Avrupa Veri Koruma Otoriteleri Kararları - Ocak 2021

1. OCAK 2021
AVRUPA VERİ KORUMA
OTORİTELERİ KARARLARI

2. AVRUPA BİRLİĞİ

3. Aşağı Saksonya Eyaleti'ndeki Veri Koruma Kurumu
Notebooksbilliger.de'ye 10,4 Milyon Euro İdari Para Cezası Verdi
Aşağı Saksonya Eyaleti'ndeki Veri Koruma Kurumu, şirketin çalışanlarını izlemek
için hiçbir yasal gerekçe olmaksızın en az iki yıldır güvenlik kamerası kullandığının
tespit edilmesi nedeniyle notebooksbilliger.de'ye 10,4 milyon Euro idari para cezası
verdi. Yasadışı kameralarla kaydedilen alanlar arasında çalışma alanları, satış katları,
depolar ve personel odaları da bulunuyor.
Şirket, güvenlik kameralarının cezai suçları önlemek ve soruşturmak ile depolardaki
mal akışını izlemek için kurulduğunu iddia etti. Ancak güvenlik kamerası sisteminin,
yalnızca belirli kişilerin bu tür suçları işlediklerinden makul olarak şüphelenildiği
durumlarda bu suçları araştırmak için kullanılabileceği kabul edilmektedir. Durum
böyleyse şirkete, ilgili şahısları sınırlı bir süre için kamera ile takip etme izni
verilebilmektedir. Ancak notebooksbilliger.de, güvenlik kamerası sistemini belirli
çalışanlarla veya belirli bir dönemle sınırlamadı. Üstelik kayıtların çoğu, gerekenden
çok daha uzun bir süre (60 gün) boyunca saklandı. Veri Koruma Kurumu, genel
şüphenin yeterli olmadığını da ayrıca vurguladı. Nitekim 10,4 milyon Euro
tutarındaki idari para cezası, Aşağı Saksonya Eyaleti'ndeki Veri Koruma Kurumu
tarafından bugüne kadar verilen en yüksek ceza oldu.

4. Hollanda Veri Koruma Kurumu, Yüz Tanıma Teknolojisi Kullanması
Nedeniyle Bir Süpermarkete Yönelik Resmi Bir Uyarı Yayımladı
Hollanda Veri Koruma Kurumu, yüz tanıma teknolojisini kullanması nedeniyle bir
süpermarkete yönelik resmi bir uyarı yayımladı. Yüz tanıma teknolojisi Aralık
2019'da devre dışı bırakılmış olmasına rağmen bu teknolojinin, mağazanın
girişindeki kameralara bağlandığı tespit edildi. Süpermarket, yüz tanıma
teknolojisini müşterilerini ve çalışanlarını korumak ile hırsızlık olaylarını önlemek için
kullandığını iddia etti. Ancak medyada yükselen haberlerin ardından 8 Aralık
2019'da yüz tanıma teknolojisini devre dışı bırakmak zorunda kaldı. Buna rağmen
işletme sahibi, Veri Koruma Kurumu’na sunduğu belgelerde yüz tanıma
teknolojisini kullanmaya devam etmek istediğini belirtti.
Ancak bu teknolojinin insanları tanımlamak için biyometrik veriler kullanması ve
yüzünüzü bir arama motorundan geçirdiğinizde yüzünüzün adınıza ve diğer kişisel
verilerinize bağlanma olasılığının varlığı nedenleriyle güvenlik için yüz tanıma
teknolojisinin kullanılmasının iki istisnai durum dışında yasak olduğu vurgulandı.
Birincisi, veri sahiplerinin verilerinin işlenmesi için açık rıza vermiş olması olup
sadece süpermarkete girmenin rıza olarak sayılmayacağı belirtildi. Diğer istisna,
yüz tanıma teknolojisinin yalnızca önemli ölçüde kamu yararının söz konusu olduğu
durumlarda kimlik doğrulama veya güvenlik amaçları için gerekli olması olarak
ifade edildi. Süpermarket durumun bu istisnadan ibaret olduğunu iddia etse de
Kurum mağaza hırsızlığını önlemek amacının yeterli olmadığını düşünüyor.

