EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Sigortacılık sektörü ile ilgili kararlar

PS/00322/2021

12/10/2022

Konu: Veri sorumlusunun veri imha talebine uymaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre, veri sorumlusu, ilgili kişinin imha talebine uymamıştır. İlgili kişi, 2016’dan 2020’ye kadar çeşitli e-postalar yazdıklarını ve kişisel verilerinin silinmesini talep ettiğini iddia etti. Ek olarak, ilgili kişi e-postalarını 2020’de İspanyol Robinson Listesi’ne (pazarlama iletişimleri için bir devre dışı bırakma listesi) kaydettirdi. Ancak veri sahibi, bu taleplerin yanıtlanmadığını veya kabul edilmediğini iddia etti. Veri sorumlusu bu taleplere, ilgili kişinin bilgilerinin dosyada bulunmadığını belirterek yanıt verdiğini iddia etti. Ek olarak, pazarlamanın adı ve şirket logosuna sahip olmasına rağmen, pazarlama faaliyetinin aslında bir aracı sigorta acentesi ve dolayısıyla silme talebinin uygun alıcısı tarafından yürütüldüğü konusunda ilgili kişiyi bilgilendirdiğini iddia etmiştir. Veri sorumlusu işlenen tek bilginin yalnızca ilgili kişinin e-postası olduğunu, bu e-postanın kişiyi bireysel olarak tanımlamadığını ve bu nedenle kişisel veri olarak kabul edilmemesi gerektiğini iddia etti. Veri Koruma Otoritesi, e-postaların (telefon numaralarının yanı sıra) kayıtlı oldukları adı içermemesine rağmen, kişiyle doğrudan bir bağlantısı olduğunu ve onları tanımlanabilir kıldığını ve bu nedenle, burada oluşturulan tanım kapsamında kişisel veri olarak kabul edildiğini belirtti. İlgili kişinin e-postalarını İspanyol Robinson Listesine kaydettirmesinin, pazarlama iletişimlerini almayı kabul etmediğinin açık bir göstergesi olduğuna karar verdi. Bu nedenle, sigorta şirketi adına bu e-postaların sürekli olarak alınması, ihlale sebep oluşturmuştur.

Ceza: 300,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00080/2022

12/10/2022

Konu: Veri sorumlusu tarafından kişisel verilerin üçüncü kişiler ile paylaşılması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sorumlusu olan bir sigorta şirketi tıbbi klinik testleri için yetkilendirmeler hakkında belgeler paylaşıyor. Testler veri sahibinin hiç tanımadığı üçüncü kişiye e-posta yoluyla birden fazla kez iletti. Üçüncü kişi, böyle bir e-posta aldığında durumu sigorta şirketine bildirdi, ancak sigorta şirketi üçüncü kişiyi şirket içerisindeki diğer departmanlara yönlendirdi. Bu nedenle sorun çözülmedi ve üçüncü kişi daha fazla e-posta almaya devam etti. Belgelerde yetki numarası, sigortalının bilgileri (adı, soyadı, sigorta poliçesi numarası) ve tıbbi testlerin türü yer aldı. Yapılan incelemeler sonucunda, tıbbi bilgilerini üçüncü taraflara göndererek veri sahibinin kişisel verilerinin uygun güvenliğini sağlamamanın bütünlük ve gizlilik ilkesini ihlal ettiğine karar verildi. Ayrıca Veri Koruma Otoritesi, güvenlik önlemlerinin eksikliği denetleyicinin yapısal bir sorununu temsil ettiğini ve denetleyicinin, veri sahiplerinin hak ve özgürlüklerine yönelik bir risk oluşturan kişisel veri ihlalini, bunu öğrendikten sonra en geç 72 saat içinde yetkili makama bildirmemesi sebebiyle birkaç ihlalin gerçekleştiğine karar verdi. Nihai karardan önce gönüllü ödeme için %20 ve sorumluluğun kabulü için %20 indirim uyguladıktan sonra 132.000 € para cezası verdi.

Ceza: 132,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?