MGC Legal - Veri koruma otoriteleri bülteni - aralik 2020

1. ARALIK 2020
VERİ KORUMA
OTORİTELERİ KARARLARI

2. BİRLEŞİK KRALLIK

3. Görüntülü telekonferans şirketlerinin küresel gizlilik
beklentilerine ilişkin ortak basın açıklamasına dair son gelişmeler
21 Temmuz 2020 tarihinde, Birleşik Krallık Veri Koruma Otoritesi (“ICO”) ve
dünyanın dört bir yanından diğer beş veri koruma ve gizlilik otoritesi,
görüntülü telekonferans hizmetleri sağlayan şirketlere yönelik ortak bir
açık mektup imzaladı. Bu açık mektup, insanların iletişim halinde
kalmasında görüntülü telekonferansın önemini kabul etmesine rağmen,
gizlilik için alınan önlemlerin, bu hizmetlerin mevcut pandemi sırasında
alınmasından kaynaklanan ve artan risklere ayak uydurup
uyduramayacağına dair endişelere de dikkat çekti. Bu nedenle imzacı
taraflar, görüntülü telekonferans şirketlerine bazı önemli gizlilik risklerini
ele almada yol gösterecek ilkelerin altını çizdi ve açık mektup doğrudan
Microsoft, Cisco, Zoom, Houseparty ve Google’a gönderildi. Bu şirketler,
görüntülü telekonferans hizmetlerinin geliştirilmesi ve işleyişinde söz
konusu ilkeleri nasıl dikkate aldıklarını göstermeleri ve mektubu
cevaplandırmaları için davet edildi. Ancak yalnızca Microsoft, Cisco, Zoom
ve Google açık mektuba yanıt verdi. Şirketler geri bildirimlerinde, kendi
görüntülü telekonferans hizmetlerinde uygulanan veya yerleşik olan en iyi
gizlilik ve güvenlik uygulamalarının, önlemlerinin ve araçlarının altını çizdi.
İmzacı taraflar, zamanla görüntülü telekonferans hizmetlerinde yerleşik
olan gizlilik ve güvenlik önlemleri hakkında daha fazla ayrıntı isteyeceklerini
ve şirketlere geri bildirimlerinde belirtilen önlemleri nasıl uyguladıklarını
gösterme fırsatı vereceklerini duyurdu. Bunu takiben, 2021'de bu
faaliyetten elde ettikleri bilgiler ve sonuçlar hakkında daha kapsamlı bir
kamuoyu açıklaması yayımlayacaklarını da ekledi.

4. ICO, İngiltere’deki işletmelerden geçiş döneminin sonunda da
veri akışını sürdürmek için hazırlanmalarını istedi
Birleşik Krallık, AB’den resmi olarak ayrılan ilk ve tek ülke oldu. Birleşik Krallık’ın
31 Aralık 2020’nin sonunda Avrupa Birliği’nden (AB) ve Avrupa Atom Enerjisi
Topluluğu’ndan (AAET) ayrılma sürecinin (Brexit) ardından, Birleşik Krallık Veri
Koruma Otoritesi (ICO) İngiltere’deki işletmelerden, 31 Aralık’ta AB ile olan
geçiş dönemi sona ermeden önce veri koruma yasasından etkilenip
etkilenmediklerini kontrol etmelerini istedi. İşletmeler açısından özellikle İK
kayıtları, müşteri bilgileri, maaş bordrosu bilgilerinin ve bulut hizmetleri
aracılığıyla toplanan bilgilerin, birer kişisel veri olarak etkilenebileceği belirtildi.
AB veya Avrupa Ekonomik Alanı’ndaki (AEA) kuruluşlardan veri alan,
dolayısıyla etkilenen tüm işletme ve kuruluşların, 1 Ocak 2021’den itibaren
AB’den yasal olarak veri akışının devam etmesini sağlamak için çeşitli adımlar
atması gerektiği vurgulandı. ICO, öncelikle işletmeleri, kişisel veri talebinde
bulunmaları ve verileri kullanmaları halinde gerçekleştirmeleri gerekebilecek
eylemler ve almaları gerekebilecek önlemler ile ilgili dijital rehber ve kaynaklar
için web sitesini ziyaret etmeye davet etti. Araştırmalar da, kişisel verilerin
paylaşılmasının KOBİ’lerin büyük bir çoğunluğunun işletilmesi için gerekli
olduğunu gösterdi. İşletmelere 2018 tarihli Veri Koruma Yasası (Data
Protection Act) ile Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR)
uymaya devam etmeleri önerildi.
Bununla birlikte çoğu işletme ve kuruluş için, Standart Sözleşme Maddeleri
(SCC), AB onaylı şartlarda veri akışını sürdürmenin en iyi yolu olarak sunuldu
ve Birleşik Krallık veri koruma otoritesinin (ICO) web sitesi, KOBİ’lere yardımcı
olmak/onları desteklemek için bir SCC Etkileşimli Rehber’e ev sahipliği
yapmaya başladı. Ancak müzakerelerin bir parçası olarak AB tarafından,
Birleşik Krallık’ın veri koruma rejiminin hala yeterli olup olmadığına dair henüz
bir karar verilmedi.