5. Polonya Veri Koruma Kurumu, Veri İhlali Bildirimlerinin Eksikliği
Nedeniyle Üniversiteyi Cezalandırdı
Kişisel Verileri Koruma Kurumu (UODO) Başkanı, veri koruma ihlali nedeniyle
Silezya Üniversitesi'ne (the Medical University of Silesia) 25.000 PLN (5850
EUR'dan fazla) tutarında idari para cezası verdi. Veri sorumlusunun yalnızca
denetim makamını değil, aynı zamanda olaydan etkilenen kişileri de bilgilendirmesi
gerektiği vurgulandı. Denetleme makamı verilen para cezasının yanı sıra
üniversiteye, veri koruma ihlalini, özel e-eğitim platformunda video konferans
şeklinde yapılan sınavlarla bağlantılı olarak meydana gelen ihlalden etkilenen
kişilere de bildirmesini emretti. Zira ihlal hakkında yapılan şikayetler, 2020’nin Mayıs
ayı sonunda video konferans şeklinde yapılan sınavlar sırasında sınava giren
öğrencilerin kimliklerinin tespit edildiğini gösterdi. Soruşturmanın sonunda,
kayıtlara sadece ilgili kişilerin değil, aynı zamanda sisteme erişimi olan diğer
kişilerin de ulaşabildiği ve hatta doğrudan bir bağlantı kullanarak, herhangi bir
üçüncü kişinin bile sınav kayıtlarına ve sınava giren öğrencilerin kimliklerinin
belirlenmesi için sunduğu kişisel verilerine erişebildiği tespit edildi.
Bu tespitlerin sınava giren kişilerin hak ve özgürlüklerine yönelik yüksek bir riskin
varlığını işaret etmesi üzerine Kurum’un, veri sorumlusundan durumu
netleştirmesini, veri ihlalinin bir denetim makamına bildirilmesini ve etkilenen
kişilerin de ihlalden haberdar edilmesini defalarca istemesine rağmen olaydan
sonra sistemde değişiklik yapıldı ve üniversite bir veri ihlali bildiriminde de
bulunmadı. Bu nedenle, idari bir işlem başlatıldı. Sonuç olarak çalışanlardan birinin
e-eğitim platformunda tamamlanan sınavdan sonra testin yapıldığı sanal odaya
erişimi kapatmaması nedeniyle ihlalin meydana geldiği tespit edilse de Kurum,
öğrencilerin kişisel verilerinin sorumluluğunun veri sorumlusuna ait olduğunu ve
ihlalin meydana gelmesinin veri sorumlusunun ihmalinden kaynaklandığını belirtti.

6. İtalyan Veri Koruma Kurumu, Palermo Şehrinden Bir Kızın
Ölümünden Sonra Tiktok'un Kişisel Verileri İşleme Faaliyetlerine
Bir Sınırlama Getirdi
İtalyan Veri Koruma Kurumu, yaşı kesin olarak belirlenemeyen kullanıcıların
verileriyle ilgili olarak TikTok tarafından gerçekleştirilen işlemlere derhal bir
sınırlama getirdi. Kurum, Palermo şehrinden 10 yaşındaki bir kızın ölümünün neden
olduğu infialden sonra, (GDPR’in 58. maddesinin 2. cümlesinin f bendi ile 66.
maddesinin ilk cümlesi uyarınca) acil önlemler almaya karar verdi.
Kurum Aralık ayında; küçüklerin korunmasına yönelik yetersiz özen gösterildiğine,
şirketin 13 yaşın altındaki çocuklara uyguladığı kayıt yasağının kolayca ihlal
edildiğine ve varsayılan ayarların gizlilik gereksinimlerini karşılamadığına ilişkin
ihlaller dahil olmak üzere TikTok'a birçok ihlal hakkında bildirimde bulunmuştu.
Ancak bu bildirim yoluyla talep edilen geri bildirim alınana kadar, Kurum sosyal
platforma katılan İtalya'daki küçüklere acil koruma sağlamak amacıyla bir adım
daha atmaya karar verdi.
TikTok'u, yaşla ilgili gerekliliklere uyulmasını sağlamak amacıyla yaşı kesin olarak
belirlenemeyen herhangi bir kullanıcıyla ilgili kişisel verileri işlemekten menetti.
Ancak bu yasak, 15 Şubat'a kadar geçici olarak uygulanacak. Zira TikTok kısa bir
süre önce AB’deki merkez kuruluşunun İrlanda'da olduğunu duyurduğundan
dolayı, bu sınırlama emrinin İrlanda Veri Koruma Kurumunun dikkatine sunulması
gerekiyor.

