş işyerlerine geri dönüş başladı. ICO bu adaptasyon sürecinde veri sorumlularına yönelik kişisel verilerin kullanımı konusunda dikkate alması gereken 6 temel kural yayımladı. ICO Başkanı Denham, Veri Koruma mevzuatının koronavirüs tedbirleri kapsamında çalışanlara semptom yaşayıp yaşamadıklarını veya amaçla ölçülü, sınırlı ve şeffaf olmak kaydıyla test yapılmasını engellemediğini aksine bu süreçlerin hukuka uygun şekilde yürütülmesine hizmet ettiğini ifade etti.

 

24 Haziran 2020

ICO’dan İşverenlere Yeni Normale Dikkat Edilmesi Gereken  Altı Altın Tavsiye

Yeni normale adaptasyon sürecinde uyulması tavsiye edilen altı kural şu şekilde sıralandı:

  • Sadece gerekli olan bilgilerin toplanması ve işlenmesi
    İşverenlerin veri toplarken kendilerine ekstra alacakları verilerin işyerini güvende tutmaya katkı sağlayıp sağlamayacağını, söz konusu veriler toplanmadan aynı sonuca ulaşılıp ulaşılamayacağı ve bu bilgilere gerçekten ihtiyaçlarının olup olmadığı gibi sorular sorarak veri işleme faaliyetlerini gerçekleştirmeleri tavsiye edildi.
  • Veri minimizasyonu ilkesine uyulması
    ICO bu konuda yayımlamış olduğu rehbere referanslarda bulundu.
  • Çalışanlara yönelik açık ve dürüst olunması
    Aydınlatma yükümlülüğü kapsamında çalışanların bilgilendirilmesi gerektiği belirtildi
  • Adil olunması
    Toplanan verilerin işyerinde ayrımcılığa neden olmaması gerektiğinin altı çizildi.
  • Ele edilen verilerin güvende tutulması
  • Bilgi edinme hakkını aktif bir şekilde kullanılmasına olanak tanınması

 

İrlanda

 

26 Haziran 2020

İrlanda Veri Koruma Kurumu Yeni Normalde Veri İşlenmesine Yönelik Rehber Hazırladı

Sağlık Bakanlığı tarafından işverenleri desteklemek amacıyla yayımlanan İşe Güvenli Dönüş Protokolüne ek olarak DPC İrlanda tarafından bu süreçte işverenlerin kişisel verilerin korunması hukuk kapsamında dikkat etmesi gerekenlere yönelik bir rehber hazırlandı. Söz konusu rehberin amacı işverenlere Protokolün tavsiyelerinin uygulanması konusunda GDPR ve Veri Koruma Yasası uyarınca veri sorumlularının yükümlülüklerine uyacak şekilde tavsiyelerde bulunmak.

 

26 Haziran 2020

İrlanda Veri Koruma Kurumu Yeni Normalde Veri İşlenmesine Yönelik Rehber Hazırladı

İşe Güvenli Dönüş Protokolü kapsamında kişisel verilerin korunmasına dair uygulama rehberinde yer alan dikkat çekici birkaç başlık şu şekilde:

  • İşçiler arasında teması izlemek için iletişim günlüğü tutulması,
  • İşe gelmeden 3 gün önce COVID-19 semptomlarını sorgulayan formların işçilere doldurtulması,
  • İlgili mevzuata uygun olarak ateş ölçümlerinin yapılması,
  • COVID-19 ile bağlantılı veri işleme faaliyetleri için hukuki sebep bildirilmesi

 

Avrupa Birliği

 

2 Haziran 2020

 

Alkollü İçecek Markası Carlsberg Hakkındaki Veri İhlaline Yönelik Şikayet Haksız Bulundu

Ünlü alkollü içecek markası Carlsberg hakkında Danimarka Veri Kurumu tarafından başlatılan soruşturma tamamlandı. İşe alım süreçleri kapsamında topladığı çalışan adaylarına ilişkin verileri saklaması ve silmemesi nedeniyle soruşturmaya konu edilen firma hakkında veri işleme faaliyetinin hukuka uygun olduğuna karar verildi. Adaylara kendi profillerini silme yetkisi veren Carlsberg’in adaylar tarafından işlem yapılmaması halinde 6 ay içerisinde verileri otomatik olarak sildiğini Veri Koruma Kurumu Müfettişlerine ispatlayarak firmanın veri işleme amacının herhangi bir şikayet durumunda ayrımcılık uygulamadığını  ve  işe alım süreçlerini hukuka uygun olarak yürüttüğünü ispatlamak olduğu bu nedenle faaliyetin veri sorumlusunun meşru menfaati kapsamında yürütüldüğü yönünde savunmada bulundu. Kurum tarafından savunma yerinde görüldü.

