EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sağlık sektörü ile ilgili kararlar

PS/00475/2021

12/10/2022

Konu: Veri sorumlusunun rıza almadan çerezler yerleştirmesi
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından, veri sorumlusunun izin istemeden önce kendi ve üçüncü taraf çerezlerini gereksiz yere yerleştirdiği ve afişte ve gizliliklerinde çerezler hakkında yeterli bilgi sunmadığı gerekçesiyle inceleme başlatılmıştır. Çerezlerle ilgili olarak yapılan incelemede, veri sorumlusunun izin istemeden önce gereksiz kendi ve üçüncü taraf çerezlerini yerleştirdiğini tespit etti. Ayrıca, ana sayfada sunulan bilgiler yetersizdi ve çerez politikası, web’in kullandığı çerezleri tanımlamadı. Veri koruma otoritesine göre, bu tür gerçekler LSSI Madde 22(2)’nin (e-Gizlilik Yönergesini uygulayan İspanyol yasası) ihlalini teşkil etti ve veri sorumlusuna erken ödeme nedeniyle 16.000 Euro’ya düşürülen 20.000 Euro para cezası verdi.

Ceza: 20,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2021-442-14071

22/06/2022

Konu: Veri sorumlusu tarafından gerekli teknik ve idari önlemlerin alınmaması ve veri ihlal bildirimi süresinin aşılması.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu vatandaşların ilaç ihtiyacını karşılayan ortak ilaç kayıt sistemidir. Bu sistem sağlık çalışanlarını yerel sistemle entegre etmiştir böylece hastaların hangi ilaçlara kaydı olduğu görülür. Doktorlar da bu sisteme reçete ekleyebilir, çıkarabilir ve değiştirebilirler. Sistemlerin birindeki hata sebebiyle tüm sistem etkilendi ve bu hata 267 hastanın dozaj bitişinin kaldırılmasının sisteme aktarılmamasından kaynaklıydı. Sağlık Veri Kurumu 9 Ağustos’ta öğrenmesine rağmen bu ihlali 13 Ağustos’ta Veri Koruma Otoritesine bildirdi. Yapılan incelemeler sonucunda, sorumlunun kayıt hatalarını test etmeyerek veri işlemeye uygun riskler için yeterli teknik ve idari tedbiri almadığı belirlendi. Ek olarak veri ihlal bildirimi süresi olan 72 saati aştığı da belirlendi.

Ceza: Belirtilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

9779057

28/04/2022

Konu: Veri sorumlusunun 193 kişinin sağlık verilerini ve mail adreslerini içeren e-postayı yanlışlıkla aynı 193 kişiye postalaması hakkında.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir hastanedir ve 193 tane ilgili kişinin e-mail adreslerinin ve sağlık verilerinin yer aldığı bir postayı aynı 193 kişiye sehven ifşalamıştır. E-mail adresleri isim soy isim içermeseler dahi kişisel veridir. İtalya Veri Koruma Otoritesi hastaneye gizlilik ve bütünlük ilkelerini çiğnemesi ve özel nitelikli kişisel verileri ifşalaması sebepleriyle para cezası verilmesine karar verilmiştir.

Ceza: 70.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

9768387

07/04/2022

Konu: Veri Sorumlusu birlikte çalışmış olduğu veri sorumlusunun rızasını almaksızın bir alt işleyici ile anlaşarak veri sorumlusundan almış olduğu ilgili kişilere ait verileri paylaşması hakkında.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Bir İtalya hastanesi, bünyesindeki verilerin işlenmesi için harici bir veri sorumlusu ile anlaşmıştır. Veri sorumlusu ise üçüncü taraf bir işleyici ile anlaşmıştır. Üçüncü taraf ise bir alt işleyici olarak bir barındırma hizmeti sağlayıcısı şirket ile anlaşmıştır ancak bu durumdan işleyicinin haberi yoktur. İzin almaksızın bu iş ilişkisine girilmesinin yanında, aralarındaki iş ilişkisi herhangi bir sözleşme ile de yasallaştırılmamıştır. İtalya Veri Koruma Otoritesi Üçüncü taraf hakkında soruşturma başlatmıştır. Veri sorumlusu çalıştığı alt işleyiciye verdiği kişisel verilere erişim vermediklerini iddia etseler dahi Otorite bu durumu veri ihlali olarak değerlendirmiştir. Bu nedenlerle, DPA, üçüncü tarafa veri işlemenin bu karara uymasını ve para cezası ödemesini emreder.

Ceza: 40.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

9762945

10/03/2022

Konu: Veri sorumlusu olan bir sağlık kuruluşunun ilgili kişinin tıbbi verilerinin yer aldığı belgenin bir kopyasını üçüncü kişi ile hataen paylaşılması hakkında.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi veri sorumlusu tıp merkezi bünyesinde çalışan bir kişinin hastalardan birine ait tıbbi verilerin yer aldığı dosyayı hataen başka bir hasta ile paylaşması üzerine soruşturma başlattı. Yapılan soruşturma neticesinde, hastanenin paylaştığı verilerin Özel Nitelikli Kişisel Veri olmasına karşın hastanenin söz konusu hatanın akabinde gerekli önlemleri alması, eğitimleri ayarlaması sebebiyle, idari para cezasına halel getirmeksizin hafifletici faktör olarak değerlendirdi. Ancak soruşturma esnasında hastanenin daha önce de GDPR ihlalinden hüküm giydiği görülmüştür. Sonuç itibariyle Otorite, veri sorumlusuna para cezası vermiştir.

Ceza: 10.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2020-442-8862

18/02/2022

Konu: Veri sorumlusu tarafından verilerin işlenirken alınması gereken teknik ve idari tebdirlerin alınmaması
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, idari bir bölgedeki kamu kurumu tarafından sağlık platformu yönetilmektedir. Bu sağlık platformu o bölgede yaşayan tüm insanların sağlık kayıtlarını tutmaktadır. Bu platforma iki kere gelen güncellemeler sonucunda toplam 4,459 hastanın kişisel verileri ihlal edildi ve ilk güncellemeden sonra hata veri sorumlusu tarafından fark edildi ama bildirim yapılmadı. Yapılan incelemeler sonucunda, veri sorumlusunun gerekli teknik ve idari tedbiri almadığı, veritabanına ilişkin bir test ve risk değerlendirmesi yapılmadığı tespit edildi.

Ceza: Veri sorumlusu eleştirilmiştir ve GDPR’a uyumlu hale gelmesi emredilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

9754355

10/02/2022

Konu: Sağlık sektöründe hizmet veren veri sorumlusu adına verileri işleyen işleyicinin ilgili kişinin verisini yanlış kişiyle paylaşması hakkında.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi sağlık sektöründe hizmet veren veri sorumlusunun, veri işleyici klinik hakkında ilgili kişinin tıbbi verilerini ihmal neticesinde üçüncü kişilerle paylaşması hakkındaki şikayeti üzerine inceleme başlatmıştır. Yapılan inceleme neticesinde Otorite, ilgili kişinin sağlık verilerinin geçerli bir yasal dayanak olmaksızın üçüncü bir tarafa ifşa edilmesine yol açtığına, kazara kayba karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenmediğinden bütünlük ve gizlilik ilkesinin ihlalini oluşturduğuna karar vermiştir. Söz konusu hukuka aykırılıklara karşın, Otorite, sağlık verisi ihlalinin yalnızca bir veri öznesini ilgilendiren münferit bir olay olmasını, veri sorumlusunun insan hatasını düzeltmek için önlemler almasını, veri sorumlusunun ihlali ilgili kişiye ve Otoriteye bildirmesini , veri ihlaliyle ilgili herhangi bir ilgili kişi şikayeti olmamasını ve veri sorumlusunun soruşturma sırasında Otorite ile tam işbirliği yapmasını, kusuru hafifletici faktörler olarak kabul etti. Bu hafifletici nedenler de göz önünde bulundurularak para cezasına hükmedilmiştir.

Ceza: 3.500 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

9744655

13/01/2022

Konu: İlgili kişinin veri işleyenden kişisel verileri hakkında bilgi talep etmesi üzerine veri işleyenin bilgilendirme yükümlülüğünü yerine getirmemesi.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi, veri sorumlusu tıp merkezinden sağlık kayıtlarına erişim talebinde bulundu. Cevap gelmemesinin ardından tekrardan başvuruda bulunan ilgili kişiye aydınlatma yükümlülüğünü yerine getirmeyen şirket hakkında Otorite, para cezasına hükmetmiştir.

Ceza: 4.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

9704032

16/09/2021

Konu: Veri sorumlusunun, bir ilgili kişinin kişisel verilerinin işlenmesine ilişkin erişim talebine yanıt vermemesi.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi, Veri Sorumlusu Sağlık Kurumu hakkında bir ilgili kişinin kişisel verilerinin işlenmesine ilişkin Madde 15 GDPR kapsamındaki erişim talebine yanıt vermediği için inceleme başlatmıştır. Bir hastanın ebeveyni veri sorumlusu’na hasta olan çocuklarının (ilgili kişi) kişisel verilerinin işlenip işlenmediği ve işlendi ise kişisel verilere erişim ile GDPR’da sayılan bilgileri talep etme hakkını kullanmak istemiştir. Veri sorumlusu talebin sağlam temellere dayanmadığı gerekçesi ile bilgi vermekten imtina etmiştir. Otorite veri sorumlusunun en geç bir ay içinde yanıt vermesi gerektiğini söyleyerek, para cezasına hükmetmiştir.

Ceza: 5.000Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

Medicals Nordic

09/09/2021

Konu: Veri sorumlusu tarafından gerekli risk değerlendirmemesinin yapılmaması ve yetkisiz erişim gerçekleşmesi.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir medikal test merkezidir. Ocak 2021’de vatandaşların gizli bilgilerini ve sağlık bilgilerini iletmek için medikal test merkezinin Whatsapp kullandığı belirlendi ve verileri uygun güvenlik önlemleriyle koruyup korumadığının öğrenilmesi için soruşturma başlatıldı. Yapılan incelemeler sonucunda, çalışanların özel telefonlarını hastaların hassas bilgilerini birbirlerine iletmek için kullandıkları görüldü. Bu iletiler Whatsapp gruplarında yapıldığından bütün çalışanlar görebilmekteydi. Bu bilgiler arasında vatandaşların sosyal güvenlik numaraları ve sağlık verileri de yer alıyordu. Dahası eski çalışanlar gruplardan çıkartılmadığı için onlar da bu bilgileri görebiliyordu. Yetkisiz erişim olduğu ve gerekli risk değerlendirmesinin yapılmadığı belirtildi.

Ceza: 80.500 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN
1 / 212

KVKK Arar, bir OD Privacy projesidir.

©2021 kvkkarar.com. Tüm hakları saklıdır.

web tasarım: mare.design
Çerez Ayarlarını Düzenle
Türkçe dilindeki özgün içerikler Google Translate aracılığıyla diğer dillere çevirilmektedir.

Türkçe dilinde GDPR karar özetlerini görmek ister misin?

Hemen Abone Ol!