EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sektör Belirtilmemiştir sektörü ile ilgili kararlar

NAIH-2501-10/2022

15/05/2023

Konu: Veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından veri öznesi tarafından satın alma işleme kapsamında paylaşılan kişisel verilerin kaydedilerek ilerleyen süreçte ilgili kişi ile iletişime geçilmesi söz konusudur. Veri Koruma Otoritesi tarafından yürütülen soruşturma kapsamında veri sorumlusunun veri öznesinin kişisel verilerinin işlenmesiyle ilgili olarak bilgi sağlama yükümlülüğünü ihlal ettiğini tespit edilmiştir. Bununla birlikte veri öznelerine ait e-posta adresleri Facebook ve Google tarafından yürütülen hedefli reklamcılık faaliyetleri kapsamında kullanılmakta olup, veri öznelerine bu konu hakkında şeffaf bir bilgilendirme yapılmamıştır. Veri Koruma Otoritesi tarafından yapılan değerlendirmede veri sorumlusunun GDPR’ın ilgili maddelerini ihlal etmesi nedeniyle para cezası verilmesine hükmedilmiştir.

Ceza: HUF 30 Milyon (Yaklaşık 73,171 Euro) para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

NAIH-5802-9/2022

15/05/2023

Konu: Veri sorumlusu şirket tarafından kişisel verilerin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

Karara konu olayda veri öznelerinin veri sorumlusu şirket tarafından kendilerine bildirim gönderilmesine rıza göstermemesine rağmen gönderim yapılması söz konusu olduğu tespit edilmiştir. Veri Koruma Otoritesi tarafından yapılan değerlendirmede veri sorumlusu şirketin kişisel verilerin işlenmesi için hukuka uygunluk sebebi olarak “rıza” ya dayanmasının geçerli olmadığına karar verilmiştir. Bununla birlikte Veri Koruma Otoritesi kararda veri sorumlusu tarafından veri öznelerine bilgilendirme yapılmaması ve toplanan kişisel verilerin belirli, açık ve meşru amaçlar için toplanmadığını incelenmiştir. Veri Koruma Otoritesi veri sorumlusu şirketin veri öznelerine GDPR’ın 14(2) e maddesinde belirtildiği üzere denetim makamına şikayette bulunma hakkı konusunda bilgi vermediğini vurguladı. Veri Koruma Otoritesi veri sorumlusunun GDPR uyarınca ihlal ettiği maddeler uyarınca para cezası verilmesine hükmetmiştir.

Ceza: HUF 80,000,000 (Yaklaşık 195,010 Euro) para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

17/01281

12/12/2022

Konu: İlgili kişinin kişisel verilerinin üçüncü kişilerle paylaşılması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi , özel kamera gözetim görüntülerinin yasa dışı kullanımı olduğunu söylediği için yerel bir misyoner örgütüne kınama yayınlamıştı. Mahremiyet Temyiz Kurulu, misyoner örgütün söz konusu kişisel verileri işlemek için gerçekten yasal dayanakları olduğu sonucuna vararak bu kararı bozmuştur. İlgili dava, bir çatışma yaşayan komşu A ve B’nin etrafında dönmektedir. B, mülküne güvenlik kamerası yerleştirmiş ve bazı görüntüler A’nın B’ye yönelik görünüşte taciz edici davranışını ortaya çıkarmıştır. B, bu görüntüleri A’nın yönetim kurulu üyesi olduğu yerel bir misyoner örgütünün yönetim kurulu üyesi C ile paylaşmıştır. C ayrıca örgütün başkanı D’yi de dahil etmiştir. İzledikleri görüntülere dayanarak, C ve D, A’nın yönetim kurulu üyesi olmaya uygun olup olmadığını sorgulamış, görüntüleri A’ya ve (A’nın orada olmasını istediği) eşine sunmuş ve bazı tartışmaların ardından A, kuruldan çekilmiştir. A, daha sonra, güvenlik kamerası görüntülerinde kişisel verilerinin haksız ve hukuka aykırı olarak işlenmesi nedeniyle Otorite’ye şikayette bulunmuştur.Veri Koruma Otoritesi tarafından, meşru menfaatin gerekli üç unsuru gözden geçirildikten sonra, bu durumun gerçekleşmediğine karar verilmiştir. 1) İlk olarak, Otorite, misyoner organizasyonun kişisel verileri işlemek için meşru bir menfaati olduğu sonucuna varmıştır. 2) İkinci olarak, bununla birlikte, bu ilgiyi elde etmek için işlemenin “gerekli olmadığını” ve bu nedenle, dengeleme testinin veri konusunun (bu durumda “A”) lehine sonuçlanması gerektiğine karar vermiştir. Aksine, Norveç Mahremiyet Temyiz Kurulu, görüntüleri izlemek için gerekli görüldüğünden, meşru menfaatin ikinci koşulunun gerçekten yerine getirildiği değerlendirmesinde bulunmuştur. Ayrıca, görüntüleri yalnızca C, D, A’nın kendisi ve eşi (talebi üzerine) izlediğinden, A’ya verilen zararın az olduğu düşünülmüştür. Mahremiyet Temyiz Kurulu tarafından, misyoner kuruluşun söz konusu kişisel verileri işlemek için Madde (6)(1)(f) uyarınca yasal dayanakları olduğuna karar verilmiştir.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00324/2020