 

 

 

4 Haziran 2020

Finlandiya Veri Otoritesi: «Taksilerde Ses ve Kamera Kaydı Veri Minimizasyonu İlkesine Aykırı»

Finlandiya merkezli Taksi Helsinki taşımacılık firması taksilerde ses ve kamera kaydı tuttuğu ve ses kaydı verilerini tutma nedenine ilişkin  Finlandiye Veri Koruma Kurumu’na meşru bir gerekçe sunamadığı  GDPR kapsamında veri minimizasyonu ilkesine aykırı davranıştan 72 bin Euro idari para cezasına çarptırıldı.

 

7 Haziran 2020

Rumen Veri Koruma Kurumu: «Benzer İsim Nedeniyle Sehven Yanlış Kişiye Gönderilen E-Postalar da Veri İhlali Olarak Değerlendirilir.»

25.02.2020 tarihinde Rumen Veri Koruma Kurumu tarafından başlatılan Enel Energie Muntenia şirketi hakkında soruşturma sonucunda Enel Energie Muntenia’nın gerçek kişi olan bir müşterisinin e-posta adresine, başka bir müşterinin kişisel verilerini (ad ve soyad, adres, e-posta adresi, müşteri kodu) göndermek suretiyle kişisel verinin güvenliği ve gizliliğini ihlal ettiği tespit edilmiş ve 3.000 Euro para cezasına çarptırılmıştır.

 

9 Haziran 2020

İspanya Kişisel Verileri Koruma Kurumu’ndan Talebine Yanıt Vermeyen Veri Sorumlusuna 4 Bin Euro Ceza

İspanya’da yer alan enerji tedarik şirketi Iberdrola hakkında İspanya Veri Koruma Kurumu’nun bilgi verme talebine yanıt vermemesinden ötürü Kurum tarafından 4 bin Euro idari para cezası kesildi.

 

 

10 Haziran 2020

Hollanda Veri Kurumu Bir Şikayeti Zamanında Sonuca Bağlamadığı için 1262 Euro Para Cezasına Çarptırıldı

Hollanda Veri Koruma Kurumu yasal süresinde yaptırım kararı uygulamadığı gerekçesiyle mahkeme tarafından cezalandırıldı.  24 Mart 2017 tarihinde, şikayetçi tarafından Hollanda Kişisel Veri koruma Kurumu’na intikal ettirilen şikayette,  Stichting Benchmark Geestelijke Gezondheidszorg (SBG) [“Akıl Sağlığı Bakım Değerlendirme Vakfı”]’in sağlık ve özel kişisel veri toplama ve işlemesinin mümkün olan en kısa sürede askıya alınmasını talep edilmiştir. Kurum tarafından bu talebe neredeyse iki yıl süre geçmesine rağmen  herhangi bir karar almadığından, şikayetçi Hollanda Veri Koruma Kurumu’na bir talep daha göndererek kurumu karar vermeye zorlamayı denemiştir. Hollanda Veri Koruma Kurumu 3 Aralık 2018 tarihinde gönderdiği bir yazılı cevap ile yaptırım verilmesi talebini, henüz soruşturmasını tamamlamadığı gerekçesiyle reddetmiştir ki bu süre kanuni sürenin dolmasından 3 gün sonraya tekabül etmektedir. Bununla birlikte, söz konusu karar şikayetçiye 40 gün sonra, 8 Ocak 2019 tarihinde tebliğ edilmiştir. Bunu üzerine şikayetçi tarafından yerel mahkemeye başvurarak soruşturmayı zamanında tamamlamayan Kurum hakkında para cezası talebinde bulunulmuş ve Mahkemece 60 euro para cezası verilmiş idi. Şikayetçinin temyiz talebi üzerinde bozulan karar sonucunda Hollanda Veri Koruma Kurumu 40 günlük gecikmeden meshul tutularak 1262 Euro para cezasına hükmedilmiştir.

