EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Ulaşım sektörü ile ilgili kararlar

PS/00280/2022

15/05/2023

Konu: Kargo şirketi tarafından veri öznesine ait kargo paketinin onay alınmaksızın 3. kişiye bırakılması ve veri öznesine ait kişisel verilerin 3. kişiye hukuka aykırı olarak ifşa edilmesi

Kararı Paylaşın

Karar Özeti:

Karara konu olayda kargo şirketi tarafından veri öznesine ait paketin 3. kişiye bırakılması ve kişisel verilerin hukuka aykırı olarak 3. kişi ile paylaşılması söz konusudur. Kargo şirketi somut olayda veri sorumlusu olmadığını iddia etmiş ve sorumluluktan kaçınmıştır. Veri Koruma Otoritesi tarafından yapılan değerlendirmede kargo şirketi ve veri sorumlusu şirket arasında veri işleme süreçlerinin detaylarını içeren bir sözleşmenin bulunmadığına ve kişisel verilerin hukuka aykırı olarak 3. kişiyle paylaşılmasının söz konusu olduğuna karar verilmiştir. Veri Koruma Otoritesi veri sorumlusu tarafından kişisel verilerin hukuka aykırı 3. kişilerle paylaşılması nedeniyle veri sorumlusuna 50.000 Euro para cezası verilmesine karar ve veri sorumlusunun, kişisel verilere 3. kişilerin yetkisiz erişimini önlemek için gerekli önlemleri almaması nedeniyle GDPR’ın 32’nin ihlal edildiğini tespit ederek bu ihlal için veri sorumlusuna 20.000 Euro para cezası verilmesine hükmedilmiştir.

Ceza: 70,000 Euro para cezası verilmesine hükmedilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00493/2020

12/10/2022

Konu: Veri sorumlusunun geçerli bir yasal dayanağı olmadan ilgili kişinin kişisel verilerini içeren bir kararın bir kopyasını yayınlaması

Kararı Paylaşın

Karar Özeti:

İlgili kişi,veri sorumlusuna karşı, kişisel verilerini içeren ve düzenlemeden geçirilmemiş bir kararın işletmenin web sitesinde ve Facebook sayfasında yayınlanmasıyla ilgili olarak veri koruma otoritesine şikayette bulundu. Ocak 2020’de, kendisine soruşturma bildirildikten sonra, veri sorumlusu kararın bağlantısını ilgili sayfalardan kaldırdığını, ancak yine de yayının meşru menfaat nedeniyle yasal olduğunu düşündüğünü savundu. Ancak, Haziran 2020’de ilgili kişi veri koruma otoritesine, Google aramasına bir kişinin adının girilmesi halinde kararın web sitesinde hâlâ mevcut olduğuna dair kanıt sunmuştur. Veri koruma otoritesi, söz konusu işlemeyi GDPR Madde 6(1) uyarınca geçerli bir yasal temele dayandıramayacağından, veri sorumlusunun bireyin kişisel verilerini içeren kararın kopyasını yasa dışı olarak yayınladığına karar vermiştir.

Ceza: 6,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00301/2020

12/10/2022

Konu: Veri sorumlusunun yanlış veriler içeren bir fatura düzenlemesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre; veri sorumlusu bir fatura düzenlerken yanlış veriler kullanmıştır. Veri sorumlusu, ilgili kişinin kişisel e-postasından ve kendi kişisel verileriyle birlikte bir sipariş almıştır ancak teslimat adresi, veri sahibinin çalıştığı şirketin adresiydi. Veri sorumlusu daha sonra ilgili kişiden durumu düzeltmesini ve ilgili kişiden kontrolörün halihazırda sahip olduğu bilgileri talep etti. İnceleme sonucunda işlenen kişisel verilerin doğru olmaması nedeniyle veri sorumlusunun doğruluk ilkesini ihlal ettiği ve kişisel verilerin doğruluğunu sağlamak için makul adımlar atmadığı sonucuna varmıştır.

