EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Banka sektörü ile ilgili kararlar

15/05/2023

Konu: Veri sorumlusu tarafından veri ihlalini önlemeye yönelik yeterli teknik ve idari tedbir alınmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından yürütülen soruşturma veri sorumlusu bünyesinde gelen veri ihlali neticesinde başlatılmıştır. Veri Koruma Otoritesi veri sorumlusu banka tarafından müşterilere ait kişisel verilerin 3. kişilerle hukuka aykırı olarak paylaşıldığını ve yetkisiz olarak erişildiğini tespit edilmiştir. Veri Koruma Otoritesi veri sorumlusu tarafından ihlalin giderilmesine yönelik teknik ve organizasyonel önlemlerin alınmadığına karar vermiştir. Bu kapsamda Veri Koruma Otoritesi tarafından veri sorumlusunun GDPR’ı ihlal ettiği maddeler uyarınca para cezası ödemesi gerektiğine hükmedilmiştir.

Ceza: 20,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00419/2022

15/05/2023

Konu: Veri sorumlusu şirket tarafından 3. kişiye ait kişisel verilerin hukuka aykırı olarak paylaşılması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi somut olayda veri sorumlusu şirketin veri öznesi tarafından yapılan şikayete rağmen 3. kişilere ait kişisel verilere erişmeye devam ettiğini ve veri sorumlusu tarafından bu erişimi önleyici şekilde hareket edilmediği belirtilmiştir. Veri Koruma Otoritesi tarafından yapılan değerlendirmede veri sorumlusu şirketin üçüncü taraf sözleşmesini kullanıma sunma durumunu önlemek için yeterli teknik ve organizasyonel önlemlere sahip olmadığını vurgulamıştır. Veri Koruma Otoritesi tarafından veri sorumlusu tarafından GDPR’ın 5(1) f ve 32. maddesinin ihlal edilmesi nedeniyle para cezası verilmesine hükmedilmiştir.

Ceza: 80,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS-00183-2022

15/05/2023

Konu: Veri sorumlusu tarafından ilgili kişinin kişisel verileri düzeltme talebine zamanında ve uygun bir yanıt vermemesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından yapılan değerlendirmede ilgili kişi tarafından veri sorumlusu şirkete yapılan kişisel verileri düzeltme talebinin birden fazla olması, şirket tarafından bu düzeltme taleplerine zamanında ve yeterli bir yanıt verilmemesi nedeniyle GDPR’ın ilgili hükümlerini ihlal ettiğine ve veri sorumlusuna para cezası verilmesi gerektiğine hükmedilmiştir.

Ceza: 25,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00226/2020

12/10/2022

Konu: Veri sorumlusunun sözleşme ifası için gerekli olmayan kişisel verilerin işlenmesine yönelik rızasına koşullandırmak

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sorumlusu bankanın bazı müşterileri, bankanın önceden işaretlenmiş kutular aracılığıyla kişisel verilerin işlenmesi için rıza koşullarını kabul etmelerini istediğini belirtmiştir. İlgili kişiler şartları kabul etmezlerse, banka onlardan banka hesabının bakımı için ayda 5 EURO ücret alacaktır. Veri Koruma Otoritesi bankadan gizlilik politikası ve belirli banka hesabı kategorileri için yürütülen reklamlarla ilgili ayrıntıları istedi. Ayrıca daha fazla araştırma için bankayı fiziksel olarak denetledi. Veri sorumlusu savunmasında, ücretin bir cezalandırma olmadığını, sadece müşterilerine bankacılık hizmetlerinin sağlanması için gerekli bir ücret olduğunu ve bu nedenle sözleşmenin temel bir unsuru olduğunu belirtti. Yapılan incelemeler sonucunda rızanın verilmemesi, veri sahibine zarar veren bakım ücretlerinin ödenmesini gerektirdiğinden, rızanın serbestçe verilmediği karar verilmiştir. Ek olarak, bu ücretlerin sözleşmenin doğal bir unsuru olarak kabul edilemeyeceğine ve banka hizmetleri için yapılan ödemelere ilişkin ulusal kanunla çeliştiğine karar vermiştir. Temel banka hesaplarına ilişkin ücretlerin müşteri ve banka arasında serbestçe kararlaştırılması gerektiğini vurguladı. Bu durumda, rızanın özgürce verilmiş olarak kabul edilemeyeceği için, ücretlerin de her iki tarafça da özgürce kararlaştırıldığı düşünülemeyeceğini tespit etmiştir.