7. Polonya Kişisel Verileri Koruma Ofisi (UODO): Veri Sorumlusu
İhlalleri Önlemek İçin Her Zaman Hızlı Ve Etkin
Önlemler Almalıdır
Aynı zamanda MoneyMan.pl borç verme platformunun da sahibi olan ID Finance
Poland Şirketi, şirket sistemindeki kişisel verilerin güvenliğine ilişkin verilen güvenlik
uyarılarına yeterince hızlı geri dönüş sağlamadı ve sunucuların müşterilerinin kişisel
bilgilerini içerip içermediğine dair bilgi kontrolünü sağlayamadı. Şirket’in
müşterilerin kişisel verilerinin güvenliği için yeterli tedbirleri almaması, yetkisiz bir
üçüncü kişinin müşterilere ilişkin kişisel verilere ulaşmasına yol açtı. Yetkisiz kişi
tarafından çalınan kişisel veriler silindi ve daha sonra fidye talep edildi. Gerçekleşen
ihlal sonrasında Şirket bu ihlali Yüksek Denetleme Kurulu’na bildirdi ve güvenlik
açığını tespit etmek için çalışmalara başladı.
Yapılan soruşturma neticesinde Kişisel Verileri Koruma Ofisi (UODO), ID Finance
Poland Şirketi’nin sorumluluğunda olan güvenlik sisteminin yenilenmemesinden
kaynaklı bir sorun olduğunu tespit etti. Elde edilen verilerde müşterilerin şifrelerinin
bulunmasının, onların aynı şifreyi kullandıkları diğer hesapları için de büyük risk
oluşturduğu saptandı. Şirketin ise yapılan uyarıları ciddiye almadığı ve gerekli
önlemleri almadığı ortaya çıktı. Kişisel Verileri Koruma Ofisi’nin görüşüne göre; veri
sorumlusu ihlalleri önlemek için her zaman hızlı ve etkin önlemler alabilmelidir.
UODO tarafından ihlalin ölçeği ve çalınan verilerin kapsamı da dikkate alınarak, hızlı
ve etkili önlemler almayan ID Finance Poland Şirketi’ne 1 milyon PLN (Polonya
Zlotisi)'nin üzerinde (250.000 EUR) idari para cezası uygulanmıştır Bu cezanın
diğer veri sorumluları için de örnek teşkil ettiği belirtilmiştir.