5. ICO, emekli aylığına yönelik pazarlama amaçlarıyla rastgele
aramalar yapan kişi ve şirketlere karşı tetikte olmak konusunda
toplumu uyardı
Pazarlama aramalarına, e-postalara ve mesajlara dair özel hükümler içeren
ve insanlara elektronik iletişimle ilgili özel gizlilik hakları veren Gizlilik ve
Elektronik İletişim Yönetmeliği (PECR), emeklilik dolandırıcılığının kurbanı
olan kişileri daha iyi korumak ve insanları emekli maaşları hakkında
arayabilecek kişileri sınırlamak amacıyla Ocak 2019'da değişikliğe uğradı.
Pension House Exchange (PHE), emekli maaşı hakkında 39.000'den fazla
rahatsız edici arama yaptığı, dolayısıyla yasayı çiğnediği için 45.000£ para
cezasına çarptırıldı. Soruşturmanın bir parçası olarak PHE'nin ofislerine
baskın yaptıktan sonra, Birleşik Krallık veri koruma otoritesi ICO, PHE
personelinin LinkedIn'deki kişilerle bağlantı kurduğunu ve emeklilik
planlarıyla ilgili doğrudan pazarlama aramaları yapabilmek amacıyla bu
kişilerin LinkedIn’deki iletişim bilgilerini topladığını tespit etti. Şirketlerin,
kişileri mesleki veya kişisel emeklilikleri hakkında yalnızca kanunda
belirtilen durumlarda arayabileceği vurgulandı.

6. ICO, Lincolnshire ipotek komisyoncusuna, rahatsız edici binlerce
mesaj gönderdiği için 50.000£ para cezası verdi
Birleşik Krallık Veri Koruma Otoritesi (ICO), 174.342 rahatsız edici
pazarlama mesajını yasadışı yollardan gönderdiği gerekçesiyle OSL
Financial Consultancy Limited’e (OSL) 50.000£ para cezası verdi.
MortgageKey olarak ticaret yapan Barnetby merkezli ipotek ve kredi
komisyoncusu, rahatsız edici pazarlama stratejisiyle Covid-19 salgınından
yararlanmak isteyen şirketlerle ilgili araştırmasının bir parçası olarak
ICO’nun dikkatini çekti. ICO, 2020’nin Mart ve Haziran ayları arasında, OSL
hakkında spam mesaj bildirme hizmeti 7726’ya gönderilen bir dizi şikayetle
karşılaştı. Şikayetler, kiralamak üzerine satın almaya yönelik ipotek faizi
oranlarının düşmesi ile ilgili rahatsız edici kısa mesajlarla ilgiliydi. ICO,
pandemi sırasında 54.205 rahatsız edici mesajın gönderildiğini tespit etti
ve soruşturma sonunda, OSL’nin bir fiyat teklifi almak için web siteleri
aracılığıyla kendileriyle iletişim kuran kişilerin kişisel verilerini topladığını ve
bu verileri daha sonra pazarlama amacıyla kullandığını ortaya çıkardı.
İnsanlara kişisel verilerinin pazarlamaya amacıyla kullanılmasına izin
vermek ya da vermemek seçenekleri sunulmadığını tespit eden ICO,
geçerli rızanın alınmadığı sonucuna vardı. Geçerli rızanın alınmamış olması,
elektronik pazarlama yasasına aykırı bulundu.

7. AVRUPA BİRLİĞİ

8. FRANSA
Fransız Veri Koruma Kanunu’nun çerezlere (cookies) ilişkin
hükümlerinin ihlali nedeniyle GOOGLE LLC şirketine 60 milyon
Euro, GOOGLE IRELAND LIMITED şirketine de 40 milyon Euro
idari para cezası kesildi
Fransız Veri Koruma Kurulu CNIL'in yaptırımların uygulanmasından
sorumlu komitesi, google.fr arama motoru kullanıcılarının bilgisayarlarına
bu kullanıcıların iznini almadan ve çerezlerin bilgisayarlarına depolanması
veya amaçları hakkında yeterli bilgiyi sağlamadan reklam çerezleri
yerleştirdikleri için 7 Aralık 2020'de, GOOGLE LLC ve GOOGLE IRELAND
LIMITED şirketlerine toplam 100 milyon Euro para cezası ve gözlemlenen
ihlallerin ciddiyeti nedeniyle kamuya açıklanması kararı verdi. CNIL 16 Mart
2020’de google.fr web sitesinde çevrimiçi bir araştırma yürüttü ve
kullanıcının bu web sitesini ziyaret etmesi halinde çerezlerin herhangi bir
işleme gerek kalmaksızın bilgisayarına otomatik olarak yerleştirildiği ve
çerezlerden birkaçının reklam amaçlı kullanıldığı görüldü. Şirketler
tarafından kurulan “itiraz” mekanizmasının kısmen kusurlu olması
nedeniyle de kullanıcının reklam kişiselleştirilmesini devre dışı bırakması
halinde dahi reklam çerezlerinden birinin hâlâ bilgisayarında saklandığı ve
bağlı olduğu sunucuya yönelik bilgileri okumaya devam ettiği tespit edildi.

