EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Belediye sektörü ile ilgili kararlar

2022/140

15/05/2023

Konu: Veri sorumlusu belediye tarafından mültecilere ait kişisel verilerin hukuka aykırı olarak işlenmesi

Kararı Paylaşın

Karar Özeti:

Karara konu olayda Veri Koruma Otoritesi veri sorumlusu belediye tarafından mültecilere ait kişisel verilerinin formlar yoluyla detaylı olarak toplanması söz konusudur. Veri Koruma Otoritesi tarafından yapılan değerlendirmede mültecilerin savunmasız kişiler olarak değerlendirilmesine rağmen belediye tarafından Veri Koruma Etki Değerlendirmesi yapılmaması, teknik ve organizasyonel önlemler alınmaması vurgulanmıştır. Bununla birlikte belediyenin illgili kişilere hakları konusunda ve denetim makamına başvuru konusunda bilgilendirme yapmaması ve Veri Koruma Görevlisinin bulunmamasına değinilmiştir. Bu kapsamda Veri Koruma Otoritesi tarafından GDPR’ın ihlal edilen maddeleri kapsamında veri sorumlusunun para cezası ödemesine hükmedilmiştir.

Ceza: 170,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9815665

15/05/2023

Konu: Veri sorumlusu tarafından veri öznesine ait verilerin aleni olarak yayınlanması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından yapılan değerlendirmeler sonucunda veri sorumlusu tarafından paylaşılan bilgilerin veri öznesinin “belirlenebilir” kılınmasını sağladığı ve bu nedenle “kişisel veri” olduğuna karar verilmiştir. Bununla birlikte veri sorumlusu tarafından kişisel verilerin aleni olarak paylaşılması için somut olayda hukuka uygunluk sebebi yer almadığı değerlendirilmiştir. Bu kapsamda Veri Koruma Otoritesi GDPR’ın ilgili maddelerini ihlal etmesi nedeniyle veri sorumlusuna para cezası verilmesine hükmetmiştir.

Ceza: 3,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Fine against Lejre Municipality

15/05/2023

Konu: Veri sorumlusu tarafından veri ihlalini önlemeye yönelik yeterli teknik ve idari tedbir alınmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, belediyenin bir departmanının, kişisel verileri içeren ayrıca çocukların ve yetişkinlerin hassas verilerini de kapsayan toplantı tutanaklarının belediyenin tüm çalışanlarının herhangi bir kontrol olmadan erişim sağlayabilecekleri bir portala yüklediği, polis tarafından yapılan gerekli incelemeler sonucu tespit edildi.Veri Koruma otoritesi tarafından, veri sahiplerini ihlal ile ilgili bilgilendirmeyen Belediye hakkında gerekli ve uygun önlemleri alma yükümlülüğünü yerine getirmediği ve bir erişim kontrol sistemi kurması gerektiği tespit edildi. Belediye hakkında veri sorumlusu olarak uygun güvenlik önlemlerini alma yükümlülüğünü yerine getirmediği için belirli bir miktar para cezası verilmesine karar verilmiştir.

Ceza: 6,725 Euro ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00314/2021

12/10/2022

Konu: Veri sorumlusunun veri koruma görevlisi atamamış (DPO) olması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen bildiriye göre; belediye, bir DPO’dan yoksundur. Verilerin korunmasının güvenliği ile ilgili olan görevleri önce geçici olarak belirli bir kişiye verildi, ancak daha sonra tamamen yerine getirilmeleri durduruldu. Veri koruma otoritesi, veri sorumlusunun GDPR Madde 37’nin gerektirdiği şekilde bir DPO’ya sahip olmadığını tespit etti. Bunun üzerine AEPD belediyeyi kınadı.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

PS/00224/2021

12/10/2022

Konu: Veri sorumlusunun veri minimizasyonu ilkesini dikkate almaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda belediyenin taktırdığı halka açık otoyola dönük olan iki kameranın bilgilendirmesini içeren posterlerin yeterince açıklayıcı olmadığı sebebiyle araştırma başlatıldı. İnceleme sonucunda kameraları haklı bir neden olmaksızın kamuya açık alanları kaydetmek için kasıtlı veya ihmalkar bir şekilde konumlandırarak ve bu nedenle tanımlanabilir verileri işleyerek belediyenin birtakım ihlaller yaptığı kanısında bulunuldu. Bu nedenle, 1500 EURO para cezasının yanında kameraları GDPR’a uymaları için hareket ettirmelerini emredildi.

