EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

STK sektörü ile ilgili kararlar

PS/00341/2019

18/10/2022

Konu: İlgili kişinin itirazına rağmen siyasi propaganda posta alması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, ilgli kişi veri sorumlusu tarafından siyasi propaganda içeren posta istemediğine ve bu amaçla verilerinin işlenmesine itiraz etmiş olmasına rağmen yine de bu tür postaların gönderilmesi sonucu şikayette bulunmuştur. Bu itiraz veri sorumlusuna iletilmiş ancak silme işleminden sorna yine de posta gönderilmeye devam edilmiş. Veri koruma otoritesinin yaptığı soruşturmalarda ilgili kişinin itiraz hakkının kullanmış olmasına rağmen veri sorumlusu tarafından bu tür postaların gönderilmesine meşru bir amaç olmadığını ve ilgli kişinin itiraz etme hakkının ihlal edildiğini belirtmiştir.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00131/2020

12/10/2022

Konu: Veri sorumlusunun uygulama sürecinde olan biyometrik tanımlama sistemi hakkında çalışanlarını yeterince bilgilendirmemesi

Kararı Paylaşın

Karar Özeti:

Bir eğitim merkezindeki bir grup çalışan, Bölgesel Halk Eğitimi ve Üniversiteler Departmanı hakkında, Veri Koruma Otoritesi’ne başvuruda bulundu. Departman, çalışanları için bir biyometrik kimlik sistemi uygulama sürecindeydi. Böyle bir sistem, merkezin öğretmenleri için gönüllü bir kimlik belirleme yolu olacaktı. Yapılan incelemeler sonucunda Veri Koruma Otoritesi, veri sorumlusunun çalışanları biyometrik sistem hakkında yeterli bilgilendirme yapmadığını tespit etti. Çalışanlar GDPR ‘ın 13’üncü Maddesinde belirtilen bilgileri sorduğunda, kişisel verilerin veri koruma yasasına uygun olarak işlendiğini ve hizmet sağlayıcılarla yapılan sözleşmelerin de uyumlu olduğunu söyleyen genel bir yanıt aldılar. Veri Koruma Otoritesi, özellikle biyometrik veriler gibi hassas nitelikteki kişisel verilerin işlenmesi ışığında, ne işçilere sağlanan bilgilerin ne de bu tür bilgilere yönelik sonraki taleplerine verilen yanıtın uygun olmadığını belirtmiştir. Veri Koruma Otoritesi, veri sorumlusuna sadece uyarıda bulunmuştur. Veri sorumlusu uyarıya uyum sağlamak amacıyla işlemeyi ve sistemin kullanımını durdurdu ve toplanan tüm verileri sildi.

Ceza: Cezai yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

DOS-2018-03944

29/04/2022

Konu: Veri sorumlusu tarafından gerekli veli izni olmaksızın, harici yayın amacıyla çocuğun fotoğraflarının çekilmesi, alıcıların e-posta adreslerinin ifşa edilmesi, alıcıların yasal bir dayanak olmaksızın alıcıları bağışta bulunmaya davet eden bir haber bülteni göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından incelenen başvuruda, diğerlerinin yanı sıra, e-postanın yalnızca küçük bir grup tarafından alınması durumunda, veri sorumlusunun bir e-postanın alıcılarının BCC yerine CC’de listelenmesinden kaynaklanan bir veri ihlalinin bildirmek zorunda olmadığına karar verdi. Şikayetin, oğlunun fotoğraflarının çekilmesiyle ilgili olarak veri sorumlusunun ihlalini tespit etmek için yeterli kanıt sağlamadığını tespit etti. Veri Koruma Otoritesi, çocuklara ait görsel materyalin veri sorumlusu tarafından kamuya açıklanacağı varsayımsal durumunda resimlerin yayınlanması için meşru bir menfaat veya yasal zorunluluk olmadığında, velilerinin veya yasal vasinin ön onayının veya en azından belirli izninin vazgeçilmez olduğuna karar verdi. Ayrıca, veri sorumlusunun bir kamu makamı olarak kişisel verilerin işlenmesi için meşru menfaati yasal bir dayanak olarak ileri süremeyeceğine karar vermiştir. Veri Koruma Otoritesi, e-posta adreslerini ifşa etmek için yasal bir dayanağı olmadığı için veri sorumlusu tarafından ihlalin varlığı sonucuna varmıştır. Ayrıca, Veri Koruma Otoritesi, CC kullanımının bir veri ihlali anlamına geldiği, ancak maruziyetin e-posta adresleri ve küçük bir alıcı grubuyla (16 kişi) sınırlı olması nedeniyle veri sahiplerinin hak ve özgürlükleri için bir risk oluşturmadığı sonucuna varmıştır. Bu nedenle veri sorumlusunun GDPR Madde 33(1) uyarınca veri ihlalini Veri Koruma Otoritesi’ye bildirmek zorunda olmadığını tespit etti. Veri Koruma Otoritesi, haber bülteniyle ilgili olarak kısmen veri sorumlusunun yasal dayanak olarak onay aldığı doğrudan pazarlama olarak değerlendirdi. Bununla beraber Veri Koruma Otoritesi, veri sorumlusunun veri öznelerini haber bülteninin amaçları hakkında kendi gizlilik politikasında bilgilendirirken, temel misyonu ile ilgili iletişimler ile pazarlama iletişimleri arasında net bir ayrım yapmadığını kaydetti. Bu nedenle Veri Koruma Otoritesi, veri sorumlusunun GDPR’nin 12 ve 13. Maddelerini ihlal ettiğine karar verdi.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-03499

