EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Turizm ve Seyahat sektörü ile ilgili kararlar

PS/00315/2020

12/10/2022

Konu: Veri sorumlusunun elindeki verileri zamanı gelince imha etmemesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen başvuruya göre veri sorumlusu verilerini ve sunucularını yönetmek için yazılım ve bilgi işlem hizmetlerine adanmış başka bir şirket ile anlaşmalıdır. Aralarındaki veri işleme anlaşması, veri sorumlusunun ilişkileri sona erdiğinde kendileri için elde edilen veya işlenen tüm verileri ve kopyaları ilgili kişiye geri vermek zorunda olduğunu belirtti. İlgili kişi sunucularını dahili bir yere taşımaya karar verdiğinde veri sorumlusuna tüm verilerini kendilerine geri göndermesi talimatını verdi. Ancak, veri sorumlusu talebi yerine getirmedi ve bunun yerine ilgili kişiden sahip oldukları borçları ödemesini istedi. İlgili kişi, veri sorumlusunun kendilerine de borcu olduğunu ve mahkemeler önünde yasal bir talepte bulunduklarını ileri sürmüştür. Yapılan inceleme sonucunda, veri sorumlusunun, ilgili kişinin seçimine bağlı olarak, mevcut kopyaların yanı sıra tüm kişisel verileri silmek veya iade etmekle yükümlü kılan GDPR Madde 28(3)(g)’nin ihlal edildiği sonucuna varmıştır.

Ceza: 100,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00078/2021

12/10/2022

Konu: Veri Sorumlusunun veri minimizasyonu ilkesine aykırı hareket etmesi.

Kararı Paylaşın

Karar Özeti:

İspanya Veri Otoritesi tarafından yapılan bu soruşturma, Hollandalı bir veri sahibi tarafından İspanya’daki bir otel olan Veri Sorumlusu’na karşı Hollanda Veri Koruma Otoritesi’ne (Autoriteit Persoonsgegevens –AP) yapılan bir şikayet üzerine başlatılmıştır. Otele giriş yaparken, ilgili kişinin itirazlarına rağmen kayıt işlemi kapsamında pasaportları tarandı. Pasaport taraması, gerekliliğinden fazla kişisel veri içeriyordu. Veri sahibi, kayıt işlemini gerçekleştiren otel çalışanının, bu taramanın yerel polis gücü gerekliliklerine uymak için yapıldığını iddia ettiğini belirtti. Hollanda Veri Koruma Otoritesi, otelin ana kuruluşunun İspanya’da olması nedeniyle bu şikayeti İspanyol Veri Koruma Otoritesi’ne gönderdi. Hollanda Veri Koruma Otoritesi, gerçekten ulusal yasaların pasaport taramasını gerektirip gerektirmediğini veya otel kayıt süreci için içerdiği verilerin yalnızca bir kısmının gerekli olup olmadığını sordu. Otel, polis teşkilatının belgeyi taramak için özel bir zorunluluğu olmadığını, yalnızca gerekli alanlardaki bilgileri göndermek için olduğunu kabul etti. Otel, taranan vesikalık fotoğrafla ilgili olarak, otel içindeki alışverişlerde konuğun kimliğini doğrulamak ve üçüncü şahıslar tarafından dolandırıcılık ücretlerinden kaçınmak için kullanıldığını açıkladı. Nihai karar olarak otelin veri sahibinin kimliğini doğrulamak amacıyla veri sahibinin fotoğrafını işlemek için yasal bir dayanağı olmadığına karar vererek, otelin gizlilik politikasının, fotoğrafın fotoğrafın çekileceğinden bahsetmediğini vurguladı. veri sahibinin taranmış pasaportunun işlenmesi için yasal bir yasal dayanağa sahip olmadığı için yaptırım uygulamıştır.

Ceza: 30,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00151/2021

12/10/2022

Konu: Veri sorumlusunun veri işleme sözleşmesi yapmadan veri paylaşımı ve çerez yerleştirmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sahibi, kimlik kartı bilgilerininin konaklama sonrasında yetişkin web sitelerinde bulunduğunu iddia ederek Veri Sorumlusu’ndan şikayetçi oldu. Ayrıca, veri sahibi, otele giriş yaptığı gün, resepsiyon masasının kapalı olduğunu ve kimlik kartını tarayan bir çalışan olduğunu ve bu çalışanın, çalışma saatleri dışında otele giriş çıkışı kontrol ettiği belirtilmiştir. Ek olarak, Veri Koruma Sistemi, veri sorumlusunun web sitesini doğrularken, çerez başlığının çerez politikasına bir bağlantısı olmadığını ve yeterli bilgi bulunmadığını, onay almadan önce gereksiz çerezler kullandığını ve ayrıca yalnızca istenmeyen kişiler için onayın reddedilmesine izin vermediğini tespit etti. İncelemeler sonucunda veri sahibinin çalışan ile kişisel verilerin işlenmesini yöneten bir veri işleme anlaşması olmaması nedeniyle davalının GDPR’nin 28(3) Maddesini ihlal ettiği sonucuna varmıştır. Toplamda 7.000 EURO para cezası verildi, erken ve gönüllü ödeme ve sorumluluğunu kabul etmesi nedeniyle 4200 EURO’ya düşürüldü.