Ceza: 1,500 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Lolland Kommune

11/08/2022

Konu: Veri sorumlusu tarafından yeterli teknik ve idari önlemin alınmaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir belediyedir. Belediyenin bir çalışanının Aralık 2020’de cep telefonu çalınmıştır. Telefonu çalışan manuel olarak devre dışı bıraktığı için telefon erişim koduyla korunmuyordu böylelikle birçok vatandaşın isimleri, sosyal güvenlik numaraları, sağlık bilgileri ve madde bağımlılıkları hakkında bilgi içeren iş e-posta hesabına erişmek için kullanılabiliyordu. Belediye, çalışanlarının birkaç yıl boyunca manuel olarak erişim kodlarını devre dışı bırakabileceklerini belirtti. Yapılan incelemeler sonucunda, belediyenin yeterli teknik ve idari tedbiri almadığı belirlendi.

Ceza: 6.700 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9778996

28/04/2022

Konu: Veri sorumlusunun ilgili kişinin rızasını almaksızın kişisel verilerini web sitesinde yayınlaması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu olan belediye bünyesinde düzenlemiş olduğu bir yarışmanın prosedürlerini ve yarışmadan men edilen adayların isimlerini paylaştı. Men edilen adaylardan birinin şikayeti üzerine İtalya Veri Koruma Otoritesi soruşturma başlatı. Yapılan soruşturmanın neticesinde Otorite, veri sorumlusunun kişisel verileri yasal bir dayanak olmaksızın işleyerek yasallık ilkesini ihlal ettiğine karar verdi. Genel olarak İtalya idare hukukunun yalnızca kamu idarelerinin rekabet prosedürlerini ve kazananların kimliğini kamuya açıklamasını gerektirdiğini belirtti. Veri sorumlusunun, men edilen ilgili kişinin adını ifşa etme konusunda yasal bir yükümlülüğü bulunmamaktadır. Otorite, kendi yönergelerinin ve içtihat hukukunun aynı yaklaşımı desteklediğine dikkat çekti. Son olarak, Otorite, veri sorumlusunun ilgili kişinin silme talebini reddederek GDPR kapsamındaki silme hakkını ihlal ettiğine karar verdi. İşbu ihlaller neticesinde veri sorumlusuna para cezası verilmesine karar verilmiştir.

Ceza: 3.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9777996

28/04/2022

Konu: İşleyicinin veri sorumlusunun bilgisi olmadan kamera kayıt sistemi kurması ve elde edilen görüntülerden bazılarının sosyal medyada paylaşılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu belediye atık toplama işlerini yapması için başka bir kamu kuruluşu ile anlaşmıştır. İşleyici olan bu atık toplama şirketi yasa dışı eylemleri tespit etmek ve cezalandırmak için bir kamera sistemi kurmuştur. Elde edilen video kayıtlardan bazılarının bir sosyal medya platformunda yayınlanmasının üzerine İtalya Veri Koruma Otoritesi soruşturma başlatmıştır. Yapılan soruşturma neticesinde Otorite işleyiciye söz konusu kamera sistemi hakkında veri sorumlusunun onayını almadan önce kamera sisteminin tedarikçisiyle iletişime geçtiği tespit olunmuştur. Otoriteye, kamu kurumlarının yasal bir yükümlülüğün yerine getirilmesi veya kamu yararına bir görevin yerine getirilmesi için kişisel verileri yasal olarak işleyebileceğini belirtti. Ayrıca, işleme yasal olsa bile GDPR madde 5’te belirtilen ilkelere uygun olması gerektiğini söyledi. Videoların Facebook sayfasına yerleştirilmesi için yasal bir dayanak bulunmadığından işlemcinin “yasallık, doğruluk ve şeffaflık” ilkelerini ihlal ettiğine karar verildi. Otorite ayrıca, veri sorumlusunun “amaç sınırlaması” ilkesini ihlal ettiğine karar vermiştir. Son olarak, Otorite, işleyicinin 37. madde uyarınca bir veri koruma görevlisi atamadığını tespit ettiği için işleyicinin 28. maddeyi ihlal ettiğine karar vermiştir. Veri Koruma Otoritesi, işbu ihlaller nedeniyle işleyiciye para cezası verilmesine karar verilmiştir..