18/10/2022

Konu: Veri sorumlusunun kişisel verileri içeren bir e-postayı ilgili kişinin izni olmadan üçüncü kişilerle paylaşması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından yapılan bir başvuruda, ilgili kişinin kişisel verilerini içeren bir e-postanın veri sorumlusu tarafından ilgili kişinin rızası olmadan bir üçüncü kişiye paylaşması sonucu şikayette bulunulmuştur. Veri koruma otoritesi veri sorumlusuna bilgi talebi gönderdi ama yanıt gelmedi. Sonrasında veri koruma otoritesi yaptırım prosedürü başlatmıştır. Veri koruma otoritesi tarafından yapılan incelemelerde veri sorumlusunun gizlilik ilkesine ihlal ettiği tespit edilmiştir ve para cezası verilmiştir.

Ceza: 10.000 EURO para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2021-07812

26/07/2022

Konu: Veri sorumlusunun eski müşterilerine doğrudan pazarlama mesajı göndermek için yasal dayanak olarak meşru menfaate güvenmesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir veri sorumlusunun belirli koşullar altında eski müşteriler de dahil olmak üzere doğrudan pazarlama mesajı göndermek için meşru menfaate dayanmasına, Kişisel Verileri Koruma Kanunu Açıklama 47 ve Doğrudan Pazarlamaya İlişkin 01/2020 Rehberi uyarınca izin verildiğine karar verildi. Kılavuzda, veri sorumlusu ile veri sahibi arasında herhangi bir ilişki olmadığında veya uzun bir süre geriye gittiğinde, doğrudan pazarlama ilgili kişinin makul beklentilerinin bir parçası olmadığı için meşru menfaatin ileri sürülemeyeceği belirtilmiştir. Veri Koruma Otoritesi, veri sorumlusu ile veri sahibi arasındaki ilişki yaklaşık iki yıl önce, yani çok uzun zaman önce sona ermediği için aksine, ilgili kişinin verilerinin doğrudan pazarlama için kullanılmasını makul bir şekilde bekleyebileceğini izledi. Dolayısıyla, veri sorumlusu meşru menfaati yasal bir dayanak olarak kullanabilir. Ek olarak, veri sorumlusu, doğrudan pazarlamaya yönelik işlemin hizmetin iptal edilmesinden sadece iki yıl sonrasına kadar yapıldığını doğrulamıştır. Bu nedenle ihlal bulunamamış ve dava reddedilmiştir. Veri Koruma Otoritesi, ilişki “çok uzun zaman önce” sona ermemişse ve veri sahibi bu işleme itiraz etmemişse, veri sorumlusunun eski müşterilere doğrudan pazarlama göndermek için yasal dayanak olarak meşru menfaate güvenebileceğine karar vermiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-01492

19/07/2022

Konu: Veri sorumlusu tarafından sağlıkla ilgili kişisel verileri hukuka aykırı olarak üçüncü taraflara ifşa edilmesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, ilgili kişinin bulunmadığı bir toplantıda, yöneticisinin ayrıldığı duyurularak şirket doktoru tarafından verilen, çalışmaya uygun olmadığını ve şirketten ayrılacağını belirten bir belge okunmuştur. Bu açıklama, o toplantının tutanaklarında da yer almıştır. Yani, ilgili kişinin sağlıkla ilgili kişisel verileri üçüncü taraflara ifşa edilmiş, tutanakların daha sonra veri sorumlusunun sunucusuna kaydedilmiş ve diğer departmanlar da dahil olmak üzere tüm personelinin ücretsiz olarak erişebileceğini eklenmiştir. Veri Koruma Otoritesi, ilgili kişinin; çalışmaya uygun olmadığına dair bilgilerin işlenmesinin yasallığına değil, daha sonra sağlığı hakkında meslektaşlarına ve diğer personel üyelerine iletilmesine itiraz ettiğini, tutanakların veri sorumlusunun sunucusunda gerçekten kullanıma sunulup sunulmadığını doğrulayamadığını kaydetti. Ancak durum böyle olsaydı, bu ek bir işleme faaliyeti anlamına gelecek ve aşağıdaki ihlal bulguları geçerli olacaktı. Veri Koruma Otoritesi, ilk olarak sonraki işlemenin orijinal işlemenin amacı ile uyumlu olup olmadığını değerlendirdi. Orijinal işlemenin amacının personel yönetimi olduğunu tespit etti. Veri Koruma Otoritesi, ilgili kişinin, aynı verilerin personel yönetimi için yetkilendirilmiş kişilerin ötesine geniş bir şekilde iletilmesini, özellikle verilerin hassas doğası göz önüne alındığında makul bir şekilde bekleyemeyeceğini belirterek bu nedenle sonraki işlemenin orijinal işlemenin amacı ile uyumlu olmadığına karar verdi. Daha sonraki işleme, orijinal işlemenin amacı ile bağdaşmadığından ayrıca ilgili kişinin sağlıkla ilgili verilerini işlemek için uygun bir yasal dayanak olmadığından dolayısıyla amacın sınırlandırılması ilkesini ihlal ettiğine karar vermiştir. Veri Koruma Otoritesi, veri sorumlusuna karşı bir kınama yayınlayarak ve bir kamu makamı olması nedeniyle para cezası vermeye yetkili olmadığına karar vermiştir.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-02892