8. Polonya Kişisel Verileri Koruma Ofisi (UODO): Veri Güvenliğine
İlişkin Teknik Önlemler Düzenli Olarak Test Edilmelidir
Kişisel Verileri Koruma Ofisi (UODO), işlenen kişisel verilerin güvenliğini sağlamak
için uygun teknik ve organizasyonel önlemlerin alınmaması nedeniyle Virgin Mobile
Polska Şirketi’ne 1,9 milyon PLN (460,000 EUR) tutarında para cezası verdi.
Virgin Mobile Polska adlı şirketin, işlediği kişisel verilerin güvenliğini sağlamak için
aldığı önlemlerin etkinliğine ilişkin düzenli ve kapsamlı testleri, ölçümleri ve
değerlendirmeleri yapmadığı tespit edildi. Kişisel verilerin güvenliğine ilişkin
değerlendirme yapılmaması sonucunda şirkete ait sistemde güvenlik açığı
meydana geldi ve bu güvenlik açığını kullanan yetkisiz üçüncü bir kişi tarafından
bazı müşterilerin kişisel verileri ele geçirildi.
Kişisel verilerin ihlaline ilişkin şirkette inceleme başlatan UODO, veri güvenliğini
sağlamak için yapıldığı iddia edilen testleri, ölçümleri ve değerlendirmeleri
kapsamlı ve yeterli bulmadı. Denetleme sırasında, BT sistemindeki uygulamalar
arasında veri alışverişinin, ön ödemeli hizmet müşterilerinin kayıt başvurularından
belirli parametrelerin doğrulanmasından sonra gerçekleşeceği ortaya çıktı. BT
sistemindeki doğrulama mekanizmasının düzgün test edilemediği ve güvenlik
açığının buradan kaynaklandığı anlaşıldı. Şirket, güvenlik açığını onarmaya yönelik
faaliyetlere ihlalden sonra başladı ve şirketin veri ihlalinden önceki faaliyetlerinin
yetersiz bulunması sonucunda şirketin Genel Veri Koruma Tüzüğü’nde (GDPR)
belirtilen veri gizliliği ve hesap verebilirlik ilkelerini ihlal ettiği sonucuna varıldı.
Sistemin denetlenmemesinin de veri sorumlusunun ihlali sayıldığı açıkça belirtildi.
Şirketin inceleme sürecindeki iyi iş birliğini ve veri ihlalini tespit ettikten sonra hızlı
bir şekilde ortadan kaldırmasını hafifletici sebep olarak gören UODO, buna rağmen
Virgin Mobile Polska'ya idari para cezası uyguladı. Gerekçe olarak ise yetkisiz
kişilerin sisteme kısa süre erişebilse dahi yüksek miktarda kişisel veri elde
edebileceği gösterildi.

9. Polonya Kişisel Veri Koruma Ofisi (UODO): Kişisel Veri İhlalleri
Gecikme Olmaksızın Bildirilmelidir
Kişisel Veri Koruma Ofisi (UODO), Towarzystwo Ubezpieczeń i Reasekuracji
WARTA SA (WARTA SA Sigorta ve Reasürans Şirketi) için işleyici olarak çalışan
sigorta acentesinin, müşterilere ait olan adlar, soyadlar, ikamet adresleri, PESEL
numaraları (kişisel kimlik numaraları) ve sigortalarına ilişkin bilgileri (binek
otomobili) içeren bir sigorta poliçesini yetkisiz üçüncü bir kişiye gönderdiğini tespit
etti.
UODO tarafından müşterilerinin kişisel verilerini korumakla mükellef olan ama elde
ettiği kişisel verileri üçüncü bir kişiyle yetkisiz paylaşan şirketten kişisel verilerin
ihlali ile ilgili bir değerlendirme talep edildi. Şirket, değerlendirmesi sonucunda
müşterinin e-posta adresini kendilerine yanlış bildirdiğini ve bu sebeple kişisel
verileri içeren belgenin yetkisiz üçüncü bir kişiye gönderildiğini düşünerek kişisel
verilerin ihlali konusunda UODO’ya bir bildirimde bulunmadı. Yetkisiz üçüncü
kişiden müşterilere ait kişisel verileri içeren belgeyi şirkete iade etmesi istenildi.
Yetkisiz kişi belgeyi iade etti. Şirketin veri güvenliği ihlalini Kişisel Verileri Koruma
Ofisi (UODO)’ne bildirmesi ise ihlalden 5 ay sonra gerçekleşti.
Şirket, söz konusu veri ihlalini UODO’ya bildirmediği ve Genel Veri Koruma
Yönetmeliği (GDPR)’ni ihlal ettiği için 85 588 PLN (20.000 EUR) tutarında idari
para cezasına çarptırıldı. UODO para cezasına gerekçe olarak, verilerin üçüncü
kişiden istenerek silinmesinin riski ortadan kaldırmadığını, üçüncü kişinin bilgileri
kopyalamış olabileceğini ve güvenlik riskinin hâlâ devam ettiğini belirtti. Ek olarak,
müşterinin e-posta adresini yanlış bildirmesinden kaynaklansa dahi kişisel verilerin
yetkisiz üçüncü kişiyle paylaşılması, veri güvenliğini ihlal sayıldı.