Ceza: 2,000,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

21/03656

26/04/2022

Konu: Veri sorumlusunun gizlilik politikasının eksik ve yanıltıcı olması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesine ulaşan bir başvuruda, bir şirkette hissesi olan ilgili kişi, banka tarafından, veri sorumlusu olan bu şirketin kendisi hakkında kişisel verileri istediğine ilişkin bildirim almıştır. İki kez bu konuda veri sorumlusundan bilgi almaya çalışması ancak veri sorumlusu şirketin kayıtsız kalmasının ardından, ilgili kişi Veri Koruma Otoritesine şikayette bulunmuş ve Otorite konu hakkında inceleme başlatmıştır. Veri sorumlusu, ilgili kişinin ilettiği elektronik postanın spam kutusuna düştüğü ve bu nedenle gözden kaçırdıkları nedeniyle cevap veremediklerini belirtmiş ve ayrıca söz konusu işleme ile ilgili hissedarlara bilgi vermediklerini ve gizlilik politikalarına da bilgi eklemediklerini ve işlemeyi GDPR’daki ilgili maddenin istisnalarına dayanarak yaptıklarını iddia etmiştir. Veri Koruma Otoritesi istisnaların dar bir şekilde yorumlanması ve uygulanması gerektiğini ve veri sahibinin GDPR madde 14 kapsamında gerekli bilgileri yeterli olmadığını savunduğu için veri sorumlusunun iddialarını reddetmiştir. Ayrıca, Otorite tarafından, gizlilik politikasının eksik ve yanıltıcı olduğunu tespit edildi. Verileri işlenen hissedarlar da dahil olmak üzere veri sahiplerine, gereken tüm bilgilerin sağlanmasını sağlamak ve gizlilik politikasının gerektiği gibi değiştirilmesini emretti. Ayrıca dört hafta içinde aldığı önlemler hakkında Veri Koruma Otoritesini bilgilendirmesi emredildi.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Danske Bank

05/04/2022

Konu: Veri sorumlusunun kişisel veri işleme prosedürü ihlali.

Kararı Paylaşın

Karar Özeti:

Banka 2020’de kişisel verilerin silinmesi problemini bildirdi. Yapılan incelemeler sonucunda, veri işleme prosedürü olmadığı tespit edildi. Bankanın artık ihtiyaç duymadığı kişisel verileri silmesi gerektiği ve GDPR’nin temel bir ilkesini ihlal ettiğine karar verildi.

Ceza: 1.345.000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

85-3/2022

08/02/2022

Konu: Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin yapay zeka kullanımıyla ihlali.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından, müşteri hizmetleri görüşmelerinin ses kayıtlarına uygulanan yapay zeka yazılımının kullanımına ilişkin veri sorumlusu bankaya resen soruşma başlatılmıştır. Müşterilerin aramaların başında kayıt altına alındıkları konusunda bilgilendirildiğini ancak bu konuda ayrıntılı bilgi verilmesinin tanıtım yapacağı için kullandıkları yazılımının aramaları analiz etmek için kullanılacağını kendilerine bildirmediklerini itiraf etmiş ve ayrıca işlemin yasal dayanağının meşru menfaate dayandığını ve amacının çağrı kalite kontrolü yapmak, şikayetleri ve müşteri kaybını önlemek ve verimliliği artırmak olduğunu belirtmiştir. Veri Koruma Otoritesi ise müşteri hizmetleri aramalarına, hem arayan hem de müşteri hizmetleriyle ilişkilendirilebilen benzersiz bir dahili kimlik numarası atanması ve böylece veri sahibinin bu işleme kapsamında gerçekten tanımlanabilir olması nedeniyle, yazılımın kişisel verileri işlediğini belirlemiştir. Otorite, özellikle işlenen belirli veri türleri ve ayrıca duygusal tepkilerinin nasıl işlendiği ve değerlendirildiği hakkında olmak üzere, ses analizine ilişkin veri sahiplerine hiçbir bilgi verilmediğini kaydetmiştir. Ayrıca, otomatik karar verme ve profil oluşturmaya ilişkin önceki değerlendirmelerine göre, veri sahiplerine itiraz haklarına ilişkin bilgi verilmemesi, müşteriyi elde tutma amacıyla yapılan işlemlerin müşteri edinmeye benzer bir pazarlama amacı oluşturduğunu ve bu nedenle Banka’nın veri sahiplerinin GDPR Madde 21(2) kapsamındaki itiraz hakkını da ihlal ettiğini değerlendirmiştir. Bu gerekçelere dayanarak, Veri Koruma Otoritesi veri sorumlusu bankaya para cezası verilmesine ve 60 gün içinde müşteri hizmetleri aramalarının kayıtlarındaki duyguları analiz etmek için yapay zeka kullanımını durdurulmasını emretmiştir.