 

16 Haziran 2020

Avrupa Veri Koruma Komitesi, COVID-19 İzleme Uygulamalarına İlişkin Görüş Bildirdi

Avrupa Veri Koruma Kurumu (EDPB) COVID-19 ile mücadele kapsamında geliştirilen izleme uygulamalarına ilişkin görüşlerini içeren bildirgesini yayımladı. Açıklamaya göre bu uygulamalardaki ana çerçevenin şeffaflık, hukuki sebep-meşru menfaat, veri minimizasyonu, ilgili kişinin hakları ve verilerin güvenliği hatlarından oluşması gerektiği belirtildi. Bu uygulamaların halk sağlığının korunması adına geçici bir önlem olmaktan öteye gitmemesi gerektiğini belirten EDPB, üye devletlere bu açıklamada ve   04/20201 sayılı rehberde yer alan tedbirlerin uygulanmasını tavsiye etti.

 

19 Haziran 2020

Belçika DPA de Rumen DPC gibi Sehven Gönderilen E-Mailleri Veri İhlali Olarak Nitelendirdi

Belçika DPA, yanlış kişiye doğrudan pazarlama mesajı göndererek veri sahibinin verilere daha sonraki erişim talebine yeterince yanıt vermediği için bir veri sorumlusuna 10 000 EUR para cezası verdi. Pazarlama mesajı aynı adı taşıyan ancak başka bir e-posta adresi olan başka bir kişi yerine şikayetçiye gönderildi. İşlem bir insan hatasından kaynaklandığı tespit edildi ancak veri sorumlusu tarafından şikayetçiye yeterince şeffaf ve süresinde yanıt verilmediğinden bahisle idari para cezası verildi.

 

19 Haziran 2020

İsveç Veri Koruma Kurumu: «Koridor, Merdiven Boşluğu gibi Bina Ortak Alanlarının Kamera ile İzlenebilmesi Meşru Gerekçelere Bağlı»

İsveç Veri Koruma Kurumu’na intikal eden bir şikayet akabinde Kurum tarafından yürütülen inceleme neticesinde bir dernek tarafından dernek binasındaki  apartman boşluğu merdiven gibi ortak alanlarda sesli kamera kaydı alınmasının veri minimizasyonu ilkesine aykırılık teşkil ettiğine karar verildi. Derneğin ortak alanlarını belli şartlar dahilinde kamera kaydına alabileceğini ancak söz konusu somut olayda meşru bir gerekçe sunulmadığını bu nedenle yapılan işlemin hukuka aykırılık teşkil ettiğini tespit ederek dernek hakkında 2 bin euro para cezası verildi.

 

22 Haziran 2020

Norveç Veri Koruma Kurumu Sağlık Bakanlığı Tarafından Geliştirilen COVID-19 Takip Uygulaması Hakkında Derhal Durdurma Kararı Aldı

Norveç’te COVID-19 takibi amacıyla geliştirilen ve pandemi ile mücadele kullanılan takip uygulaması Smittestopp hakkında Norveç Veri Koruma Kurumu tarafından derhal durdurma kararı verildi. Uygulamanın konum verilerini kullanmasının orantılı olmadığını belirten Kurum uygulama tarafından kullanıcılara seçim şansı tanınması gerektiğini, Avrupa Veri Koruma Kurulu’nun konuya ilişkin, temas takibinde konum verilerinin kullanılmasının gereksiz olduğuna dair karar verdiğini ve yalnızca Bluetooth verilerinin kullanılmasını tavsiye ettiğini ayrıca, analiz için verilerin anonimleştirilmesi ve toplanması için henüz bir çözüm uygulanmadığını, buna rağmen uygulama tarafından sürekli olarak tüm kullanıcılardan kişisel veriler toplanmaya devam ettiğini, bu kapsamda uygulamanın kişi takibi için konum verilerini kullanma ihtiyacını yeterince haklı bulmadıklarından dolayısıyla derhal askıya aldıklarını açıkladı. Konu hakkında detaylı müzakereler hala devam ediyor.