15/03/2021

Konu: Bir eğitim kurumunun idari para cezası almaktan muaf olmadığına karar verilmesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından incelenen bu karar, Uyuşmazlık Çözüm Dairesi’nin 16 Haziran 2020 tarihli APD/GBA – 31/2020 tarihli kararının yeniden değerlendirilmesi olup, Piyasa Mahkemesi’nin 18 Kasım 2020 tarih ve 2020/AR/990 sayılı kararını uygulamaktadır. Veri Koruma Otoritesi organları, ilgili kişinin neden kamu kurumları ve/veya devlet kurumları için idari para cezası muafiyetine hak kazanmadığına ilişkin vizyonunu netleştirmektedir. Bu tanımın kapsamına girenler Madde 83(7)’de tanımlanmamıştır ve Birlik hukuku uyarınca uygulamanması üye devletlerin sorumluluğundadır. Belçika’da, bir piyasada mal veya hizmet sunan kamu hukuku kapsamında bir tüzel kişilik olmadıkça, Madde 83(7) devlet kurumlarına karşı uygulanmaz.
Belçika Veri Koruma Yasası’nın (Wet Gegevensbescherming) 5(2) Maddesine göre, davalı, kar amacı gütmeyen bir özel kuruluş şeklinde bir eğitim kurumu olduğu için devlet kurumu olarak sınıflandırılmaktadır. Sınai veya ticari nitelikte olmayan ve genel çıkar niteliğinde ihtiyaçları karşılamak adına özel bir amaç için kurulmuşlardır ve faaliyetleri öncelikle Flaman hükümeti tarafından finanse edilmektedir. Ancak, bu devlet kurumu bir piyasada mal veya hizmet sunduğunda idari para cezası açısından muafiyet geçerli değildir. Belçika’da, (kabul edilmeyen) özel eğitim mevcut olduğu ve dolayısıyla rekabet olduğu için özel eğitim için bir pazar olduğundan bahisle Veri Koruma Otoritesi, “”kamu makamları ve kamu organları”” teriminin, ücretsiz eğitim kurumları gibi kamu yararına bir görevi yerine getiren özel hukuk kapsamındaki tüzel kişileri kapsayacak kadar geniş yorumlanamayacağına karar vermiştir. Belçika Veri Koruma Yasası’nın ilgili maddesine geniş bir yorum getirmenin, bir yandan Belçikalı yasa koyucunun okulları idari para cezalarından muaf tutmama konusundaki açık iradesine ve diğer yandan Madde 83(7) bir istisna olarak verilmelidir. Bu nedenle, Madde 83(7) uygulanayacak ve ücretsiz eğitim kurumları GDPR ihlalleri için idari para cezalarından muaf olamayacaklardır.

Ceza: 1000 Euro idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2018-05780

28/07/2020

Konu: Veri sorumlusu tarafından belediye sakinlerine yasal dayanak olmaksızın ve bilgi verilmeden seçim ilanı gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Yerel bir siyasi dernek 2018 yerel seçimleri için belediye sakinlerine seçim ilanları gönderdikten sonra bu amaçla 2012’den itibaren seçmen kütüğünü kullanarak 2018’inki ile karşılaştırmıştır. Bunun üzerine Veri Koruma Otoritesi dava dairesi, veri işleme işleminin yasal dayanaktan yoksun olarak, gizlilik politikası olmaksızın ve verileri dolaylı olarak toplanan kişilere bilgi verilmeden gerçekleştirildiği sonucuna varmıştır. Veri Koruma Otoritesi, veri sorumlusu hakkında 3000 Euro para cezası verilmesine karar vermiştir.

Ceza: 3000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-04234

17/12/2019

Konu: Veri sorumlusu tarafından ilgili kişinin özel kişisel veri kategorisindeki kişisel veri hakkında bilgi edinme ve kendisi hakkında işlenen kişisel verilere erişim hakkını kullanma talebini yanıtsız bırakması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sahibi; veri sorumlusunun kar amacı gütmeyen bir kuruluş olan hizmetlerini tıbbi bakım için kullanmıştır. Daha sonra, aynı kuruluştan, genel müdürünün bölgesel seçim listesine kaydedildiğini bildiren bir tebligat almıştır. Veri sahibi, tebligatı aldıktan sonra, veri işleme hakkında daha ayrıntılı bilgi edinmek ve kendisi hakkında işlenen kişisel verilere erişmek için veri sahibi olarak haklarını kullanmaya karar vermiştir. Yasal süre olan 1 ay içinde veri sorumlusundan yanıt alamayınca veri işlemenin yasal olamayacağını ileri sürerek silme hakkını da kullanmıştır. Veri sorumlusundan herhangi bir yanıt alamayınca, veri koruma makamına şikayette bulunmuştur. Veri Koruma Otoritesi, veri sahibi lehinde karar vermiştir. Veri Koruma Otoritesi, özel kategorilerdeki kişisel verileri içeren veri işlemenin doğası açısından özellikle ciddi kabul edileceğini belirterek veri sorumlusunun; ilgili kişinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim yükümlülüğüne, erişim hakkına ve unutulma hakkına yönelik ihlalin varlığına karar vermiştir.

Ceza: 2000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?