9. CNIL, kullanıcıların izni alınmadan çerezlerin depolanması, google.fr arama
motoru kullanıcılarına yeterli bilginin sağlanmamış olması ve daha da
önemlisi itiraz mekanizmasının kısmi başarısızlığı nedenleriyle; hizmet için
gerekli olmayan çerezleri yerleştirmeden önce izin alınması şartını
düzenleyen Fransız Veri Koruma Kanunu’nun 82. maddesinin ihlal
edildiğine karar verdi.
CNIL, şirketlerin bu uygulamalarının Fransa’da yaklaşık elli milyon
kullanıcıyı etkilediğine ve reklam çerezleri sayesinde toplanan verilerden
dolaylı olarak elde edilen önemli reklam kazançlarına ayrıca dikkat çekti.
Mali cezalara ek olarak, şirketlerin kararın tebliğinden itibaren üç ay içinde
Fransız Veri Koruma Kanunu'nun 82. maddesi uyarınca kişileri yeterli
şekilde bilgilendirmesi gerektiği, aksi takdirde her gecikme günü için
100.000 Euro ödeme yapmak zorunda kalacakları da vurgulandı.

10. Fransız Veri Koruma Kanunu’nun çerezlere (cookies) ilişkin
hükümlerinin ihlali nedeniyle AMAZON EUROPE CORE şirketine
35 milyon Euro idari para cezası kesildi
Fransız Veri Koruma Kurulu CNIL'in yaptırımların uygulanmasından sorumlu
komitesi, amazon.fr sayfası kullanıcılarının bilgisayarlarına bu kullanıcıların
iznini almadan ve çerezlerin bilgisayarlarına depolanması veya amaçları
hakkında yeterli bilgiyi sağlamadan reklam çerezleri yerleştirdiği için 7 Aralık
2020'de, AMAZON EUROPE CORE şirketine 35 milyon Euro para cezası ve
gözlemlenen ihlallerin ciddiyeti nedeniyle kamuya açıklanması kararı verdi.
CNIL, 12 Aralık 2019'dan 19 Mayıs 2020'ye kadar amazon.fr web sitesi ile ilgili
çevrimiçi araştırmalar da dahil olmak üzere çeşitli araştırmalar yürüttü ve
kullanıcının bu web sitesini ziyaret etmesi halinde, çerezlerin herhangi bir
işleme gerek kalmaksızın bilgisayarına otomatik olarak yerleştirildiği ve
çerezlerden birkaçının reklam amaçlı kullanıldığı görüldü. CNIL, kullanıcıların
izni alınmadan çerezlerin depolanması ve amazon.fr web sitesi kullanıcılarına
yeterli bilginin sağlanmamış olması nedenleriyle; hizmet için gerekli olmayan
çerezleri yerleştirmeden önce izin alınması şartını düzenleyen Fransız Veri
Koruma Kanunu’nun 82. maddesinin ihlal edildiğine karar verdi.
“Bu web sitesini kullanarak, hizmetlerimizi sunmak ve geliştirmek için çerez
kullanmamızı kabul etmiş olursunuz.” şeklinde bilgi veren bir pop-up çerez
bildiriminin yerleştirilen tüm çerezlerin amaçlarına ilişkin yalnızca genel bilgiler
içerdiğine, dolayısıyla kullanıcının bu çerez bildirimini okuyarak, bilgisayarına
yerleştirilen çerezlerin kişiselleştirilmiş reklamları göstermek için kullanıldığını
anlayamadığına ve bu bildirimin çerezleri reddetme imkanını da içermediğine
ayrıca dikkate çekti. Mali cezalara ek olarak, şirketlerin kararın tebliğinden
itibaren üç ay içinde Fransız Veri Koruma Kanunu'nun 82. maddesi uyarınca
kişileri yeterli şekilde bilgilendirmesi gerektiği, aksi takdirde her gecikme günü
için 100.000 Euro ödeme yapmak zorunda kalacakları da vurgulandı.