10. NORVEÇ

11. Norveç Veri Koruma Kurumu, Grindr LLC'ye 10 Milyon Euro
Tutarında İdari Para Cezası Vermek Niyetinde
Norveç Veri Koruma Kurumu; eşcinsel, biseksüel, trans ve queer insanlar için
konum tabanlı bir sosyal ağ uygulaması olan Grindr LLC'ye (Grindr), GDPR’nin rıza
ile ilgili kurallarına uyulmadığı gerekçesiyle 100.000.000 NOK tutarında idari para
cezası vermeyi planladığını bildirdi.
2020 yılında Norveç Tüketici Konseyi, kişisel verilerin üçüncü kişilerle pazarlama
amacıyla ve hukuka aykırı olarak paylaşıldığını iddia ederek Grindr aleyhine
şikayette bulundu ve Norveç Veri Koruma Kurumu Genel Direktörü, ilk olarak
Grindr'in yasal dayanak olmaksızın kullanıcı verilerini bir dizi üçüncü kişiyle
paylaştığını tespit ettiklerini ifade etti. Paylaşılan veriler arasında GPS konumu,
kullanıcı profili verileri ve dolayısıyla söz konusu kullanıcının Grindr'de bir profili
olduğu gerçeği vardı. Grindr'ın bu kişisel verileri paylaşmak için veri sahiplerinin
rızasını alması gerektiği, ancak Grindr'ın aldığı rızaların bu uygulama için geçerli
olmadığı görüldü. Genel Direktör Kurum’un bir kişinin Grindr kullanıcısı olduğu
gerçeğinin cinsel eğilimini gösterdiğine inandığını, bu nedenle söz konusu verilerin
belirli korumayı hak eden özel kategoride kişisel veri teşkil ettiğini ve kullanıcıların
neye rıza gösterdikleri konusunda uygun şekilde bilgilendirilmedikleri iş
modellerinin yasalara uygun olmadığını da ayrıca belirtti. Kullanıcıların uygulamayı
kullanmak için gizlilik politikasını bütünüyle kabul etmeye zorlanması ve kendilerine
verilerinin üçüncü kişilerle paylaşılmasına izin verip vermediklerinin sorulmaması
nedenleriyle alınan rızanın GDPR kapsamında geçerli bir rıza için aranan şartları
sağlamadığını düşündüklerini söyledi.
Bu bilgiler ışığında idari para cezasının etkili, orantılı ve caydırıcı olması gerektiği;
dolayısıyla Norveç Veri Koruma Kurumu’nun bugüne kadarki en yüksek para
cezasını vereceği düşünülüyor. Ancak yapılan bildiri yalnızca taslak bir karar olup
nihai karar verilmeden önce, Grindr'e 15 Şubat 2021'de Kurum’un tespitleri
hakkındaki düşüncelerini belirtme fırsatı verilecek.

12. BİRLEŞİK KRALLIK

13. Bir Motor Endüstrisi Çalışanı, Bilgisayarın Kötüye Kullanılması
Kanunu Davasında Mahkum Edildi
Bir motor endüstrisi çalışanı, ICO tarafından yürütülen bir davada sekiz ay hapis
cezasına çarptırıldı, ancak cezası iki yıl süreyle ertelendi. RAC için çalışan Kim
Doyle, yetkisi olmaksızın dava konusu kişisel verileri bir kaza hasar yönetimi
şirketine aktardı. 33 yaşındaki Doyle, Ocak 2020'deki duruşmada bilgisayar
verilerine yetkisiz erişimi sağlama almak ve yasadışı olarak elde edilen kişisel
verileri satmak için komplo kurmak suçunu işlediğini kabul etti. 8 Ocak 2021'de
Manchester Crown Mahkemesi’nde mahkum edildi ve Mahkeme, Doyle'un
işverenlerinden herhangi bir izin almış olmamasına rağmen isimleri, cep telefonu
numaralarını ve sicil numaralarını (plaka) içeren karayolu trafik kazası verilerinin
listelerini derlediğini öğrendi. Yasa dışı bir şekilde aktarılan bu verilerin rahatsız
edici aramalar yapmak için kullanıldığına dair kanıt da vardı.
Flixton Road, Urmston'dan 32 yaşındaki Shaw da bilgisayar verilerine yetkisiz
erişimi sağlama almak için komplo kurmak suçunu işlediğini kabul etmesinin
ardından sekiz ay hapis cezasına çarptırıldı, ancak cezası iki yıl süreyle ertelendi.
Mahkeme tarafından, Suç Gelirleri Yasası kapsamında, suç işlemenin bir sonucu
olarak elde edilen menfaatin geri alınması için bir Müsadere Emri verildi. Bu
nedenle Doyle'un 25.000 Sterlin tutarında ve Shaw'ın ise 15.000 Sterlin tutarında
bir ödeme yapması gerekiyor. Bu rakamların üç ay içinde ödenmemesi halinde hem
Doyle hem de Shaw, üç ay hapis cezasıyla karşı karşıya kalacak.

