EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

STK sektörü ile ilgili kararlar

PS/00367/2019

18/10/2022

Konu: Bütünlük ve gizlilik ilkesinin ihlal edilmesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, veri sorumlusu söz konusu siyasi partinin bağlı kuruluşlarına görünmeyen mektup kopyalama (birini diğer alıcıların bilgisi dışında iletiye ekleme ya da BCC)olmadan bir e-posta göndermesi sonucunda şikayet edilmiştir. Şikayetin ardından veri sorumlusu gerçekleri kabul etmiş ve gerekli güvenlik tedbirlerini almıştır. Veri koruma otoritesinin yaptığı araştırmalar sonucunda Bcc olmadan e-posta gönderilmesinin alıcıların bütünlük ve gizlilik ilkesine ihlal ettiğini belirtmiş ve para cezası yerine uyarı yaptırımı uygulanmasına karar vermiştir.

Ceza: Uyarı cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00119/2021

12/10/2022

Konu: Veri sorumlusu tarafından veri sahibinin rızası alınmadan görüntülerini çevrimiçi olarak kamuya açık bir şekilde sergilemek

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi Tarafından alınan başvuruda veri sorumlusu şirket, veri sahibi işçilerine ait fotoğrafları rızalarını almadan kendi internet sitesi ve sosyal medya hesaplarında paylaştığı ve sonrasında veri sahiplerinden gelen fotoğrafların silinmesi talebine uymadığı gerekçesiyle soruşturma başlatılmıştır. Veri sorumlusu, herhangi bir kanıt sunmamakla birlikte fotoğrafların veri sahiplerinin rızaları ile paylaşıldığını iddia etti. Veri sahipleri ise veri sorumlusunun rızalarını almadığı ayrıca kullanılan görüntülerin şirketin sadece iç işleyişinde kullanılacağını sandıklarını belirtti. Veri Koruma Otoritesi, inceleme esnasında veri sorumlusundan bir açıklama istedi fakat herhangi bir geri dönüş alamadı. Veri Koruma Otoritesi, veri sorumlusu görüntüleri çevrimiçi olarak kamuya açık bir şekilde sergilemek için rıza aldığını kanıtlayamadığı için ve veri sahibinin silme talebine uymadığı için ihlallerin varlığından bahsetti.

Ceza: 9,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021-441-9224

11/05/2022

Konu: Veri sorumlusu tarafından yeterli güvenlik önlemninin alınmaması

Kararı Paylaşın

Karar Özeti:

Veri sahibi sendika ve işsizlik fonu üyesidir ve partneri şiddet uyguladığı için adını ve adresini değiştirmiş ayrıca yasal olarak adres koruması da almıştır. Veri sorumlusu, ilgili kişinin adres ve adını merkezden aldığı bilgilerle güncellemiştir ama merkez yasal olarak koruma verdiğinde sistem ilgilinin manuel olarak değiştirmesine izin verir. Yapılan insan hatasından dolayı sistem sadece ilgili kişinin adını değiştirmiştir. Veri sorumlusu da ilgili kişiye dergi gönderirken, eski adresine yani partnerinin adresine gönderir. Bu durumda partner ilgili kişinin yeni adını öğrenmiş olur. Yapılan inceleme sonucunda, veri sorumlusunun risklerle ilgili gerekli teknik ve idari tedbiri almadığı, sistemdeki bilgileri güncellemek için herhangi sistem desteği olmadığı ayrıca veri doğruluğunu kontrol etmediği tespit edildi. Uyarı sitemi kurulabileceği belirtildi.