 

25 Haziran 2020

Avrupa Birliği Genelinde GDPR Uygulamasında Birlik Sağlanması için 110 yeni OSS Kararı Kabul Edildi

EDPB, One-Stop-Shop kararlarını içeren yeni bir kayıt yayınladı. GDPR’da yer alan baş denetim makamı ve diğer ilgili denetim makamları arasında işbirliği başlıklı m.60 uyarınca Denetim Otoriteleri, düzenlemenin tutarlı bir şekilde uygulanmasını sağlamak için sınır ötesi bileşenli davalarda işbirliği yapmakla yükümlüdür. Bu nedenle One-stop-shop (OSS) adı verilen uygulama ile Baş denetim otoritesi taslak kararları tasarlar ve uygulama birliği sağlanması adına diğer denetim otoriteri ile işbirliği içerisinde çalışır. Bu kapsamda Haziran ayınn başına kadar baş denetim otoriteleri tarafından toplamda 110 OSS kararı kabul edildi. Kabul edilen kararların ingilizce olarak özetleri EDPB’nin sitesinde yayımlandı.  Söz konusu kayıt ile denetim otorireteleri arasında GDPR’ın uygulanması hususunda birlik sağlanarak bu kararlara sağlanan erişim imkanı ile veri koruma alanında çalışanlar için önemli bir adım atılmış olacağı belirtildi.

 

29 Haziran 2020

İspanya Veri Koruma Kurumu Kamera Kaydı Aydınlatma Beyanlarında Yer Alması Gereken Asgari Unsurları Belirledi

İspanya Veri Koruma Kurumu bir kararında kamera kaydıyla izleme yapılabilmesi için asgari gereklilikleri belirledi. Buna göre; kamera uyarı işaretleri ve aydınlatma beyanlarında asgari olarak

 

  • Veri sorumlusunun kim olduğu,
  • İşlemin varlığı, ne şekilde veri toplandığı,
  • İlgili kişinin haklarının mevcudiyeti ( tek tek sayma zorunlu değil ancak varlığından bahsedilmelidir)

 

Bilgilerine yer verilmesi gerektiği bunlara ek olarak – takdire bağlı şekilde- bu bilgilerin bulunduğu bir internet adresine yönlendirme verilebileceği belirtildi.

 

İtalya

 

 

1 Haziran 2020

İtalya Veri Koruma Kurumu COVID-19 İzleme Uygulaması «Immuna» Hakkında Olumlu Görüş Bildirdi

İtalya’da COVID-19 ile mücadele kapsamında Sağlık Bakanlığı tarafından geliştirilen  “Immuna” isimli uygulamanın etki değerlendirme süreci sona erdi. Değerlendirme raporu sonucunda İtalyan Veri Koruma Kurumu tarafından uygulamanın kullanımına yeşil ışık verildi. Kurum uygulamanın kişisel verilerin korunması mevzuatına uyumlu olduğunu ve asgari korumaları sağladığını açıklayarak bir takım ek tavsiyelerde bulunuldu. Buna göre Kurum, kullanıcıların bulaşmaya maruz kalma riskini değerlendirmek için kullanılan hesaplama algoritmasının işleyişi hakkında yeterince bilgilendirilmesini, sisteme girilen verilerin güvenliği konusunda gerekli teknik tedbirlerin hassasiyetle uygulanmasını ve uygulamayı çocuklar da kullanabileceğinden uyarılar hazırlanırken bu hususun göz önünde bulundurulması gerektiğini belirtti. Sistemin her zaman gerçek bir risk koşulunu yansıtmayan  bildirimler oluşturabileceği konusunda da kullanıcıların uyarılması gerektiğini ekledi.  Ayrıca, kullanıcıların ana ekranda kolayca erişilebilen bir işlev aracılığıyla uygulamayı geçici olarak devre dışı bırakabilmeleri önerildi.