Ceza: 10,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00263/2021

12/10/2022

Konu: Veri sorumlusunun ilgili kişinin taleplerine uymaması

Kararı Paylaşın

Karar Özeti:

İlgili kişi, lojistik şirketi veri sorumlusundan istenmeyen ticari iletişimler aldıktan sonra Veri Koruma Otoritesi’ne şikayette bulundu. İlgili kişi, itiraz hakkını kullandıktan sonra birkaç ticari e-posta almaya devam etmiştir. Veri sorumlusu , ilgili kişinin posta adresini veri tabanından sildiğini iddia etmesine rağmen, bu adrese ticari posta göndermeye devam etti. Veri Koruma Otoritesi, veri sorumlusunun çerezleri ve istenmeyen ticari iletişimleri (LSSI) düzenleyen İspanyol yasasının 21. Maddesini ihlal ettiğini değerlendirdi. Bu yasa, şirket tarafından yürütülen, istenmeyen ticari iletişimler göndermesini yasaklar. Bu nedenle, şirkete 3.000 EURO para cezası verildi, bu ceza erken ödeme ve sorumluluğun kabulü için 1.800 EURO’ya düşürüldü.

Ceza: 3,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00267/2020

12/10/2022

Konu: Veri sorumlusunun GDPR madde 10 uyarınca talep edemeyeceği belgeleri istemesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi , veri sorumlusunu İspanya Veri Koruma Otoritesi’ne şikayette bulundu. Veri sorumlusunun işe alım süreçlerinde potansiyel adaylardan sabıka kaydı belgesi vermelerini istediğini bildirdiler. Potansiyel nakliye çalışanları ile bir sözleşme yapmak için sabıka kaydı sertifikasının işlenmesinin gerekli olduğunu ve bu işlemin, işe alınırsa serbest çalışan nakliyeciler olarak kabul edilecek olan veri sahiplerinin rızasına dayandığını iddia etti. Aynı zamanda adayların kişisel verilerinin üçüncü şahıslarla uluslararası veri aktarımlarına izin vermelerini de gerektiriyordu. Veri Koruma Otoritesi, veri sorumlusunun sabıka kaydı bulunmadığına dair bir belgenin GDPR’ın 10’uncu Maddesi kapsamında cezai hükümler ve suçlarla ilgili kişisel verilerin işlenmesi anlamına gelmediği yönündeki iddialarını reddetmiştir. Ayrıca, yetkili ulusal makamın taşımacılık lisansları verdiği yasanın bile (Real Decreto 1211/1990 por el que se aprueba el Reglamento de la Ley de Ordenación de los Transportes Terrestres – ROTT) sabıka kayıtlarını gerekli bir gereklilik olarak oluşturmadığını da kaydetti. Veri sorumlusunun müşterilerinin güvenliğini ve güvenini korumak zorunda olduğunu iddia ettiği meşru menfaat ile ilgili olarak, bu potansiyel meşru menfaati işe alım sürecinde adayların menfaatleri ve temel haklarına karşı düşündüklerine dair herhangi bir kanıt sunmadığını kaydetti. Veri sorumlusu, işe alım süreçlerinde geçerli bir yasal dayanak olmaksızın sabıka kaydı belgeleri talep ettiği için 2.000.000 para cezası verdi. Ek olarak mevcut uygulamalarının GDPR uyumlu olduğunu kanıtlayacak belgeler sağlamasını emretti.