Ceza: 7,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-02716

17/02/2021

Konu: Veri sorumlusu tarafından Covid-19 salgını sırasında belirli yerlere yoldan geçenleri saymak için akıllı kameralar yerleştirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, amaçlanan işleme için yeterli yasal zemin bakımından veri sorumlusunun kamu yararına bir görevi ifa etmek için makul bir dava açtığını tespit edilmiştir. Veri Koruma Otoritesi tarafından yasal dayanak açısından bir inceleme yapılmamaktadır. Veri Koruma Otoritesi, talebi üzerine işleme operasyonlarının gerçekleştirildiği makamların görevi olduğunu belirtmektedir. Bu durumda Batı Flanders eyaleti ve ilgili kıyı belediyeleri, yasada belirtilenler çerçevesinde gereksinimlerini karşılayan yasal bir temelin var olmasını sağlamalıdır. Bu, veri sorumlusunun, kendisinin yeterli yasal dayanağın ne ölçüde sağlandığını tespit etme görevi olduğu gerçeğini değiştirmeyecektir. Bu kararda, Veri Koruma Otoritesi, kendisini bu genel mülahazalarla sınırlandırmaktadır. İşlemenin gerekliliği ve orantılılığı açısından; veri sorumlusu, uygulama ve kullanım amacı açısından işlemenin gereklilik ve orantılılık ilkelerini karşıladığını ve aynı amaçlara benzer şekilde ulaşacak alternatifsiz müdahaleci bir sistemin bulunmadığını yeterince kanıtlamaktadır. Veri Koruma Otoritesi, veri sorumlusunun varsayılan olarak veri korumasını dahil ettiği ve akıllı kameralar sisteminin kullanımı yoluyla işleme operasyonlarının tasarımında erken aşamada tasarım gereği, en başından beri uygun teknik ve organizasyonel önlemleri dahil ettiği sonucuna varmıştır. Uygulamada veri sorumlusu, herhangi bir ağa bağlı olmayan bağımsız bir sistemi tercih etmiş, bu sayede kişisel verilerin video ekipmanı aracılığıyla işlenmesi minimumda tutulmuş ve başka hiçbir kişisel veri toplanmamıştır. Veri sahiplerine karşı şeffaflık ilkesi gereğince veri sorumlusunun mahremiyet politikası ve sicili tamamen eksiksiz değildir, ancak veri sorumlusunun işbirliği ve yargılamalar sırasında mahremiyet beyanında yapılan değişiklik göz önüne alındığında, dava dairesi bir yaptırım uygulanmasını gerekli görmemekte ancak önlem alınması için tavsiye etmektedir. Dava dairesi, veri sorumlusunun kendi web sitesinde bulunan çerezler aracılığıyla kişisel verilerin işlenmesini gerekçelendirme biçiminin yeterli olmadığını ve veri koruma görevlisinin de davalının en üst yönetimine rapor vermediğini tespit etmiştir. Veri sorumlusu tarafından uygulanan akıllı kamera sisteminin kişisel verilerin işlenmesine ilişkin ilkeleri ihlal etmediği ve özel ve olağan veri koruması uygun olduğunu tespit etmiştir. Veri sorumlusu, ilgili kişinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim maddeleri uyarınca, özellikle veri sahibinden talep bağlamında talep edilen ek bilgilerle ilgili olarak, gizlilik beyanında işleme faaliyetleri hakkında sağladığı bilgileri tamamlamasını, işleme faaliyetleri kaydını işleme faaliyetlerinin kayıtlarını tutmanın gereklilikleriyle uyumlu hale getirmesini ve özellikle bu kararın bildirilmesinden sonraki bir aylık süre içinde kişisel verilerin hangi üçüncü ülkelere aktarılacağını belirtmesini emretmiştir. Veri Koruma Otoritesi, son olarak rıza çerezleri ve veri koruma görevlisi doğrudan, en yüksek yönetim düzeyine rapor vermelidir maddelerinin ihlali nedeniyle davalıya ilişkin bir kınama yayınlanmasına karar vermiştir.

Ceza: Kınama cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00320/2020

02/12/2020

Konu: İlgili kişinin rızasının alınmadan sözleşmenin imzalanması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi, veri sorumlusuna ilgili kişinin rızasını almadan sözleşme imzalamış olması ve ilgili kişiye sözleşmenin ihlali nedeniyle dava açılana kadar böyle bir sözleşmeden haberi olmamasını sonucu para cevası vermiştir

Ceza: 6.000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Arp-Hansen Hotel Group A/S indstilles til bøde

28/07/2020

Konu: Veri sorumlusu tarafından veri işleme ihlali yapılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir oteldir. Veri sorumlusunun silinmesi gereken 500.000 profili zamanında silmediği tespit edilmiştir. Yapılan incelemeler sonucunda, GDPR 5(1)(e)’yi ihlal ettiğine karar verilmiştir.

Ceza: 148.000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00386/2019

15/06/2020

Konu: Veri sorumlusunun web sitesinde ilgili kişinin rızasını almadan analitik ve reklam çerezinin yüklenmesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan bir başvuruda, ilgili kişinin gezindiği veri sorumlusunun web sitesinde rızası alınmadan analitik ve reklam çerezi yüklemesi sonucu şikayet edilmiştir. Veri sorumlusu, veri koruma otoritesi tarafından yapılan soruşturma taleplerine cevap vermemiştir. Veri koruma otoritesinin yaptığı incelemelerde, veri sorumlusunun web sitesindeki çerezin otomatik olarak yüklendiğini, çerez politikasında web sitesinde kullanıcı web sitesinde gezinirse çerezi kabul etmiş sayılacağı ifadelerinin yer aldığını tespit etmiştir. Veri koruma otoritesinin vermiş olduğu kararda veri sorumlusnun çerezlere ilişkin bilgilendirmeyi açık ve eksiksiz bir şekilde yapmadığını belirtmiştir. Bunun sonucunda para cezası ve çerez politikasını düzeltme kararı vermiştir.

Ceza: 3.000 EURO para cezası + Çerez politikasını düzetlme kararı verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?