Ceza: 700.000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-03763

16/12/2021

Konu: Kişisel verilerin işlenmesi konusunda karar verme yetkisine sahip üç departmanın başkanı olduğundan çıkar çatışması ortaya çıkması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne, ilgili kişi; bir bankanın ilgili kişinin düzeltme talebi hakkını ihlali üzerine başvuruda bulunmuştur. Veri Koruma Ofisi’nin kapsamının da araştırıldığı bir soruşturmanın sonucunda; Veri Koruma Ofisi’nin bankanın Operasyonel Risk Yönetimi, Bilgi Risk Yönetimi Departmanı ve Özel Soruşturma Birimi’ne liderlik etmek de dahil olmak üzere bir dizi başka işleve sahip olması nedeniyle bir çıkar çatışması olabileceğini ortaya çıkardı. Veri sorumlusu, bu hizmetlerin başkanının kişisel verilerin işlenme amaçlarını ve araçlarını belirleme konusunda karar verme yetkisine sahip olmadığını, yalnızca danışmanlık ve denetleyici bir role sahip olduğunu savundu. Veri Koruma Otoritesi, rolün “tamamen danışmanlık ve denetleme” olmadığını belirtti. Özellikle, veri koruma ofisinin kişisel verilerin işlenmesinin araçlarını ve amaçlarını hala belirleyebileceğine karar verdi. Bu, bankanın departmanlar tarafından işlenen önemli sayıda kişisel veri kategorisini listeleyen İşleme Faaliyetleri Kaydı ile de kanıtlanmıştır. Bu nedenle, başvurulan departmanlar üzerinde nihai sorumluluk Veri Koruma Ofisi’ne ait olduğundan, Veri Koruma Otoritesi, ”işleyici söz konusu görev ve vazifelerin bir çıkar çatışmasına neden olmamasını sağlar.” maddesini ihlal eden bir çıkar çatışması olduğuna karar verdi. Bu ihlal ışığında, bankaya 75.000 Euro para cezası verilmiştir.

Ceza: 75.000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-02288

22/04/2021

Konu: Veri sorumlusunun çalışanlarının hukuka aykırı veri erişimine ilişkin sorumluluğu.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuru sonucunda, bir şirkette veya kamu kuruluşunda çalışan gerçek bir kişinin, verileri şirket faaliyetleri dışında kendi amaçları için kullanması durumunda, bu kişi fiili veri sorumlusu olarak kabul edileceği ve bu şekilde sorumlu olacağı belirtilmiştir. Kararda, EDPB Görüşü’ne (07/2020) atıf yapılarak erişim yetkisi olmayan ve işvereninki dışında başka amaçlarla verilere erişim sağlayan bir çalışan, işveren tarafından gerçekleştirilen işleme açısından üçüncü taraf olarak kabul edileceği, kendi amaçları için işlediği taktirde veri sorumlusu olarak kabul edilip kişisel veri işleme açısından ortaya çıkan tüm sonuç ve yükümlülükleri üstlenmesi gerektiğini belirtmiştir. Veri Koruma Otoritesi, davacının kredi verilerine erişerek görevlerini aşan eski kocanın bu nedenle, davalı olarak kabul edilmesi gerektiğini kabul etmiştir. Bu verilerin münhasır olarak işlenmesinde bağımsız bir üçüncü taraftır. Bu nedenle, verilerin güvenliğini sağlamak ve kredi kayıtlarına erişimi kontrol etmek bankaya aittir. Davalı, kontrolü altındaki verilerin güvenliğini ve bütünlüğünü sağlamakla yükümlü olan veri denetleyicisidir. Banka çalışanı ayrı bir tüzel kişilik değildir ve veri sorumlusu adına hareket eden veri işleyen olarak kabul edilemez. Olaydan bu yana alınan önlemler, işlenen verinin ağırlığı ve hassasiyeti açısından yetersiz kalmaktadır. Veri Koruma Otoritesi, 100.000 Euro idari para cezası ile erişim kaydının oluşturulmasını gerekçelendirmek için üç ay içinde davalıya ihtiyati tedbir kararı verdi.

Ceza: 100.000 Euro idari para cezası ile 3 ay içinde ihtiyati tedbir kararı verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020010532

10/03/2021

Konu: Veri sorumlusunun nakit işlemlerle bağlantılı olarak kişisel bilgileri işlenmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından reddedilen başvuruda, A bankası ile yapılan işlemlerle ilgili olarak, şikayetçinin B bankasında olan hesabının yıl sonu bakiyesi hakkında bilgi almak için A bankası B bankasından bilgi talebinde bulunmuştur. Şikayetçi, B bankasından yaklaşık 4 milyon ISK transfer etmişti ve bir süre sonra A bankasından ISK 3 milyon nakit çekmek istedi. Kara Para Aklama Yasasına atıfta bulunan A bankası, fonlarının menşei hakkında bilgi talep etti ve şikayetçinin son üç yıldan itibaren B bankasında olan hesabı hakkında bilgi istedi. Yukarıdakileri göz önünde bulundurarak, Veri Koruma Otoritesinin sonucu, A bankasının şikayetçinin kişisel bilgilerini işlemesinin, kişisel bilgilerin korunması ve işlenmesine ilişkin 90/2018 sayılı Kanun uyarınca olduğudur. Bu nedenden dolayı Veri Koruma Otoritesi başvuruyu reddetmiştir.

Ceza: Başvuru reddedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?