Ceza: Belirtilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

“2021-431-0151

27/04/2022

Konu: Veri sorumlusu tarafından işlenen kişisel verilerin gereklilik ve orantılılık ilkeleriyle bağlantısı hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu çocuklara ve gençlere barınma ve destekleme hizmeti sunan bir sığınma evidir. Veri sorumlusu çocukların adlarını ve sosyal güvenlik numaralarını mesaj aracılığıyla almayı ve kuruma tescil etmeyi talep etti. Bu durum fark edilince soruşturma başlatıldı. Yapılan incelemeler sonucunda, veri sorumlusu çocukların velilerinin orda olmadığından ve sadece mesaj ile erişildiğinden başka yöntemlerin denenmediğini söyledi. Eğer veliye bu şekilde ulaşmasaydı çocuğun dışarıda kalacağını çünkü yasal olarak velinin rızasının alınması gerektiğini belirtti. İncelemeler sonucunda, gizli bilgileri iletirken güvenlik önlemleri alınması gerektiği belirtildi ve istisnai olarak savunmasız insanların durumlarının dikkate aldığı çıkarları dengeleyip belgelendirmesi gerektiği belirtildi.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-01377

02/02/2022

Konu: Veri sorumlusu tarafından şeffaflık ve bilgilendirme yükümlülükleri doğrultusunda kişisel verilerinin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemlerin uygulanmaması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından, IAB Avrupa’nın yüksek hacimli veri işleme faaliyetlerinin GDPR’ın çeşitli hükümlerine aykırı olup olmadığı iddiası üzerine incelemeleri sonucunda saklanan ve elde edilen veriler kişisel veri olarak kabul edilmiştir. Kullanıcıların depolanan tercihlerinin kimlerle paylaşıldığı ve kimlere aktarıldığı konusunda bilgilendirme yapılmadığı tespit edilmiştir. Veri Koruma Otoritesi, veri sorumluları bağlamında gerçekleştirilen veri işleme faaliyetlerinde şeffaflık yükümlülüğünün yerine getirilmediğine dolayısıyla hesap verilebilirlik, kendiliğinden ve tasarım ile verinin korunması, güvenilirlik ve gizlilik, güvenlik yönlerinden ihlalin varlığına hükmetmiştir. Sonuç olarak Veri Koruma Otoritesi; veri sorumlusunun sistemi New York’ta bulunan bir laboratuvar tarafından geliştirildiğinden bu kapsamda yetkisiz olduğuna, uygulanacak yaptırımların, tüm verilerin silinmesine, veri sorumlusunca veri işlemenin meşru menfaat sebebi olarak benimsenmemesine, veri işleme faaliyetlerinin kaydının tutulmasına, veri koruma görevlisi atanmasına, veri sorumluları yönünden veri işleme etki değerlendirmesinin 6 aylık süre içerisinde gerçekleştirilmesine karar vermiştir.

Ceza: 250,000 Euro ceza verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00264/2020

14/01/2021

Konu: Veri sorumlusunun, web sitesinde kullandıkları çerez politikasının yeterli bilgiye yer vermemesi ve “tüm çerezleri reddet” seçeneğinin olmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda,veri sorumlusu derneğin web sitesinin sitelerinde çerez politikasının yeterli bilgi ve “tüm çerezleri reddet” seçeneğinin olmaması konusunda araştırmalar başlatmıştır. Yapılan araştırmalarda derneğin web sitesinde çerez engelleyicinin kısa ve anlaşılır olmadığını, çerezlerin tanımları ve ne zaman aktif olduklarının ve “tüm çerezleri kapat” seçeneğinin olmadığı tespit edilmiştir. Bunun yanı sıra İspanya Bilgi Toplumu ve Elektronik Ticaret Hizmetleri Yasasını da ihlal ettiği teşkil edilmiştir. Bu nedenlerle Veri koruma otoritesi bir uyarı yaptırımı uygulamıştır. Buna ek olarak da çerez başlığını değiştirmek ve yeni bir çerez politikasını sunmak için bir aylık sürenin olduğunu belirtmiştir.

Ceza: Uyarı cezası verilmiştir, yeni bir çerez politikası ve çerez başlığını değiştirmek için 1 aylık süre verilmiştir

İlgili GDPR kararlarını görmek ister misin?

