2. İNGİLTERE
30 EKİM 2020
Information Commissioner's Office (ICO), Marriott International
Incorporation’ a müşterilerin kişisel verilerini güvende tutmadaki
başarısızlığı sebebiyle 18,4 milyon sterlin ceza verdi.
2014 yılında Starwood Hotels and Resorts Worldwide Incorporation’a yapılan bir siber saldırının
ardından dünya çapında 339 milyon misafir kaydının etkilendiği tahmin ediliyor. Bilinmeyen bir
kaynaktan gelen saldırı, şirketin Marriott tarafından satın alındığı Eylül 2018 tarihine kadar
saptanamadı.
Saldırının detayları, bilinmeyen bir saldırganın, Starwood sistemindeki bir cihaza “Web Shell” olarak
bilinen bir kod parçasını yükleyerek bu cihazın içeriğine uzaktan sınırsızca erişme ve bunları
düzenleme olanağı vermesiyle rezervasyon verilerini depolayan veri tabanına erişerek bunları dışa
aktarması olarak açıklandı. Konuyla bağlantılı kişisel veriler ilgili kişiler arasında farklılık gösterse de
isimler, adresler, telefon numaraları, şifrelenmemiş pasaport numaraları, varış / ayrılış bilgileri,
misafirlerin VIP durumu ve sadakat programı üyelik numaraları söz konusu kişisel veriler arasında
bulunuyor.
Bir kişinin birden çok kaydı olması nedeniyle etkilenen kişilerin sayısı belirsiz olsa da yedi milyon
misafir kaydının Birleşik Krallık’tan ilgili kişilerle bağlantısı olduğu saptandı. İhlal, Birleşik Krallık
Avrupa Birliği'nden ayrılmadan önce meydana geldiğinden, ICO, Avrupa Birliği Genel Veri Koruma
Tüzüğü (GDPR) kapsamında baş denetim otoritesi olarak tüm AB otoriteleri adına soruşturma
yaptı. ICO’nun soruşturması Marriott’un, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR)
gerektirdiği şekilde, sisteme işlenen kişisel verileri korumak için uygun önlemleri almakta başarısız
olduğunu ortaya çıkardı.
Temmuz 2019'da ICO, Marriott'a para cezası verme niyetinde bir bildirim yayınladı. Düzenleyici
sürecin bir parçası olarak, ICO, Marriott'tan gelen temsilleri değerlendirdi, Marriott'un olayın
etkilerini ve COVID-19'un işletmeleri üzerindeki ekonomik etkisini azaltmak için attığı adımları nihai
bir ceza belirlemeden önce değerlendirdi.
Ceza ve dava, GDPR'nin iş birliği süreci aracılığıyla diğer AB Veri Koruma Otoriteleri tarafından da
onaylandı.
3. 29 EKİM 2020
Great Manchester merkezli hasar yönetim şirketine milyonlarca
rahatsız edici arama yaptığı için 250.000 £ değerinde para cezası
Information Commissioner’s Office (ICO), Elektronik Pazarlama Yasası’nı ihlali
nedeniyle Reliance Advisory Limited (RAL) şirketine 250.000 £ değerinde para
cezası verdi. Zira, RAL şirketinin 2019’un başından itibaren altı aylık süre içinde
hukuka aykırı satışlara konu olan PPI (Payment Protection Insurance) gibi
konularda ilgili kişilere 15,1 milyon arama yaptığı tespit edildi. Bunun üzerine, ICO
nezdinde günde birkaç kez aldıkları ısrarlı çağrılar nedeniyle ilgililer tarafından 85
şikayette bulunuldu. Reliance Advisory Limited şirketi, soruşturma sırasında yaptığı
aramaların büyük bir çoğunluğu için rızalara dair kanıt sunamazken rızanın
sağlandığı durumlar için ise rızanın serbestçe verilmediği, spesifik olmadığı veya
alıcılarının bilgilendirilmediği tespit edildi. Reliance Advisory Limited şirketi, ayrıca
kanun kapsamındaki sorumluluklarının farkında olmadığını savunsa da ICO
Soruşturma Başkanı Andy Curry, yasaların insanların özel hayatlarını tecavüzden
korumak için olduğunu ve işletmelerin de bu yasalara saygı göstermeleri ve
sorumluluklarının bilincinde olmaları gerektiğinin üstünde durarak, kuralları
bilmemenin asla geçerli bir argüman olmayacağı açıklamalarında bulundu.