 

 

19 Haziran 2020

 

İtalya E-Sağlık Dönemine Geçiyor

İtalyan DPA Elektronik Sağlık Kayıt Sistemi (FSE) ile alakalı bilgilendirici  infografikler yayımladı. İnfografiklerde yer alan verilere göre FSE kişilerin sağlık geçmişlerini görebildikleri devlet ve özel hastanelerindeki kayıtlardan beslenen dijital bir veritabanı. Sistemin amacı tanı ve tedavi çalışmalarını yürütmek, takip etmek, tıbbi, biyomedikal ve epidemiyolojik alanda bilimsel araştırmalar yürütmek ve kişilerin sağlık planlarını oluşturmak ile sağlık hizmetlerinin kalitesini değerlendirmek. Kullanıcılar ESF ile tıbbi ve farmasötik reçetelere, randevu, tıbbi kayıtlar, raporlar, hastane taburcu kartları, tıbbi sertifikalar ve muafiyetler, hasta özeti (sağlık profili), sağlık acil durum yönetim planı ve geçmiş reçeteleri dahil olmak üzere bir çok tıbbi belgeye ulaşabilecek. Tamamen kullanıcı rızasına dayalı olarak kullanılabilecek bu sistemde kullanıcılar rızalarını dilediği zaman geri çekme hakkına sahip.

 

22 Haziran 2020

İtalyan DPA Başkanı Soro: «Çin Hükümeti 10-15 Yaş Aralığındaki Çocukların Verilerine Ne Yapıyor Bilmiyoruz»

İtalyan Veri Koruma Kurumu Başkanı Antonello Soro Çin’de ortaya çıkan ve hızlı bir şekilde yayılarak 800 milyon kullanıcıya ulaşan TikTok’un özellikle 10-15 yaş arasındaki çocuk kullanıcıların verilerine ne yaptığını bilmediklerini, söz konusu verilerle algoritma oluşturarak bu yaş aralığındaki çocukları çok kolay etkilenebileceğini ve bu durumun bir ülke için tehlikeli sonuçlar doğurabileceğini belirtti.  Soro, konuya ilişkin Avrupa Veri Koruma Otoritesi’nin komite kurarak başvurucu Soro ve Tiktok’un dinlenmesine ilişkin kararını çekimser bir tavır olarak değerlendirdi. Tiktok’un işbirliğine açık olduğunu belirten Soro, her ne kadar CEO’su Amerikalı Kevin Mayer olsa da şirket merkezinin Çin’de yer alması ve Çin ile İtalya arasında gizlilik anlaşması bulunmaması nedeniyle Tİktok’un bu verilerle neler yaptıklarına dair bir bilgilerinin olmadığını belirtti. En azından Avrupa vatandaşlarına yönelik bir ihlalde somut adım atabilecekleri bir mekanizma beklentileri olduğunu açıkladı.

 

 

23 Haziran 2020

İtalyan Veri Koruma Kurumu  2019 Yılına İlişkin Faaliyet Raporu Yayımladı

İtalyan veri Koruma Kurumu (DPA) tarafından 2019 yılına ilişkin faaliyet raporu yayımlandı. 2019 yılında  öncelikle AB Yönetmeliği tarafından getirilen önemli yenilikler ve dijital dünyada insanların temel haklarının korunması ile ilgili ana meselelere odaklandıklarını belirten Kurum, yıl sonuna doğru COVID-19 ile birlikte sistem güvenliği ve siber alan koruması;  biyometrik verilerin işlenmesi gibi konularına yoğunlaştıklarını belirtti. Yayımlanan rapora göre 2019 yılında kamu ve özel kuruluşlar tarafından DPA’e bildirilen veri ihlallerinin sayısı 1443.

 

Fransa

 

5 Haziran 2020

Fransız Veri Koruma Kurumu StopCovid Uygulaması Hakkında Soru-Cevap Rehberi Yayımladı

CNIL StopCovid uygulaması hakkında soru cevap rehberi yayımladı. Rehberde yer alan bilgilere göre StopCovid, kullanıcılara pozitif veya riskli bireylerle yakın temasa geçmeleri halinde bildirim gönderen bir akıllı telefon uygulaması. Kullanıcıların rızasına bağlı olarak kullanıma sunulan uygulama bluetooth yardımıyla izleme yaparak kullanıcılara uyarı gönderiyor. Uygulamayı kullanan kişilerin anonim kalması için doğrudan isim soyisim gibi bilgiler kullanmadığı ancak cihazların IP kodlarının da mevzuat kapsamında kişisel veri olarak kabul edilmesi gerektiği bu nedenle bir veri işleme faaliyetinin söz konusu olduğu belirtildi. Bu haliyle amaçla ölçülü ve orantılı olarak verileri işlediğini belirten CNIL, uygulamanın COVID-19 ile mücadele etkili bir rol oynayacağının altını çizdi.