01/04/2022

Konu: Veri sorumlusu tarafından iş sözleşmesinin feshinin ardından veri sahibi eski bir çalışanın bilgisayarındaki verileri geri yükleyip ilgili kişinin erişim, silme, kısıtlama ve itiraz haklarını ihlal etmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi, alınan başvuru sonucunda kişisel veri işleme için yasal bir temelin kısmen yokluğu nedeniyle ihlalin varlığını tespit etti. İşten çıkarılma durumunda işverenin, kişisel veri teşkil eden e-posta adreslerini, e-posta kapanış tarihini sahiplerine ve üçüncü kişilere bildirdikten sonra silmesi zorunluluğu aynı zamanda, sahiplerin herhangi bir özel iletiyi kişisel posta kutularına tasnif etmelerine ve aktarmalarına izin vermeyi amaçlamaktadır. İçeriğin bir kısmının alınması gerekiyorsa bu işten çıkarmadan önce ve ilgili kişinin yardımıyla yapılmalıdır. İkinci olarak, erişim hakkının, silme hakkının, işlemeyi kısıtlama hakkının ve itiraz hakkının ihlal edildiği tespit edildi. Veri sorumlusu, ilgili kişinin taleplerine göre hareket etmeyi reddederek, ilgili kişinin haklarını önemli ölçüde ihlal etmiştir. Ayrıca veri sorumlusunun, veri işleyicisiyle bir işleme anlaşması olmadığı için GDPR’nin 28. maddesinin ihlal edildiğine karar verilmiştir.

Ceza: 7500 Euro ceza verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-04973

17/03/2022

Konu: Veri sorumlusu tarafından veri sahibi olan eski bir müşterisinin kişisel verilerin silinmesi talebi dikkate alınmayarak kişisel verilerinin silinmemesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi kendisine yapılan başvuru üzerine, ilk olarak talepleri yönetme prosedürünün, bu tür hataların tekrarlanmaması için gözden geçirildiğini ve uyarlandığını kaydetmiş, ikinci olarak ilgili kişinin erişim talebinde bulunmadığı ancak verilerin silinmesine ilişkin bilgi talebinde bulunduğu konusunda veri sorumlusuyla mutabıktır. Bir hakkın kullanılmasına ilişkin talebin, bu durumda erişim hakkının eksik veya yanlış formüle edilmesinin, bu hakka ilişkin işlem yapılmaması için bir neden olamayacağını, ilgili kişilerin objektif olarak verilerin erişimine değil, silinmesine ilişkin talepte bulunduklarına karar vermiştir. Veri sorumlusu, ilgili kişinin talebini takiben alınan önlemler hakkında bilgi vermediği için GDPR ilgili maddenin ihlal edildiği yönünde ve buna yönelik kınama cezasına karar verilmiştir.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