14. Rahatsız Edici Aramalar Yapan Şirketlere Toplam 480.000 Euro
İdari Para Cezası Verildi
ICO, sabit hatlı cep telefonu kullanıcılarının soğuk (ani) çağrılar almamayı tercih
etmelerine olanak tanıyan Telephone Preference Service (TPS)’ye kayıtlı numaraları,
yasa dışı aramalar yapmak için kullanan dört ayrı şirkete toplam 480.000 Euro idari
para cezası verdi. Leeds merkezli Chameleon Marketing (H.I) Limited Şirketi; Sutton
Coldfield merkezli Rancom Security Limited Şirketi; Redhill merkezli Repair & Assure
Limited Şirketi ve Stockton on Tees'deki Solar Style Solutions Limited Şirketi'nin 2,4
milyon yasadışı arama yaptığı ve bu aramaların ICO ve TPS'ye 250'den fazla şikayetle
sonuçlandığı tespit edildi. Zira veri sahiplerinin rızası olmadıkça, TPS'ye kayıtlı
numaralara 28 günden fazla pazarlama aramaları yapmak yasalara aykırıdır. Sonuç
olarak;
17 Mart- 2 Temmuz 2019 tarihleri arasında, TPS'ye kayıtlı kişilere 617.323 doğrudan
pazarlama araması yaptığının ve ICO soruşturmasının sonunda, alınan rızaların bu
aramalar için yetersiz olduğunun tespit edilmesi nedeniyle ICO, Chameleon Marketing
(H.I) Limited Şirketi’ne 100.000 Euro idari para cezası verdi.
Yine ICO soruşturması sırasında; yapılan 851.342 aramadan 565.344'ünün TPS'ye kayıtlı
kullanıcılara ait olduğunun ve Rancom Security Limited (RSL) Şirketi’nin gerekli özeni
gösteremediğinin tespit edilmesi ile Şirket’in TPS lisansına ilişkin herhangi bir kanıt
sunamamasının bir sonucu olarak ICO, RSL'yi 110.000 Euro idari para cezasına çarptırdı.
Redhill merkezli RAL da 2 Ocak ve 11 Haziran 2019 tarihleri arasında 1.103.292 rahatsız
edici arama yapmaktan sorumlu tutuldu. ICO, Şirket’e 180.000 Euro idari para cezası
verdi ve 30 gün içinde pazarlama aramaları yapmayı durdurmasını emreden bir bildirim
yayımladı.
Son olarak, 1 Ocak- 29 Nisan 2019 tarihleri arasında Stockton on Tees merkezli
yenilenebilir enerji teknolojisi şirketi de soruşturmaya tabi tutuldu. Dört aylık süre
boyunca SSSL’in, 126.019'u TPS’ye kayıtlı kullanıcılara yönelik 188.665 arama yaptığı
tespit edildi ve ICO SSSL'ye de 90.000 Euro idari para cezası verdi.

15. +90 850 333 86 60 +90 212 215 25 84 info@mgc.com.tr mgc.com.tr
MGC LEGAL
Büyükdere Cad. No:127 Astoria B Kule
Kat 5 Şişli – İstanbul, TÜRKİYE
İletişim