 

9 Haziran 2020

CNIL, Seçimlere Yönelik Değerlendirme Planı Hazırladı

CNIL 27 Kasım’da gerçekleşen Belediye Seçimleri akabinde aldıkları çok sayıda şikayet ve ihbar üzerine bir değerlendirme planı hazırladı. Rapora göre şikayetçilerin çoğu adaylar tarafından iletişim bilgilerinin nasıl ele geçirildiğine dair sorulara dayanıyor. CNIL, verilerin doğrudan ilgili kişiden değil de 3. partilerden alındığı durumlarda genel geçer (iş ortağımızdan alındı vb) ifadeler yerine kesin ve net bir şekilde verilerin alındığı kaynağın açıklanması gerektiğini belirtti. Belediye tarafından yerine getirilen işlerde elde edilen verilerin seçim propagandalarında kullanılamayacağını açıklayan CNIL, kişilerle iletişime geçilen yolların haklarını arayabilmelerine imkan tanıyan yollar olması gerektiğini de belirtti. Rapor açıklamasında, 2020 seçimlerinde bu hususlara dikkat etmeyen adaylar hakkında CNIL’in her türlü düzenleyici ve cezai yetkisini kullanacağının önemle altı çizildi.

 

9 Haziran 2020

Fransız Veri Koruma Kurumu  2019 Yılına İlişkin Faaliyet Raporu Yayımladı

CNIL, 2019 yılına ilişkin faaliyet raporunu yayımladı. Raporda yer alan verilere göre Fransız vatandaşlarının %68’i kişisel verilerinin korunması konusunda bir önceki yıla göre daha duyarlı olduklarını söylüyor. 2019’da CNIL’in web sitesine % 2,5 artışla 8 milyon ziyaret yapılarak sitede yer alan “Yardıma ihtiyacım Var” formu üzerinden 17,302 elektronik talebin cevaplandığı belirtiliyor. 2019’da 169 yerinde kontrol; 53 çevrimiçi kontrol; 45 adet kontrol; 18 duruşma olmak üzere toplam 300 inceleme gerçekleştirilen CNIL, Avrupa’daki bir veri koruma otoritesi tarafından telaffuz edilen bugüne kadarki en büyük para cezası da dahil olmak üzere, 2019 yılında toplam 51.370.000 € tutarında 7 para cezası  ve 5 ihtiyati tedbir cezası vermiştir.

 

11 Haziran 2020

Fransa E-Sağlık Uygulaması PDS, CNIL Tarafından Onaylandı

30 Kasım 2019’da resmi olarak oluşturulan Sağlık Veri Platformu (PDS), araştırmayı teşvik etmek için çok çeşitli kaynaklardan sağlık verilerinin paylaşılmasını kolaylaştırmayı amaçlamaktadır. Uygulama koşullarını açıklayan CNIL, bireysel özgürlüklerin getirdiği zorlukları ve bunlardan faydalanmak isteyen projeler için izlenecek kuralları hatırlattı. Platformun hedefinin yapay zeka teknolojisinin sağlık sektöründe kullanılması olduğunu belirten CNIL, amaçlarının  ulusal sağlık veri sisteminden (SNDS) veri toplamak, düzenlemek ve sunmak ve sağlık verilerinin kullanımında yeniliği teşvik etmek; hastaları bilgilendirmek, haklarının kullanılmasını teşvik etmek ve kolaylaştırmak; CNIL standartlarının geliştirilmesine katkıda bulunmak; gizlilik üzerinde düşük etki riski olan sağlık veri setlerinin sağlanmasını kolaylaştırmak; sağlık verilerinin değişimi ve kullanımı için standardizasyon sağlamak olduğunu belirtti.

