EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Bankacılık sektörü ile ilgili kararlar

NAIH-497-14/2022

15/05/2023

Konu: Veri sorumlusunun kişisel verileri hukuka aykırı işlemesi

Kararı Paylaşın

Karar Özeti:

Karara konu olayda Veri Koruma Otoritesi tarafından yapılan değerlendirmede veri sorumlusu şirket tarafından veri öznesine ait kişisel verilerin hukuka uygun bir yasal dayanak olmaksızın işlendiği değerlendirilmiştir. Veri Koruma Otoritesi tarafından re’sen yürütülen soruşturma kapsamında veri öznelerine kişisel verilerin işlenmesiyle ilgili bilgilendirmenin yapılmadığı vurgulanmıştır. Bununla birlikte Veri Koruma Otoritesi GDPR’ın ilgili maddelerinin ihlal edilmesi nedeniyle veri sorumlusuna para cezası verilmesine hükmederken ceza miktarının belirlenmesinde ihlalin boyutu, ihlalden etkilenen kişi sayısı, ihlalin süresini dikkate almıştır.

Ceza: 30 milyon HUF (yaklaşık 72.611 Euro) para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00634/2021

15/05/2023

Konu: Veri sorumlusunun teknik ve organizasyonel önlemleri almaması sebebiyle ilgili kişinin kendisine ait hesap özeti bilgilerine eriştiği sırada 3. kişilerin verilerine erişim sağlaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi şikayet kapsamında ilgili kişinin veri sorumlusuna ait web sitesinde aylık hesap özetine erişirken kendisine ait kişisel verilerinin yanı sıra üçüncü kişilerin de kişisel verilerine de eriştiğini kaydetmiştir. Bununla birlikte Veri Koruma Otoritesi veri sorumlusunun teknik ve organizasyonel önlemleri almadığı ve gizlilik yükümlülüğünü ihlal ettiğini vurgulamıştır. Veri Koruma Otoritesi tarafından veri sorumlusunun GDPR’ın ilgili maddelerinin ihlal etmesi nedeniyle para cezası verilmesine hükmederken, cezanın belirlenmesinde ihlalden etkilenen kişi sayısı, ihlal süresi ve etkileri dikkate alınmıştır.

Ceza: 100,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00467/2020

12/10/2022

Konu: Veri sorumlusunun ilgili kişinin taleplerini gerçekleştirmemesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen başvuruya göre; ilgili kişi, veri sorumlusu olan kredi şirketinin herhangi bir hizmet sözleşmesi yapmadan bir banka adına bir borç ödenmesi gerektiğini söyledi ödenmesini talep ettiğini belirtti. Veri koruma otoritesi, sözleşmenin varlığını kanıtlamak için veri sorumlusundan belgelerini talep etti. Veri sorumlusu; sözleşmeyi, kişisel verileri ve banka verilerini sağladı, ancak imzalı bir sözleşme, kimlik fotokopisi veya sözleşmenin yapıldığı telefon görüşmesinin kaydını sağlayamadı. Veri koruma otoritesi, veri sahibinin sözleşmeyi geçerli bir şekilde imzaladığını kanıtlayamadığı için veri sorumlusunun GDPR 6’ncı Maddesini ihlal ettiği sonucuna varmıştır.