PS/00274/2019

06/10/2020

Konu: Bütünlük ve gizlilik ilkesinin ihlal edilmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otorisine yapılan bir başvuruda gerçek kişinin sendika temsilcisininb birliğe dahi dahil olmayan ve normal personel olarak kabul edilen tüm seçmenlerin kimlik numaraları gibi kişisel verileri içeren bir seçim nüfus sayımı listesinin açıkça yayınlanması ilgili kişi tarafından şikayet edilmiştir. Veri koruma otoritesi tarafından yapılan incelemede bu tür yayının bu şekilde yapılması için yasal bir dayanak yoktur, çünkü kişisel verilen sendika temsilcisi tarafından yayınlanması iddia edilen amaca aşırı olduğui için yayın yasal olarak meşru menfaat kapsamında da olamaz. Sendika özgürlüğü hakkı üzerinde sendika böyle bir amaçla verilerin yayınlanması kanunun sınırlarını önemli ölçüde aşmıştır. Veri koruma otoritesi sendikanın gizlilik ilkesine ihlal etmesi sonucu para cezası verilmesine karar verilmiştir.

Ceza: 3.000 EURO para cezası verilmiştir

İlgili GDPR kararlarını görmek ister misin?

DOS-2019-04191

28/05/2020

Konu: Veri sorumlusu tarafından, ilgili kişinin işleme yönelik tekrarlanan itirazlara rağmen yasal dayanağı olmayan doğrudan pazarlama uygulamaları yapılması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, verilerinin doğrudan pazarlama amacıyla işlenmesine itiraz ettikten ve kuruluşun verilerini veri tabanından silmesini talep ettikten sonra bile promosyon malzemeleri almaya devam eden veri sorumlusunun eski bir bağışçısı olan veri sahibi tarafından yapılan şikayetin ardından Veri Koruma Otoritesi aşağıdakileri dikkate alarak ihlal sonucuna varmıştır:
ilgili kişinin verilerinin kullanımına tekrar tekrar itiraz etmesine ve veri sorumlusunun şikayetten haberdar edilmesinden sonra bile veri sorumlusu, doğrudan pazarlama mesajlarının gönderilmesini durdurmaması; veri sorumlusunun doğrudan pazarlama için uygun bir yasal dayanağının olmaması; 7 yıl sonra verilerinin işlenmemesini meşru olarak bekleyebilecek olan ilgili kişinin haklarının kuruluşun meşru menfaatlerine ağır basması. Ayrıca, veri sorumlusu ilgili kişinin itiraz hakkını açık ve net bir dille açıkça belirtmiş olmalıdır; gizlilik politikasında itiraz hakkından yalnızca bahsetmek yeterli görülmemiştir. Diğer faktörlerin yanı sıra örgütün sınırlı cirosu ve uygulamaların 5 yılı aşkın süredir devam etmesi göz önüne alındığında, Veri Koruma Otoritesi; 1000 Euro para cezası verilmiştir.

Ceza: 1000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00337/2019

14/02/2020

Konu: İlgili kişinin verilerinin işlenmesine itiraz etme hakkına saygı gösterilmemesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, veri sorumlusu tarafından ilgli kişinin kişisel verilerinin işlenmesine itiraz etmesi haline saygı gösterilmemesi sonucu şikayet edilmiştir. Veri koruma otoritesinin yaptığı incelemelerde verilerin işlemeye itiraz hakkının mutlak olmadığını, veri sorumlusunun veri işlemeye devam etmek için meşru gerekçe gösterebiliyorsa verilerin işlenebileceğine karar vermiştir. Aynı zamanda ilgli kişinin itirazını son tarih içinde etmediğini, veri sorumlusunun adresine siyasi reklam göndererek kanunu ihlal etmediğini tespit etmiştir.

Ceza: Ceza verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2019-41-0028

05/11/2019

Konu: Veri sorumlusu tarafından gerekli idari ve teknik önlemlerin alınmaması.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’nin yürüttüğü incelemeler sonucunda, veri sorumlusu olan ticaret birliğinin bir vatandaşın sosyal güvenlik numarasını birliğin veritabanında saklanan e-postalara erişmek için şifre olarak kullandığı tespit edilmiştir.

Ceza: Belirtilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?