 

17 Haziran 2020

Fransız Veri Koruma Kurumu’ndan Termal Kameralar  Hakkında Uyarı

CNIL son zamanlarda sıklıkla kullanılan akıllı kameralar ve termal kameralar hakkında dikkat edilmesi gereken hususları sıraladı. Buna göre içerisinde bulunduğumuz sağlık krizinin yönetiminde önemli bir rol alan bu kameraların vatandaşların hakları açısından risk oluşturabileceği bu nedenle söz konusu cihazların GDPR gerekliliklerini sağlaması gerektiği belirtildi. Bu gereklilikler;

 

  • Orantılılıklarının gösterilmesi;
  • Bir sınırlı bir raf ömrü  ;
  • takma adlandırma veya anonimleştirme önlemleri ;
  • bireysel izleme eksikliği

 

olarak sıralandı. CNIL, kişisel sağlık bilgilerinin veya biyometrik bilgiler  gibi hassas veriler işleniyorsa veya muhalefet hakkı mümkün değilse (örneğin, kameranın sokak taraması yapması gibi), Veri Koruma Kanunu 9. ve / veya 23. maddelerine uygun olarak, uyarlanmış bir yasal çerçeve oluşturulması gerektiğinin önemle

altını çizdi.

 

19 Haziran 2020

Bir Avrupa Veri Otoritesi Tarafından Verilen En Yüksek Ceza Olan CNIL – Google Kararı Danıştay Tarafından Onandı

Fransız Veri Koruma Otoritesi CNIL, 21 Ocak 2019 tarihinde şeffaflık, yetersiz bilgi ve reklamların kişiselleştirilmesi için geçerli rıza eksikliği nedeniyle Google’a 50 milyon Euro para cezasına hükmetmişti. Google tarafından cezaya itiraz edilerek Danıştay’a yapılan başvuru sonucunda Danıştay tarafından CNIL’in kararı onandı. Danıştay kararında GDPR’da düzenlenen tek pencere ilkesinin somut olay ile uyuşmadığını Google merkezinin Amerika’da yer aldığını bu nedenle CNIL’in ceza verme yetkisine haiz olduğunu belirtti. Söz konusu karar Avrupa Basını tarafından kişisel verilerin korunmasına dair Avrupa’da verilmiş en önemli ve emsal teşkil edecek bir karar olarak nitelendiriliyor.

 

19 Haziran 2020

Bir Avrupa Veri Otoritesi Tarafından Verilen En Yüksek Ceza Olan CNIL – Google Kararı Danıştay Tarafından Onandı

Fransız Veri Koruma Otoritesi CNIL, 21 Ocak 2019 tarihinde şeffaflık, yetersiz bilgi ve reklamların kişiselleştirilmesi için geçerli rıza eksikliği nedeniyle Google’a 50 milyon Euro para cezasına hükmetmişti. Google tarafından cezaya itiraz edilerek Danıştay’a yapılan başvuru sonucunda Danıştay tarafından CNIL’in kararı onandı. Danıştay kararında GDPR’da düzenlenen tek pencere ilkesinin somut olay ile uyuşmadığını Google merkezinin Amerika’da yer aldığını bu nedenle CNIL’in ceza verme yetkisine haiz olduğunu belirtti. Söz konusu karar Avrupa Basını tarafından kişisel verilerin korunmasına dair Avrupa’da verilmiş en önemli ve emsal teşkil edecek bir karar olarak nitelendiriliyor.

 

19 Haziran 2020

Bir Avrupa Veri Otoritesi Tarafından Verilen En Yüksek Ceza Olan CNIL – Google Kararı Danıştay Tarafından Onandı

Fransız Veri Koruma Otoritesi CNIL, 21 Ocak 2019 tarihinde şeffaflık, yetersiz bilgi ve reklamların kişiselleştirilmesi için geçerli rıza eksikliği nedeniyle Google’a 50 milyon Euro para cezasına hükmetmişti. Google tarafından cezaya itiraz edilerek Danıştay’a yapılan başvuru sonucunda Danıştay tarafından CNIL’in kararı onandı. Danıştay kararında GDPR’da düzenlenen tek pencere ilkesinin somut olay ile uyuşmadığını Google merkezinin Amerika’da yer aldığını bu nedenle CNIL’in ceza verme yetkisine haiz olduğunu belirtti. Söz konusu karar Avrupa Basını tarafından kişisel verilerin korunmasına dair Avrupa’da verilmiş en önemli ve emsal teşkil edecek bir karar olarak nitelendiriliyor.

