EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Enerji sektörü ile ilgili kararlar

PS-099-2022

15/05/2023

Konu: Veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesine yapılan şikayette ilgili kişinin 3. kişilere ait kişisel verilere eriştiği ve 3.kişilere ait veri sorumlusuyla yapılan feshedilmiş sözleşmelere ulaştığı belirtilmiştir. Veri Koruma Otoritesi tarafından yapılan değerlerlendirmede veri sorumlusu şirketin teknik ve organizasyonel önlemler almaması ve bütünlük ve gizlilik ilkesinin ihlal edildiğine karar verilerek veri sorumlusuna GDPR’ın ilgili maddeleri uyarınca para ceza verilmesine hükmedilmiştir.

Ceza: 35,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00476/2021

12/10/2022

Konu: Veri sorumlusunun ilgili kişinin rızası olmadan sözleşmeyi değiştirmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, üçüncü bir tarafın izni olmadan elektrik sözleşmesinde değişiklik yaptığını iddia ederek veri sorumlusuna karşı veri koruma otoritesine bir talepte bulundu. Kanıt olarak,ilgili kişi, şirkete yapılan ve bir kadının ilgili kişinin kız kardeşi olduğunu belirttiği bir aramanın ses kaydını sunmuştur. Kadın, erkek kardeşinin evinde yaşadığını da belirtiyor ve son zamanlarda elektrik kesintisi yaşadığından yakınıyor. Kadına, şirketin web sitesinde çevrimiçi olarak elektrik gücünün 1.8KW’dan 1.4KW’a düşürüldüğü bilgisi verildi. Kadın, şirketin güç kaynağını 1.8KW’a geri değiştirmesini talep etti. Şirket iç protokolüne göre, elektrik akımını 1.8KW’a geri döndürmek için kadından güvenlik sorusu olarak sözleşmeyle ilgili bazı kişisel verileri (ad, soyad, kimlik numarası, telefon numarası ve adres) vermesini istedi.Veri sorumlusu savunmasında, kadının bu soruları yanıtlayarak güvenlik protokolünü başarıyla aştığını ve bu nedenle şirket tarafından veri sahibi adına sözleşmeyi değiştirmeye fiilen yetkili olarak kabul edildiğini iddia etti. Veri koruma otoritesi, birisinin bu veriler hakkında bilgi sahibi olabileceği gerçeğinin, elektrik şirketi ile sözleşmeyi değiştirmek için veri sahibi adına hareket edebilecekleri anlamına gelmemesi gerektiğini belirtti. Yeterli bir güvenlik protokolüne sahip olmamakla, şirketin güç kaynağı sözleşmesini veri sahibinin rızası olmadan değiştirerek ihlallerde bulunduğuna karar verildi.

Ceza: 150,000 EURO para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00236/2020

12/10/2022

Konu: Veri sorumlusunun veri işlerken gerekli önlemleri almaması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen başvuruda, veri sorumlusu ilgili kişilere yeterli bilgi sağlamadığı ve veri işlemeyle ilgili riskleri önlemek veya azaltmak için yeterli önlemleri uygulamadığı için şikayette bulunulmuştur. Kimliği düzgün bir şekilde doğrulamadan ve temsil yetkisini doğrulamadan hizmetlerini başka bir kişi (temsilci olarak) adına sözleşme yapmasına izin verdiğini tespit ettiler. Bu, temsilcinin, örneğin, kişiselleştirilmiş ticari teklifler için otomatik karar vermeye tabi olmak dahil olmak üzere ticari iletişimlere rıza göstermesini veya denetleyicinin yetkisi olup olmadığını doğrulamadan verilerin üçüncü taraflara aktarılmasını mümkün kıldı. İnceleme sonucunda veri sorumlusunun başkası adına sözleşme yapan temsilcinin temsil yetkilerini doğrulamak için bir sisteme sahip olması gerektiğine karar verdi.