Ceza: 200.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021-423-0235

26/04/2022

Konu: Veri sorumlusu tarafından gerekli teknik ve idari tedbirlerin alınmaması.

Kararı Paylaşın

Karar Özeti:

Birçok ulusal belediyenin veri uygulamalarını incelendi. İncelemeler özellikle okul bölgelerindeki çocukların ve gençlerin kişisel verilerini yönetme hakları üzerineydi. Bir belediyeyle bağlantılı olarak işine son verilen çalışanların elektronik vaka ve belge yönetimine erişim haklarını geri çekip çekmediğini incelendi. Yöneticilerin erişim hakları gizliliğini düzenleyen el kitabına sahip oldukları görüldü. Yine de bir olayda, kontrolörün işine son verilen bir çalışanın hala aktif kullanıcı hesabı olup olmadığını takip eden prosedürün olup olmadığını izlemediğini bulundu. Ayrıca istifa eden çalışanların SBSYS sistemine erişimleri olduğunu varsayılıyor. Yapılan incelemeler sonucunda, veri sorumlusunun her zaman veri işleme risklerini belirterek, bu risklere karşı önlem alması gerektiği belirtildi. Bazı güvenlik önlemleri tipik olarak sisteme erişim hakkını sadece işle ilgili kullanıcılara ayrılmış bilgi erişimini sağlamalı. İkinci olarak iş akdinin sona ermesi üzerine erişim haklarının devre dışı bırakılıp bırakılmadığını etkin olarak takip eden sistem getirilmelidir, dendi.

Ceza: Belirtilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

9773950

07/04/2022

Konu: Veri sorumlusunun ilgili kişinin rızasını almaksızın ilgili kişinin görüntülerini toplaması hakkında.

Kararı Paylaşın

Karar Özeti:

İtalya’da bir belediye, yasa dışı atık bırakma eyleminin önüne geçmek için belirli bölgelere tuzak kamera sistemi kurmuştur. İlgili kişilerden birinin şikayeti üzerine İtalya Veri Koruma Otoritesi kurum hakkında soruşturma başlatmıştır. Yapılan soruşturma neticesinde Otorite, veri sorumlusunun kamera sistemini kurmadan evvel bir gizlilik politikası benimsemediğini ve GDPR ile uyumluluğu sağlamak için teknik ve organizasyonel önlemleri uygulamadığını belirtti. Veri sorumlusu bunu yaparak, yasallık, adalet ve şeffaflık, depolama sınırlaması ve hesap verebilirlik ilkelerini ihlal etmiştir. Otorite ayrıca, ilgili kişileri kamera sistemi hakkında bilgilendirmeyi ve ilgili kişiye gerekli olan herhangi bir bilgiyi sağlamayı ihmal ederek, veri sorumlusunun bilgilendirme görevlerini ihlal ettiğine karar vermiştir. Ek olarak, Otorite, Veri sorumlusu veya işleyici veri koruma görevlisinin irtibat bilgilerini yayımlamak ve denetim makamına iletmekle yükümlü olduğundan dolayı GDPR’a aykırı hareket edildiğine hükmetmiştir. Otorite , Veri sorumlusunu para cezasına çarptırdı ve veri koruma görevlisinin yeni ve doğrudan iletişim bilgilerini sağlamasını emretti.

Ceza: 20.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 512345

Türkçe dilinde GDPR karar özetlerini görmek ister misin?