 

19 Haziran 2020

Danıştay CNIL Tarafından Çıkarılan Çerez Yönergelerini İptal Etti

CNIL tarafından 4 Temmuz 2019 tarihinde, reklam hedefleme ile profesyoneller ve sivil toplum ile yürütülen istişareler sonucunda  çerez ve diğer izleyicilere yönelik birtakım yönergeler yürürlüğe konulmuştu. Danıştay tarafından yapılan denetim sonucunda yönergede yer alan “çerez duvarı” uygulamasının bu tür bir esnek yasa ile düzenlenemeyeceği bu nedenle söz konusu hükmün iptali gerektiğine karar verildi. CNIL, Danıştay tarafından verilen kararı uygulayacaklarını gelecekteki yönergelerinde bu tavsiyeleri dikkate alacaklarını açıkladı.

 

30 Haziran 2020

Fransız Veri Koruma Kurumu Gizlilik Ödülü «INRIA» için Başvurular Açıldı

CNIL tarafından gizlilik konusunda bu yıl 5. kez verilecek olan INRIA ödülleri için başvurular açıldı. Söz konusu ödül için CNIL tarafından belirlenen başlıklardan biri hakkında yazılan makaleler ile 18 Eylül’e kadar başvurulabilecek.

 

Türkiye

 

24 Haziran 2020

Banka Çalışanları Tarafından KKB Ekranlarına Yetkiyi Aşan Erişim, 1 Milyon TL ile Cezalandırıldı

Bir banka hakkında kuruma intikal eden ihlal bildirim üzerine Kurum tarafından inceleme başlatılmıştır. İnceleme sonucunda: bankanın 2 ayrı şubesinde toplam 3 personel tarafından, personellerin  kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı, bireysel nitelikteki kredi bilgilerine hukuka aykırı şekilde erişildiği banka müşterisi ve banka müşterisi olmayan kişilere ait KKB sorgulamaları için banka tarafından zamanında gerekli teknik ve idari tedbirlerin alınmadığı, ihlal fiillerinin başlangıç tarihleriyle tespit tarihleri arasında 18 ay bulunduğu, bunun da kişisel veri güvenliği takibinin düzenli olarak kontrol edilmediğinin  göstergesi olduğu  tespit edilerek veri sorumlusu banka hakkında 1.000.000 TL idari para cezası uygulanmasına karar verilmiştir.

 

24 Haziran 2020

Risk Merkezindeki Verileri İhlal Eden Faktöring Şirketlerine 1.4 Milyon TL İdari Para Cezası

Kuruma intikal eden ihbarda özetle; sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamaların kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Konu hakkında başlatılan inceleme çerçevesinde;  ihbara konu kişisel veri işleme faaliyetlerinde; Kanunun 4 üncü maddesinde sayılan genel ilkelere riayet edilmediği; söz konusu faaliyetlerin Kanunun 12 inci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak yükümlülüklerine aykırılık teşkil ettiği tespit edilmiş ve veri ihlalinin süresi, veri ihlalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak veri sorumlusu  faktöring şirketleri hakkında toplamda 1.400.000-TL idari para cezasına hükmedilmiştir.

 

24 Haziran 2020

Kişisel Verileri Koruma Kurumu Veri İhlali Bildiriminde Bulunan Oyun Şirketini, ihlalden Sorumlu Buldu

Bir oyun şirketinin veri ihlal bildirimi üzerine Kurum tarafından başlatılan incelemede oyun kullanıcılarının bilgilerine hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği, Hackerların, oyuncu verilerine erişim sağladıklarının log kayıtlarından tespit edildiği, etkilenen kişisel verilerin, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu, bulut sistemi bulunan veritabanına saldırganlar tarafından erişim sağlanmasının yapılan zafiyet testlerin yetersiz olmasından ve gerekli önlemlerin alınmamasından kaynaklandığı tespit edilerek Veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.00 TL idari para cezası uygulanmasına karar verilmiştir.