EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Ulaşım sektörü ile ilgili kararlar

PS/00267/2020

11/02/2022
Konu: Veri sorumlusunun GDPR madde 10 uyarınca talep edemeyeceği belgeleri istemesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi , veri sorumlusunu İspanya Veri Koruma Otoritesi’ne şikayette bulundu. Veri sorumlusunun işe alım süreçlerinde potansiyel adaylardan sabıka kaydı belgesi vermelerini istediğini bildirdiler. Potansiyel nakliye çalışanları ile bir sözleşme yapmak için sabıka kaydı sertifikasının işlenmesinin gerekli olduğunu ve bu işlemin, işe alınırsa serbest çalışan nakliyeciler olarak kabul edilecek olan veri sahiplerinin rızasına dayandığını iddia etti. Aynı zamanda adayların kişisel verilerinin üçüncü şahıslarla uluslararası veri aktarımlarına izin vermelerini de gerektiriyordu. Veri Koruma Otoritesi, veri sorumlusunun sabıka kaydı bulunmadığına dair bir belgenin GDPR’ın 10’uncu Maddesi kapsamında cezai hükümler ve suçlarla ilgili kişisel verilerin işlenmesi anlamına gelmediği yönündeki iddialarını reddetmiştir. Ayrıca, yetkili ulusal makamın taşımacılık lisansları verdiği yasanın bile (Real Decreto 1211/1990 por el que se aprueba el Reglamento de la Ley de Ordenación de los Transportes Terrestres – ROTT) sabıka kayıtlarını gerekli bir gereklilik olarak oluşturmadığını da kaydetti. Veri sorumlusunun müşterilerinin güvenliğini ve güvenini korumak zorunda olduğunu iddia ettiği meşru menfaat ile ilgili olarak, bu potansiyel meşru menfaati işe alım sürecinde adayların menfaatleri ve temel haklarına karşı düşündüklerine dair herhangi bir kanıt sunmadığını kaydetti. Veri sorumlusu, işe alım süreçlerinde geçerli bir yasal dayanak olmaksızın sabıka kaydı belgeleri talep ettiği için 2.000.000 para cezası verdi. Ek olarak mevcut uygulamalarının GDPR uyumlu olduğunu kanıtlayacak belgeler sağlamasını emretti.

Ceza: 2,000,000 EURO para cezası verilmiştir.

PS/00493/2020

28/12/2021
Konu: Veri sorumlusunun geçerli bir yasal dayanağı olmadan ilgili kişinin kişisel verilerini içeren bir kararın bir kopyasını yayınlaması

Kararı Paylaşın

Karar Özeti:

İlgili kişi,veri sorumlusuna karşı, kişisel verilerini içeren ve düzenlemeden geçirilmemiş bir kararın işletmenin web sitesinde ve Facebook sayfasında yayınlanmasıyla ilgili olarak veri koruma otoritesine şikayette bulundu. Ocak 2020’de, kendisine soruşturmayı bildiren bir bildirim aldıktan sonra, veri sorumlusu kararın bağlantısını ilgili sayfalardan kaldırdığını, ancak yine de yayının meşru menfaat nedeniyle yasal olduğunu düşündüğünü savundu. Ancak, Haziran 2020’de ilgili kişi veri koruma otoritesine, Google aramasına bir kişinin adının girilmesi halinde kararın web sitesinde hâlâ mevcut olduğuna dair kanıt sunmuştur. Veri koruma otoritesi, söz konusu işlemeyi GDPR Madde 6(1) uyarınca geçerli bir yasal temele dayandıramayacağından, veri sorumlusunun bireyin kişisel verilerini içeren kararın kopyasını yasa dışı olarak yayınladığına karar vermiştir.

Ceza: 6.000 EURO para cezası verilmiştir.