Ceza: 1,500,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00258/2020

12/10/2022

Konu: Veri sorumlusunun ilgili kişi tarafından yapılan itirazlara rağmen verileri işlemeye devam etmesi

Kararı Paylaşın

Karar Özeti:

Verİ Koruma Otoritesi tarafından alınan başvuruda veri sorumlusunun , ilgili kişinin birkaç ay önce Robinson Listesi’ne kaydolmasına rağmen ticari nedenlerle aranmıştı. Robinson Listesi, pazarlama iletişimi almak istemeyen kişiler için bir vazgeçme listesidir. Veri sorumlusu, enerji şirketinin ana faaliyeti telekomünikasyon ile ilgili olmadığı için LGT’nin davaya uygulanamayacağını iddia etti. Ancak DPA, GDPR, Madde 48(1)(b)’nin, bu tür iletişimleri gerçekleştiren şirketin ana faaliyeti ne olursa olsun ticari iletişimler için geçerli olduğunu savundu. Veri sorumlusunun Robinson Listesine dahil edilmek suretiyle gerçekleştirilen ilgili kişinin işlenmesine karşı çıkma hakkını göz ardı ettiği ve dolayısıyla GDPR Madde 48(1)(b)’yi ihlal ettiği sonucuna varmıştır.

Ceza: 12,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00126/2021

12/10/2022

Konu: Veri sorumlusunun verileri yasal dayanak olmaksızın işlemesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sorumlusu kişisel verileri herhangi bir yasal dayanağı olmaksızın işlemesi hakkında soruşturma başlatılmıştır. Veri sorumlusu, veri sahibi tarafından talep edilmeyen, gaz ve elektrik tedariklerinin yanı sıra özel bir bakım hizmeti için sözleşme yapmak amacıyla veri sahibinin kişisel verilerini kullanmıştır. Veri sahibinin rızası ya da bilgisi olmadan bu sözleşme yapılmıştır. İncelemeler sonucunda belirtilen işlemenin yasal dayanağının meşru olması için verilerin veri sahibi tarafından sağlanması gerektiğini savundu. Veri sorumlusunun, örneğin hesap verebilirlik ve sorumluluk yükümlülüğünün bir parçası olarak tanımlama gerekliliklerini belirleyerek, veri sahibinin verilerini fiilen sağladığını durum tespiti ile doğrulama yükümlülüğü vardır. Veri Koruma Otoritesi, veri sorumlusunun yasal bir dayanak olmaksızın veri işleme nedeniyle ihlalde bulunduğunu ve bu nedenle para cezasına çarptırdığını belirtti.

Ceza: 6,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9735672

16/12/2021

Konu: Veri sorumlusunun ilgili kişi kullanıcıların kişisel verilerini telefonla pazarlama amacıyla hukuka aykırı bir şekilde işlemesi.

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi, veri sorumlusu tarafından önceden kaydedilmiş aramalar da dahil olmak üzere istenmeyen promosyon telefon aramaları almaktan şikayet eden vatandaşlardan bu uygulamalar nedeniyle mahremiyet alanlarına sürekli ve rahatsız edici bir müdahale duygusuyla ilgili şikayetler aldı ve bu uygulamalara genellikle şikayetçilerin yalnızca istilacı değil, aynı zamanda özellikle saldırgan olarak algıladıkları davranışlar eşlik etti. Veri Sorumlusu şirketin GDPR ilkelerinden olan hesap verebilirlik ve gizlilik ilkelerine aykırı hareket ettiği tespit olunmuştur. Bir ortak veri sorumlusu tarafından istenmeyen tanıtım iletişimleri olması durumunda veri koruma mevzuatına uygunluk kanıtı sunulmadığı, uygun teknik ve organizasyonel önlemler de dahil olmak üzere iş ortaklarının faaliyetlerini kontrol edilmediği, şirketin ücretsiz telefon numarasına yapılan aramanın numarasını yanlışlıkla ilgili kişinin kişisel verileriyle ilişkilendirdiği, İlgili kişinin vergi kodunun başka bir şirket kullanıcısıyla ilişkilendirilmesinin ardından, sözleşmenin sahibi dışındaki bir kullanıcıya faturalar aracılığıyla kişisel verilerin gönderilmesi, ilgili kişilere haklarını kullanmaya yönelik meşru talepler (bu durumda erişim hakkı ve itiraz hakkı) hakkında gerekli ve zamanında geri bildirim sağlanmaması, GPDp’den gelen iki talebe ve belirli özel talebe rağmen, denetleyici makama yetersiz işbirliği teklif etme, dijital hizmetlerin kullanımı bağlamında pazarlama ve profil oluşturma amaçlarına yönelik izinlerin nasıl verileceği konusunda herhangi bir bilgi vermeme gibi birçok kişisel veri ihlallerinin ardından soruşturma başlattı. Veri sorumlusuna birden fazla düzeltici önlem ve para cezası verilmesine karar verilmiştir.