11. İRLANDA
İrlanda Veri Koruma Kurulu, Twitter hakkındaki soruşturma ile
ilgili kararını açıkladı
Veri Koruma Kurulu (DPC) 9 Kasım 2020 tarihinde, Twitter International
Company'de yürüttüğü GDPR soruşturmasının sonucunu açıkladı. Bu
soruşturma, Twitter'dan bir ihlal bildiriminin alınmasına müteakip Ocak
2019'da başlatıldı ve DPC soruşturma sonunda, Twitter'ın ihlali DPC'ye
zamanında bildirmemesi ve yeterli şekilde belgelendirememesi
gerekçeleriyle GDPR'nin 33. maddesinin (1) ve (5). fıkralarını ihlal ettiğini
tespit etti.
DPC, etkili, orantılı ve caydırıcı bir önlem olarak Twitter'a 450.000€
tutarında idari para cezası verdi.
GDPR'ın 60. maddesi uyarınca Mayıs 2020’de diğer İlgili Denetim
Makamlarına sunulan bu soruşturmadaki taslak karar, GDPR'ın yürürlüğe
girmesinden bu yana 65. madde ("İhtilafların Kurul tarafından çözülmesi")
açısından değerlendirilen ilk karar oldu.

12. İSVEÇ
İsveç Veri Koruma Otoritesi’nin, sağlık hizmeti kuruluşu
personelinin hasta günlük verilerine nasıl eriştiğine ilişkin kararı
İsveç Veri Koruma Otoritesi, personelin elektronik sağlık kayıtları için ana
sistemlere erişimini nasıl yönetecekleri ve kısıtlayacakları konusunda sekiz
sağlık hizmeti kuruluşunu denetlemiş ve yedisinin, kullanıcıların ilgili hasta
günlük sistemine erişim yetkisini, görevlerinin yerine getirilmesi için
kesinlikle gerekli olanlarla sınırlamadığı sonucuna vardı. Bu durum yedi
sağlık hizmeti kuruluşunun, elektronik sağlık kayıt sistemlerindeki kişisel
veriler için yeterli düzeyde güvenliği sağlamadığı ve bunun için uygun
önlemleri almadığını ortaya çıkardı.
Veri Koruma Otoritesi, sekiz vakanın yedisinde ortaya çıkan bu ciddi
eksiklikler doğrultusunda 30 milyon İsveç Kronuna kadar idari para cezası
uygulanmasını öngördü.
Konut şirketine 300.000 SEK para cezası
İsveç Veri Koruma Otoritesi, bir apartmanda yasadışı video gözetimi
nedeniyle bir konut şirketine 300.000 kronluk idari para cezası
uygulanmasına karar verdi. Veri Koruma Otoritesi'nin denetimi, konut
şirketinin, şikayetçinin yaşadığı katı izleyen bir video gözetim sistemi
kurduğunu ve kameranın görüş alanının, biri şikayetçiye, diğeri de başka
bir konut sakinine ait iki apartman kapısını açıkça kapsadığını ortaya
koydu. Şirketin video gözetim sisteminin kurulumu için meşru bir çıkarı
olsa bile, sakinlerin mahremiyet hakkının bundan daha ağır bastığı ifade
edilmiştir.

13. ESTONYA
Estonya Veri Koruma Müfettişliği, e-eczane ortamında başka bir
kişi tarafından kişisel kimlik kodlarına erişim temelinde rızaları
olmadan mevcut reçetelerinin görüntülenmesine izin veren üç
eczane zincirine bir günlük uygunluk süresi ve 100.000 Euro'luk
bir içeren uyarı niteliğinde bir emir yayımladı.
Veri Koruma Müfettişliği tarafından e-eczane ortamları kontrol edildiğinde,
sohbet penceresini kullanarak diğer kişilerin reçete bilgilerine hızlı bir
şekilde erişilebildiği tespit edildi. Öncelikle, sohbet penceresinde kişinin
kendi reçete bilgilerini veya bir başkasının reçete bilgilerini talep
edebildikleri, başka bir kişinin kişisel kimlik kodunun girilmesi halinde ilgili
bilgilerin kullanılabilir hale geldiği belirtildi.
Estonya Veri Koruma Müfettişliği, Kişisel Verileri Koruma Yasası'nın 56 (3)
8) maddesi uyarınca 30 Kasım'da bir öz girişim prosedürü (own-initiative
procedure) başlattı ve Apotheka, Südameapteek ve Azeta.ee e-
eczanelerine 1 Aralık’a kadar geçerli olacak uyarı niteliğinde bir emir
yayımladı.

14. +90 850 333 86 60 +90 212 215 25 84 info@mgc.com.tr mgc.com.tr
MGC LEGAL
Büyükdere Cad. No:127 Astoria B Kule
Kat 5 Şişli – İstanbul, TÜRKİYE
İletişim