PS/00050/2021

19/10/2021
Konu: Veri sorumlusu tarafından hukuka aykırı şekilde biyometrik veri işlenmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne işçi sendikası tarafından yapılan başvuruda, Veri sorumlusu, kart okuyucu sistemiyle birlikte kullanılan bir sistem olan parmak izlerini kullanarak işçilerin erişimini kontrol etmek için bir biyometrik tanımlama sistemi uyguladığı için veri sorumlusuna soruşturma açıldı. Veri sorumlusu, işçilere , özgür rıza hakkı tanımamış ve bu sebeple özgür rıza dışında bir durum gerçekleşmiştir. Veri sorumlusu şirket 520 kişi olduğundan, bu sistemin takip açısından daha yararlı olduğunu, işyerinin çok büyük olduğunu ve işçilerin mesai yerlerine ulaşmak için 20 dakika yürümeleri gerektiğini, bu nedenle görevlerine gerçekten ne zaman eriştiklerini belirlemek için ek bir kontrol sistemine ihtiyaçları olduğunu savundular. Veri sorumlusu ayrıca, sonucun “düşük riskli” olduğunu ve bu nedenle bir ihlalın bulunmadığını önceden yapılan bir risk analizi sonuçları ile gösterdi. Veri Kontrol Otoritesi, sistemin şirketin iddia ettiği gibi bir sistem olduğunu değil, biyometrik verilerin tüm çalışanların biyometrik şablonlarıyla karşılaştırıldığı bir sistem olduğu sonucuna varmıştır. , GDPR madde 35 doğrultusunda bir ihlal nedeniyle para cezasına karar verdi. Gönüllü ödeme nedeniyle bu yaptırım, 16.000 EURO’ya indirildi.

Ceza: 20,000 EURO ceza verilmesine karar verilmiştir.

PS/00301/2020

17/06/2021
Konu: Veri sorumlusunun yanlış veriler içeren bir fatura düzenlemesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre; veri sorumlusu bir fatura düzenlerken yanlış veriler kullanmıştır. Veri sorumlusu, ilgili kişinin kişisel e-postasından ve kendi kişisel verileriyle birlikte bir sipariş almıştır ancak teslimat adresi, veri sahibinin çalıştığı şirketin adresiydi. Veri sorumlusu daha sonra ilgili kişiden durumu düzeltmesini ve ilgili kişiden kontrolörün halihazırda sahip olduğu bilgileri talep etti. İnceleme sonucunda işlenen kişisel verilerin doğru olmaması nedeniyle veri sorumlusunun doğruluk ilkesini ihlal ettiği ve kişisel verilerin doğruluğunu sağlamak için makul adımlar atmadığı sonucuna varmıştır.

Ceza: 10.000 EURO para cezası verilmiştir.

2021/464

16/06/2020
Konu: Bir otoyol işletmesinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildiriminde, kullanılan bordro sistemlerinden kaynaklı bir hata sebebiyle çalışanların diğer çalışanlara ait bordro bilgilerinin görüldüğü ve ihlalden etkilenen kişi sayısının 489 olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda veri güvenliğini sağlamya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 60.000,00-TL idari para cezası uygulanmıştır.

2020/86

06/02/2020
Konu: Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayet başvurusu.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda veri sorumlusu tarafından Kurul’un talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kurallarına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmaması sebebiyle KVKK’nın 15’nci maddesinin 5 numaralı fıkrasına aykırılık sebebiyle idari yaptırım kararı uygulanmıştır.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2020/65

27/01/2020
Konu: Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolcuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde veri sorumlusuna başvuruda bulunmuştur. Kurul tarafından gerçekleştirilen incelemeler sonucunda, müşterilerin ilişkin puanlanmasına dayanan veri işleme faaliyetinin KVKK’nın 4’üncü maddesinde belritilen kişisel verilerin işlenmesine ilişkin genel ilkelerden “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ve “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkelerine aykırılık teşkil ettiği, bununla birlikte uygulamanın yüklenmesi akabinde üye olunması esnasında iligli kişilere bir aydınlatma yapılmadığında Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü yerine getirmemeiş olması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının a bendi kapsamında veri sorumlusu hakkında idari yaptırım kararı uygulanmasına karar verilmiştir.

Ceza: 10.000,00-TL idari para cezası uygulanmıştır.