175-12/2022

02/03/2022

Konu: Veri sorumlularının, ilgili kişilerin rızası olmadan kişisel veri toplaması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesinin vermiş olduğu bir kararda; veri sorumlusu olan kurul ve başkanı hem çevrimiçi hem de kağıt üzerinde zorunlu aşılamanın getirilmesine ilişkin bir imza kampanyası başlatmış, kampanyanın amacına ek olarak, imza/ilgili kişilere, Başkan’ın siyasi faaliyetleri hakkında bilgilendirilmeleri ve onlarla temasa geçmeleri için onay verme seçeneği vermiş, böylece siyasi sempatileri belli olmuştur. Otorite; veri sorumlularının, kişisel verileri geçerli bir rıza olmaksızın ve ayrıca ilgili kişilerin siyasi görüşlerini ortaya çıkaran kişisel verilerin GDPR kapsamında özel bir kişisel veri kategorisi oluşturduğundan açık rıza gereklilliklerini yerine getirmeden ve dolayısıyla yasal bir dayanak olmaksızın işlemeleri, veri sorumluların iki faktörlü kimlik doğrulama kullanmamaları ve gizlilik politikalarının yanıltıcı olması, ilgili kişileri veri işleme amaçları ve veri sorumlusunun kimliği hakkında yanıltıp GDPR Madde 5(1)(a) uyarınca adalet, kanuna uygunluk ve şeffaflık ilkelerini ihlal etmeleri nedenleriyle; mevcut bir sosyal meseleyi, çok sayıda ilgili kişiyi ve ihlalin süresini ve ihlallerin önemini göz önünde bulundurmuş ve veri sorumlularının her ikisine de para cezası vermiştir. Ayrıca veri sorumlularından, ilgili kişilerden geçerli izinleri almalarını, alamadıkları takdirde de ilgili kişisel verileri silmelerini emretmiştir ve gelecek ilgili kişilerin verilerini aynı şekilde yönetilmesini yasaklamıştır.

Ceza: 8.000 Euro para cezası verilmiş ve ihlal konusu verilerin silinmesi emredilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-00727

08/12/2021

Konu: Veri sorumlusu tarafından, veritabanının yasal olarak toplandığından emin olmadan bir veritabanı satın alınması ve kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sahiplerinin kişisel verilerinin işlenmesine itiraz etme ve kişisel verilerinin silinmesini talep etme hakları da vardır. ilgili kişinin kişisel verilerinin dolaylı olarak toplanmasını ve amaçlanan işlenmesini takiben ilgili kişilere bilgi verilmediği tespit edilmiştir. Veri Koruma Otoritesi, veri sorumlusunun veri sahibine bir talep göndererek bu hakların her birini kullandığını ve GDPR şeffaf bilgilendirme yükümlülüğü uyarınca veri sorumlusunun bu talepleri zamanında ve kapsamlı bir şekilde ele alması gerektiğini gözlemlemiştir. Özellikle, ilgili kişinin itirazına ve silme talebine cevaben veri sorumlusunun hangi önlemleri almayı planladığı konusunda bilgi verilmiş olmalıdır. Veri Koruma Otoritesi, pazarlamayla ilgili işleme durumunda itiraz hakkının mutlak olduğunu ve verilerin ancak ayrı bir yasal dayanakla farklı bir amaç için işlenmişse saklanabileceğini vurguladı. Ancak bu davada ayrı bir yasal dayanak yoktur. Veri Koruma Otoritesi, ayrıca, veri sorumlusuna, işlemenin GDPR’ye uygun olarak yapılmasını sağlamak için yeterli teknik ve organizasyonel önlemleri alma yükümlülüğünü belirtmiştir. Bu itibarla veri sorumlusu, satın aldığı veri tabanının yasal ve uyumlu bir şekilde toplanmasını sağlamalıydı. Ancak bu davada, Veri Koruma Otoritesi, Davalı’nın veritabanını satın almadan ve kullanmadan önce durum tespiti yapmadığını tespit etti. Sonuç olarak, Veri Koruma Otoritesi ayrıca veri sorumlusu tarafından kontrolör sorumluluğu uyarınca ihlal tespit etti.
Veri Koruma Otoritesi,ilgili kişinin talebini iki kez görmezden gelindiği gerçeğini dikkate almış ve bu gerçeği ağırlaştırıcı bir faktör olarak değerlendirmiştir. Bununla birlikte, Veri Koruma Otoritesi, Davalı’nın, ilgili kişinin kişisel verilerini nihai olarak sildiğini ve kişisel verileri nasıl elde ettiğini (biraz gecikmeyle de olsa) bildirdiğini de dikkate almıştır; bu hafifletici bir faktör olarak kabul edilmiştir.Sonuç olarak, hafifletici ve ağırlaştırıcı faktörler de dahil olmak üzere davanın tüm gerçeklerini göz önünde bulundurularak 30 gün içinde işleme uygulamalarını GDPR ile uyumlu hale getirmesi için veri sorumlusu aleyhine bir ihtiyati tedbir kararı verdi.Veri Koruma Otoritesi,bu gerekçelerle veri sorumlusunun erişim hakkını, itiraz hakkını ve silme hakkını ihlal ettiğini tespit etti.Veri Koruma Otoritesi tarafından ,veri sorumlusu bu veritabanının yasal olarak toplandığından emin olmadan bir veritabanı satın aldığı ve kullandığı için ve bilgi edinme hakkı , itiraz hakkı ve kişisel verilerin silinmesi hakkı dahil olmak üzere veri sahiplerinin haklarına saygı göstermediği için 10.000 Euro para cezasına çarptırıldı.

Ceza: 10.000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 71234567

Türkçe dilinde GDPR karar özetlerini görmek ister misin?