Ceza: 2,000,000 EURO para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

PS/00050/2021

12/10/2022

Konu: Veri sorumlusu tarafından hukuka aykırı şekilde biyometrik veri işlenmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne işçi sendikası tarafından yapılan başvuruda, Veri sorumlusu, kart okuyucu sistemiyle birlikte kullanılan bir sistem olan parmak izlerini kullanarak işçilerin erişimini kontrol etmek için bir biyometrik tanımlama sistemi uyguladığı için veri sorumlusuna soruşturma açıldı. Veri sorumlusu, işçilere , özgür rıza hakkı tanımamış ve bu sebeple özgür rıza dışında bir durum gerçekleşmiştir. Veri sorumlusu şirket 520 kişi olduğundan, bu sistemin takip açısından daha yararlı olduğunu, işyerinin çok büyük olduğunu ve işçilerin mesai yerlerine ulaşmak için 20 dakika yürümeleri gerektiğini, bu nedenle görevlerine gerçekten ne zaman eriştiklerini belirlemek için ek bir kontrol sistemine ihtiyaçları olduğunu savundular. Veri sorumlusu ayrıca, sonucun “düşük riskli” olduğunu ve bu nedenle bir ihlalın bulunmadığını önceden yapılan bir risk analizi sonuçları ile gösterdi. Veri Kontrol Otoritesi, sistemin şirketin iddia ettiği gibi bir sistem olduğunu değil, biyometrik verilerin tüm çalışanların biyometrik şablonlarıyla karşılaştırıldığı bir sistem olduğu sonucuna varmıştır. , GDPR madde 35 doğrultusunda bir ihlal nedeniyle para cezasına karar verdi. Gönüllü ödeme nedeniyle bu yaptırım, 16.000 EURO’ya indirildi.

Ceza: 20,000 EURO ceza verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-04750

04/05/2022

Konu: Veri sorumlusunun, müşterilere herhangi bir devre dışı bırakma seçeneği olmayan istenmeyen bir reklam e-postası göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi, ilgili kişinin, sözleşmenin ifası için promosyon içerikli bir e-posta göndermenin gerekli olmadığına karar vermiştir. Bilet sahiplerini sözleşme koşulları ve güvenlik önlemleri hakkında bilgilendirme amacına, bilgilerin kontrolörün web sitesinde yayınlanmasıyla da ulaşılabileceğini tespit etmiş, ayrıca e-postanın ”doğrudan pazarlama” teşkil ettiğini ve veri sahibine gelecekte benzer e-postaları almaktan vazgeçme olanağı sağlamayarak ihlalin varlığını tespit etmiştir. Sonuç olarak Veri Koruma Otoritesi tarafından ihlale karşı veri sorumlusu hakkında 10.000 Euro para cezası verilmesine karar vermiştir.

Ceza: 10000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9771545

07/04/2022

Konu: Veri sorumlusunun bünyesinde çalışan bir ilgili kişiye ait kurumsal maili önceden haber vermeksizin erişimine kapatması ve verilerine erişmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu olan bir ticari şirket bünyesindeki bir çalışanın kurumsal mailini önceden haber vermeksizin çalışanın erişimine kapatmıştır. Bunun üzerine İtalya Veri Koruma Otoritesi soruşturma başlatmıştır. Soruşturma neticesinde Otorite veri sorumlusunun veri sınırlaması ilkesine aykırı hareket ettiğine ve iş ilişkisinde çalışanların veri haklarının korunması gerektiğine karar kılmıştır. Otorite gizliliğin ihlaline ilişkin devam eden prosedürler için gerekli korumaya halel getirmeksizin, denetleyicinin e-posta hesabındaki kişisel verileri daha fazla işlemesini yasaklamıştır. Ek olarak, veri sorumlusuna para cezası vermiştir.

Ceza: 50.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

DOS-2020-02823

04/04/2022

Konu: Veri sorumlusunun, geçerli bir yasal dayanağı olmadan veri sahiplerine yeterli bilgi sağlamadan ve uygun bir veri koruma etki değerlendirmesi yapmadan yolcular üzerinde termal kameralarla sıcaklık kontrolleri yapması, diğer veri sorumlusunun ateşi 38°C’nin üzerinde olan yolcuların tıbbi servis tarafından muayene edilmek üzere bilgilerinin kağıt üzerinde saklanması ve elektronik ve potansiyel olarak kişi takibi için paylaşılması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından yapılan soruşturma sonucunda, ilk olarak havalimanının ilk adım bağlamında verilerin işlenmesi için veri sorumlusu olduğu sonucuna varmıştır. Havaalanı ve sağlık hizmeti, ikinci işlem hattı için ortak veri sorumluları olarak kabul edildi. Sözleşmeye dayalı anlaşma kapsamındaki yeterliliğin Veri Koruma Otoritesi üzerinde bağlayıcı olmadığı değerlendirilmiştir. Veri Koruma Otoritesi, GDPR’ın ilgili maddelerinin hem havaalanı hem de ortak veri sorumlusu olarak hareket eden sağlık hizmeti tarafından ihlal edildiği sonucuna varmıştır. Veri Koruma Otoritesi, yasal bir yükümlülük oluşturduğu iddia edilen belirli yasal hükümlere atıfta bulunulmamasının GDPR Madde 13’ün ihlali anlamına geldiğine karar verdi. Ayrıca yasal dayanağın prosedür sırasında değil gizlilik politikasında açıklanması gerektiği vurgulanmıştır. Veri sahibi tarafından işlemeyi gerekçelendirmek için çağrılan protokolün yasal olarak bağlayıcı olmadığı ve yolcuların sıcaklıklarının izlenmesi yükümlülüğünü içermediği için hiçbir yasal zorunluluğun bulunmadığını değerlendirmiştir. Ek olarak, protokol izlenen amaçlar ve izleme koşulları konusunda yeterince kesin değildir ve yayınlanmamıştır. Bu nedenle yolcuların erişimine açık değildir. Ayrıca, veri sahipleri için sonuçların belirtilmemesinin de ihlale sebep olduğuna dikkat çekilmiştir. Aynı şeffaflık eksikliği sağlık hizmetinde de gözlemlenebileceği belirtilmiş ancak bu unsurlar denetim servisi tarafından araştırılmadığı için bu konuda bir sonuca varılmamıştır. Veri Koruma Otoritesi, işleme için açık bir yasal dayanak ve DPIA’da risk değerlendirmesinin olmaması gibi bazı bilgilerin eksik olması nedeniyle DPIA’nın uygun şekilde yürütülmediğini değerlendirmiştir. Ayrıca ikinci aşamada verilerin işlenmesinin, tıbbi servisten teşhis hakkında yasal bir karar alınacağını düşünerek, doktora yapılan ziyaretten farklı olduğunu değerlendirmiştir. Ayrıca, işleme tabi tutulabilecek potansiyel yolcu sayısının DPIA sırasında bilinmemesi bu sonucu etkilemeyeceği belirtilmiştir.

Ceza: Havalimanı’na 200.000 Euro para ve kınama cezası verilmiştir, tıbbi şirket için 20.000 Euro para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

9771142

24/03/2022

Konu: Veri sorumlusu ilgili kişilerin rızasını almaması, gerçekleşen ihlali İtalya Veri Koruma Otoritesine bildirmemesi hakkında.

Kararı Paylaşın

Karar Özeti:

İtalya Veri Koruma Otoritesi ulaşım ağı şirketi veri sorumlusunun yaptığı bir veri ihlalinin kamuya açıklanmasının ardından veri sorumlusu hakkında soruşturma başlatmıştır. Yapılan soruşturma neticesinde ihlalin yaklaşık 57 milyon veri öznesini içerdiği tespit olunmuştur. Verilen ceza ilgili kişilerinin verilerinin işlenmesi sırasında veri sahiplerinin rızasının alınmaması, yapılan ihlalin Otoriteye bildirilmemesi ve bir milyonu aşkın kullanıcının verilerini düşük korumalı olarak kayıt etmesi hakkındadır. Veri koruma otoritesi idari para cezasına hükmetmiştir.

Ceza: 4.240.000 Euro para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?