4. 16 EKİM 2020
ICO, British Airways'e 400.000'den fazla müşteriyi etkileyen veri
ihlali nedeniyle 20 Milyon Sterlin ceza verdi.
ICO soruşturması, havayolunun yeterli güvenlik önlemleri olmadan önemli miktarda
kişisel veriyi işlediğini ortaya çıkardı. Veri koruma yasasını ihlal eden bu ihmal
nedeniyle şirket, 2018'de iki aydan fazla bir süre maruz kaldığı siber saldırıları tespit
edemedi.
429.612 müşteri ve personelin kişisel verilerine erişilmiş olduğuna inanılan saldırıda
244.000 havayolu şirketi müşterisinin isimleri, adresleri, ödeme kartı numaraları ve
CVV numaralarının, 108.000 müşteriye ait sadece kart numaralarının ihlale konu
olduğu tespit edildi.
Saldırıda British Airways çalışan ve yönetici hesaplarının kullanıcı adları ve
şifrelerinin yanı sıra 612 British Airways Executive Club hesabına kadar kullanıcı
adları ve PIN’lerine de potansiyel olarak erişildi. ICO, British Airways’in saldırıyı 22
Haziran 2018 'de kendilerinin tespit etmediğini, ancak 5 Eylül’ de iki aydan fazla bir
süre sonra üçüncü bir tarafça uyarıldığını, farkına vardıklarında derhal harekete
geçtiğini ve ICO'ya bildirimde bulunduğunu tespit etti.
ICO Komiseri Elizabeth Denham olayla ilgili “İnsanlar kişisel bilgilerini British
Airways’ e emanet ettiler ve British Airways bu ayrıntıları güvende tutmak için
yeterli önlemleri alamadı. Harekete geçmemeleri kabul edilemezdi ve yüzbinlerce
insanı etkiledi. Bu nedenle, British Airways’e şimdiye kadarki en büyük cezamız
olan 20 Milyon Sterlin kadar bir ceza verdik. Kuruluşlar, insanların kişisel verileriyle
ilgili kötü kararlar aldıklarında, bu, insanların yaşamları üzerinde gerçek bir etkiye
sahip olabilir. Yasalar artık bize, güncel güvenliğe yatırım yapmak da dahil olmak
üzere işletmeleri veriler hakkında daha iyi kararlar almaya teşvik edecek araçlar
sağlıyor.” şeklinde açıklamalarda bulundu.
5. 8 EKİM 2020
ICO tarafından salgın sırasında yüz maskesi satışına dair spam
e-postalar gönderen şirkete karşı yaptırım ihtarı gönderildi.
Londra merkezli bir yazılım danışmanlığı şirketi olan Studios MG Ltd, izinleri
olmadan insanlara 9.000'e kadar yasadışı pazarlama e-postası göndererek halk
sağlığı acil durumundan yararlanmaya çalıştı için, ICO tarafından 40.000 sterlin
para cezasına çarptırıldı ve bir yaptırım ihtarı (enforcement notice) aldı. E- postalar
pandeminin ortasında, 30 Nisan'da gönderildi. Soruşturmada şirket müdürünün kâr
karşılığında satmak için yüz maskeleri almaya karar verdiği ortaya çıkarıldı.
6. AVRUPA BİRLİĞİ
26 EKİM 2020 – NORVEÇ
Norveç Veri Koruma Otoritesi, