EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sigorta sektörü ile ilgili kararlar

9771184

28/04/2022

Konu: Veri sorumlusunun ilgili kişilere ait verileri üçüncü kişilere birden fazla defa ifşalaması hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu sigorta şirketi sahip olduğu ilgili kişilere ait verileri işlemesi için bir veri işleyici ile anlaşmıştır. İşleyicinin kusuru sebebiyle on kişinin verileri üçüncü kişilere ifşa edildi. Veri sorumlusu ilk veri ihlalinden sonra önlemler almaya çalışsa da Otorite alınan önlemlerin yeterli olmadığına kanaat getirdi. Ayrıca, Veri sorumlusunun bu tür önlemlerin etkinliğini test etmek, doğrulamak ve değerlendirmek için prosedürleri uygulama yükümlülüğü vardır. Veri sorumlusu, ne güvenlik ihlallerini önleyebildi ne de teknik kökenlerini tespit edebildi. Otorite, bunun aynı zamanda yasallık, adalet ve şeffaflık ilkesinin ve dürüstlük ve gizlilik ilkesinin ihlali olduğunu belirtti. Veri sorumlusu son yapılan ihlalin kaynağının insan hatası olduğunu iddia etmiştir. Otorite ihlalin kaynağının bir insan hatası olduğu için, son veri ihlali sırasında güvenlik önlemlerini yeterli olarak değerlendirdi. Bu sebeplerden ötürü para cezası verilmesine karar verilmiştir..

Ceza: 50.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020-31-3840

08/12/2021

Konu: Veri sorumlusu tarafından, ilgili kişinin sağlık verilerinin işlenmesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan başvuruda, veri sahibinin yaralandığı bir kaza sonucunda şirketten tazminat talep etmek adına Sigorta Şirketinden verilerini istemiştir. 5 yıllık sağlık verilerini tutmasına yönelik verdiği onayın Sigorta Şirketi tarafından ilgili kişinin yaralanmasından önceki süreçte de veri sahibinin onayı olmadan sağlık verilerini topladığı anlaşılmıştır. Yapılan incelemeler sonucunda, şirketin veri toplama faaliyetinin ilgilinin rızası doğrultusunda olmadığı fakat bu veri toplama faaliyetinin sözleşmenin ifası için gerekli olduğu ve sözleşme kapsamında olası bir tazminat belirlemek için gerekli olduğu sonucuna varılmıştır.

Ceza: İlgili kişi başvurusu reddedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020-31-3586

06/09/2021

Konu: Veri sorumlusu tarafından ilgili kişinin kendine ait olan verilerini vermeyerek erişim hakkını ihlal etmesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan başvuruda, ilgili kişinin trafik kazasında yaralandığı ve bağlı olduğu Sigorta Şirketinden zararın tazmin edilmesini istediği ancak Sigorta Şirketi ilgili kişinin rızası dışında onun verilerini topladığı belirtildi. İlgili kişi bunu öğrendiğinde bir hukuk firması ile iletişime geçerek kişisel verilerine erişim hakkını kullanarak Sigorta Şirketinin hazırladığı gözetim raporuna erişim talebinde bulundu. Gözetim raporunu vermemekte ısrar eden Sigorta Şirketine karşı dava açıldı. Şirket raporu verdi ancak şirket veri erişim hakkının mutlak olmadığını savundu. Yapılan incelemeler sonucunda, şirketin kişisel verilere erişim hakkını ihlal ettiğini tespit etti ve erişim hakkının kısıtlanmasının ise sadece veri denetleyicisi tarafından hakim menfaatler doğrultusunda olabileceğini belirtti.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-02902

06/05/2021

Konu: Veri sorumlusu tarafından kişisel verilerin üçüncü bir tarafa amaç unsuru olmaksızın aktarımı.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan temyiz başvurusunda, üçüncü bir tarafa aktarım için ayrı ve açıkça tanımlanmış bir amacın gerekli olduğunu belirtmiştir. Aynı amaç için birden fazla, farklı işleme gerçekleştirilebilir ancak her biri yasal bir dayanak gerektirir. İşleme faaliyetinin hukuka uygunluğunun incelenmesinde şikayetçi, sağlık verilerinin bir sigorta şirketi tarafından açıkça kabul etmediği bir amaç için kullanıldığını iddia etmiştir. Davalı ise meşru menfaatini yasal dayanak olarak kullandığını iddia etmektedir. ”Amaç testi” için gerekli olanlar, işlemenin gerekliliği ve bir dengeleme testine dayanma gerekliliklerini açıklar. İlk koşul, veri sorumlusu arafından açıklanan işleme amacının meşru bir menfaat göz önünde bulundurularak gerçekleştirilmesidir. İzlenen menfaat, başlı başına meşru menfaat olarak kabul edilir. İkinci koşulu yerine getirmek için, işlemenin izlenen amaçların gerçekleştirilmesi için gerekli olduğu gösterilmelidir. Daha spesifik olarak, bu, kişisel veriler işlenmeden veya veri sahipleri için gereksiz yere müdahaleci bir işlem yapılmadan aynı sonuca başka yollarla ulaşılıp ulaşılamayacağının sorulmalıdır. Üçüncü koşul olarak “veri öznesinin, kişisel verilerin toplanması sırasında ve bağlamında, işlemenin bu amaçla gerçekleşebileceğini makul bir şekilde bekleyip bekleyemediği” değerlendirilmelidir. Bunun sonucunda üçüncü bir kişiye devir için belirli ve ayrı bir amaç belirtemediğinden şeffaflık ilkesi ışığında, GDPR’nin ihlali söz konusudur. Veri sahibi hassas bilgileri paylaşmak istemese bile, en azından veri sahiplerine açık ve şeffaf bir şekilde daha fazla bilgi sağlamalıdır. Bunun için şirketin hassas veya ‘ağır’ belgeleri tek başına paylaşımı için gerekli bir sebep tespit edilememiştir. İlk karara ve temyize dayanarak, sigorta şirketi için para cezası 50.000 Euro’dan 30.000 Euro’ya düşürülmüştür.

Ceza: Para cezasının düşürülmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020-31-2757

20/08/2020

Konu: Veri sorumlusunun ilgili kişinin erişim talebini yerine getirmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir Sigorta Şirketidir. Veri sahibi, bilgilerine erişim talep etmesine rağmen veri sorumlusu erişim sağlamamıştır. İlgili kişi özellikle tıbbi değerlendirmesini hazırlayan danışmanının adını öğrenmek istemiştir ama öğrenemediğin bahisle şikayetçi olmuştur. Yapılan incelemeler sonucunda, Veri Koruma Otoritesi Sigorta Şirketinin GDPR’a uygun davrandığını tespit etmiştir.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2019-31-1424

28/02/2019

Konu: Veri sorumlusu tarafından kişisel verilere erişimin kısıtlanması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir emeklilik şirketidir. Vatandaş şirketin kendisine tıbbi danışman sağlamadığını öne sürerek şikayetçi oldu. Bu şikayet üzerine emeklilik şirketi, gizlilik politikasına göre bu tür belgelerin şirket içi belgeler olduğunu ve müşterilerle paylaşılmadığını iddia etmiştir. Yapılan incelemeler sonucunda, şirketin belli kategorilerdeki verilere erişimi kısıtlayamayacağına karar verilmiştir ve şirkete somut değerlendirme yapması söylenmiştir.

Ceza: Belirtilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?