Ceza: Birden fazla düzeltici önlem ve 26.513.877 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DSK – energy supplier pool – March 2021

15/03/2021

Konu: Veri sorumluları tarafından veri havuzu oluşturulması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından, birkaç kredi kuruluşunun ve enerji tedarik şirketinin bir veri havuzu kurarak enerji tedarikçisiyle uzun vadeli sözleşme ilişkisi aramayan kişileri belirlemek istedikleri ve bunun sonucunda enerji tedarikçisinin bu potansiyel müşterilere hizmet vermeyi reddebileceği tespit edilmiştir. Kararda, her vatandaşın enerji tedarikçileri arasında rekabetten yararlanma ve ucuz teklif arama hakkı olduğu belirtilmiştir. Veri Koruma Otoritesi’ne göre, ilgili kişileri sayılan nedenlerden dolayı merkezi veri havuzuna kaydederek tekliflerden hariç tutma isteği meşru bir menfaat teşkil etmemektedir. Şirketin çıkarları meşru sayılacak olsa dahi ilgili kişilerin korunmaya değer çıkarları daha ağır basmaktadır.

Ceza: Para cezasına karar verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00368/2020

17/12/2020

Konu: Robinson listesinde yer almasına rağmen ilgili kişiye üç kez cep telefonu ile iletişime geçilmesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, ilgili kişinin robinson listesinde yer almasına rağmen veri sorumlusu tarafından üç kez cep telefonu ile aranması sonucu şikayette bulunulmuştur. İlk telefon araması elektrik hizmetlerine yönelik teklif tanıtımı için, ikinci telefon araması ilgili kişiden daha fazla kişisel veri elde etmek için ve üçüncü telefon araması yeni elektrik indirimleri için yapılmıştır. Veri koruma otoritesi şikayeti veri sorumlusuna iletip cevap vermesi için 1 ay süre vermiştir. Veri koruma otoritesinin yaptığı araştırmalara sonucunda veri sorumlusunun ilgili kişinin itiraz etme hakkının ihlal edildiğini belirtmiştir. Bunun sonucunda para cezası verilmiştir. Cezada göünllü ödeme yapılması ceza da indirime neden olmuştur.

Ceza: 6.000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00406/2019

21/02/2020

Konu: Bütünlük ve gizlilik ilkesinin ihlal edilmesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, gerçek kişi tarafından veri sorumlusu aleyhine e-posta alıcılarına “Bcc” olmadan reklam e-postası gönderdiği için ve bunun sonucunda alıcıların e-posta adreslerini ifşa etmesi ve bütünlük ve gizlilik ilkesinin ihlal etmesi nedeniyle şikayet edilmiştir. Veri koruma otoritesi şikayet hakkında veri sorumlusunu bilgilendirip 1 ay yanıt vermek için süre vermesine rağmen yanıt alamamıştır. Veri koruma otoritesi başlattğı soruşturma sonucunda Bcc olmadan e-posta gönderilmesinin e-posta alıcılarının bütünlük ve gizlilik ilkesine ve veri sorumlusunun proaktif sorumluluğunu ihlal ettiğine karar verdi. Bu nedenler sonucunda veri sorumlusuna para cezası verilmiştir.

Ceza: 2.500 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

BfDI – mivolta GmbH

28/02/2019

Konu: Veri sorumlusu tarafından reklam amacıyla ilgili kişilere ulaşılarak kişisel verilerinin elde edilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu kendi ürününün tedarik anlaşmaları (elektrik ve gaz) için telefonla reklam yapmak üzere yüzlerce tüketiciyi aramak için ortaklarını kullandı. Böylece telefoncular tüketicilerin istekleri dışında ve onlara karşı hareket etmişlerdir. Telefoncular kısmen gizli bir telefon numarası kullanmışlardır. Bazı durumlarda telefoncular, sağlayıcı değişikliğini başlatabilmek için gerekli verileri elde etmek amacıyla tüketicilere elektrik sağlayıcısından olduklarını söylemişlerdir. Böylece tüketiciler hiç yapmadıkları sözleşmeleri iptal etmek zorunda kalmışlardır. Veri sorumlusu bu şekilde, ilgili kişilerin sağlayıcı değişikliğini başlatabilmek adına o kişilerin elektrik sağlayıcısından olduğunu söyleyerek gerekli kişisel verileri elde etmiştir. Veri Koruma Otoritesi tüketicilerin izin verilmeyen telefon reklamları ve sözde sözleşme sonuçlarıyla bu şekilde endişelendirilmesinin kabul edilemez olduğuna karar verdi.

Ceza: 250000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?