Ceza: 60,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00500/2020

12/10/2022

Konu: Veri sorumlusunun onay almadan veri işlemesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusu ile ilişkisini 2014 yılında sonlandırmış olmasına rağmen, veri koruma otoritesine kişisel verilerini bir kredi puanlama şirketine aktardığını iddia ederek şikayette bulundu. Veri koruma otoritesi, aynı zamanda veri sorumlusunun müşterilerini nasıl profillendirdiğini araştırmaya karar verdi. Yapılan bir talebe yanıt veren banka, GDPR’ın 4(4) Maddesinde tanımlandığı şekilde müşterilerinin profilini iki şekilde çıkardıklarını açıkladı; birincisi müşterilerinin kredibilitesini belirlemek ve ikincisi de pazarlama amaçları. Bankanın açıklamalarına göre, müşterilerinin kredibilitesinin belirlenmesine yönelik profilleme, iflas ve kredi mevzuatından kaynaklanan yasal bir yükümlülüğe dayanıyordu. Pazarlama amaçlı profil oluşturma, rızaya dayanıyordu. Veri koruma otoritesi, veri sorumlusunun rıza alma şeklini inceledikten sonra, işlemeyle ilgili tüm bilgiler kredi sözleşmesinin koşullarına yerleştirildiğinden veri sorumlusunun ilgili kişiye profil oluşturma hakkında yeterli bilgi sağlamadığını tespit etti. Veri koruma otoritesi, veri sorumlusunun GDPR’ın 4(7) Maddesinde tanımlandığı gibi geçerli bir onay almadığı sonucuna varmıştır. Çünkü öncelikle, amaçlar bireysel olarak tanımlanmadığından veya kademeli olarak onaylanamayacağından spesifik değildir ikincisi, sağlanan bilgiler yeterli olmadığı için bilgilendirilmemiştir.

Ceza: 3,000,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00362/2021

12/10/2022

Konu: Veri sorumlusunun kişisel verilerin güvenliği için yeterince önlem almaması

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu, müşterilere yalnızca birkaç mağaza ve şirketten oluşan bağlı bir grup içinde kullanılabilecek bir kredi kartı olan ‘Affinity Cards’ sağladı. Bu kapsamda, bankanın sunduğu otomatik bilgi hattını arayan herhangi bir kişi, kart sahibinin kimlik numarası karşılığında bir kartın son işlemlerinin detaylarını alabiliyordu. Veri koruma otoritesine göre, yalnızca kimlik numarasını istemek, söz konusu ilgili kişinin kimliğini uygun şekilde doğrulamak için yetersizdir.Etkilenen müşteri sayısı, ödeme gücü ve işletmenin yüksek derecede sorumluluk derecesi göz önüne alındığında, veri koruma otoritesi bankaya 200.000 € para cezası verdi. Ancak, önceden gönüllü ödeme yapılması ve sorumluluklarının kabul edilmesi nedeniyle para cezası sonunda 120.000 €’ya düşürüldü.

Ceza: 120,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00420/2021

12/10/2022

Konu: Veri sorumlusunun kişisel verilerin ihlalini önlemek için yeterince önlem almaması

Kararı Paylaşın

Karar Özeti:

Bir kiracı, ilgili kişinin hesabına kira ödemesi yaptı ve veri sorumlusundan bir makbuz istedi. Buna karşılık, veri sorumlusu kiracıya ilgili kişinin hesap bakiyesini içeren bir belge verdi.
İlgili kişi daha sonra veri koruma otoritesine şikayette bulundu. Soruşturma, kişisel veri güvenliği ihlali olarak kategorize edildi. Veri koruma otoritesi, ilgili kişinin hesap bakiyesini içeren bir belgeyi üçüncü bir tarafla paylaştığında veri sorumlusunun kişisel verilerin bütünlüğünü ve gizliliğini ihlal ettiğine karar verdi. Ayrıca, ihlal gerçekleştiğinde, ilgili kişinin hesap bakiyesinin ödeme kanıtı talep eden kişi tarafından görülmesini önlemek için teknik ve organizasyonel önlemlerin mevcut olmadığına karar verildi.

Ceza: 48,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00427/2021

12/10/2022

Konu: Veri sorumlusunun kişisel verileri üçüncü kişiler ile paylaşması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen şikayete göre veri sorumlusu, ilgili kişiyi arayıp ödeme yapılmaması ve randevularla ilgili birkaç mesaj göndermişti. İlgili kişi, veri sorumlusundan bilgilerini silmesini istemişti ancak veri sorumlusu şikayette belirtilen telefon numarasına sahip kayıtlarında müşteri olmadığı için bunu yapamayacağını söyledi. Veri sorumlusu, müşterilerine bildirim göndermek için tasarlanmış bir aracın çalışmasını test ettiğini ve ilgili kişi tarafından alınan mesajların, boş bir telefon numarasına gönderdiğine inandığı hayali test bildirimleri olduğunu iddia etti. Veri sorumlusu ayrıca, durumu düzeltmek için uygun güvenlik önlemleri aldığını söyledi. Veri koruma otoritesi, veri sorumlusunun eylemlerinin, ilgili kişinin verilerini işlemek için yasal bir dayanağı olmadığı için yasallık ilkesini ihlal ettiğine karar verdi.

Ceza: 60,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00259/2020

12/10/2022

Konu: Veri sorumlusunun, ilgili kişinin taleplerine uymaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre; veri sorumlusuna karşı ticari iletişim alınmasına itiraz etme hakkını kullanmıştır. Ancak, bundan iki yıl sonra, ilgili kişi bankadan ticari iletişim içeren, bankanın hizmetlerini tanıtıcı ve bilgilendirici bir mektup almıştır. Banka, bunun ticari bir iletişim iletisi olmadığını, ofislerinde sergiledikleri, bankanın hizmetleri hakkında bilgi içeren posterler gibi standart bir zarf olduğunu ve içindeki mektubun, müşteriye hizmetlerle ilgili olarak gönderilen bilgilerden ibaret olduğunu iddia etti. Banka ayrıca, işlem mektubu göndermek için yapıldığından ve ticari mesajı içeren zarfın tesadüfi olduğunu, ancak verilerin bu amaçla işlenmediğini, müşterilerinin verilerini pazarlama amacıyla işlemediklerini iddia etti. Veri Koruma Otoritesi, veri sorumlusu tarafından gerçekleştirilen eylemlerin yine de pazarlama amaçlı ticari iletişimler olduğunu ve ilgili kişinin yasal bir menfaate güvenemeyeceği için bunu yapmak için yasal bir dayanağı olmadığını belirledi.

Ceza: 50,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9784626

26/05/2022

Konu: Veri sorumlusunun ilgili kişiye ait banka verilerini, kişi reşit olmasına rağmen üst soyuna vermesi hakkında.

Kararı Paylaşın

Karar Özeti:

Daha evvelden İtalya’da bir bankanın muhasebe departmanında çalışmakta olan bir kişi çocuğu reşit olana dek banka bilgilerine erişim sağlayabilmekteydi. İlgili kişi reşit olduktan sonra ve babası bankadaki işinden ayrıldıktan sonra babası bankanın muhasebe departmanındaki kişiden ilgili kişi olan çocuğuna ait banka muhasebe verilerine erişmek istemiştir. Daha önce var olan bu ilişki, çalışanın muhasebe verilerine erişme yetkisinin hâlâ bulunduğuna inanmasına yol açmıştı. Böylece, banka iyi niyetle hareket etmiştir. İlgili kişi bu yasadışı işlemeye karşı şikayette bulunmuştur. İtalya Veri Koruma Otoritesi, ilgili kişinin hesap verilerini işlemek için yasal bir dayanak bulunmadığını belirtti. Bu nedenle Otorite, genel ilkeleri ihlal ederek gerçekleştirildiği için söz konusu işlemenin yasa dışı olduğuna karar vermiştir . Veri sorumlusu tarafından iddia edilenin aksine, Otorite iyi niyet muafiyetinin uygulanamaz olduğunu tespit etti. İyi niyet, ancak kaçınılmaz olduğunda sorumluluğu hariç tutabilir. Mevcut davada, çalışanın ilgili kişinin babasının hesap bilgilerine erişme yetkisinin hâlâ bulunup bulunmadığını kontrol etmesi gerekirdi. Otorite bu ihlaller için veri sorumlusuna para cezası verilmesine karar verilmiştir.

Ceza: 100.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9445550

02/07/2020

Konu: Veri sahibinin, ilgili kişilerin kendilerine ait verilere erişim talebini reddetmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir bankadır. Birtakım ilgili kişilerin bankaya kendilerine ait verilere erişim haklarını kullanmak yönündeki taleplerini reddeden bankayı İtalya Veri Koruma Otoritesi haksız bulmuştur. Veri sorumlusuna vereceği cezayı belirlerken Otorite GDPR hükümlerini destek almıştır. Olayın çeşitli veri ihlallerine sebebiyet vermesinin yanında daha evvel böyle bir ihlalin gerçekleşmediğini göz önünde tutan Otorite veri sorumlusuna idari para cezası hükmetti.

Ceza: 5.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?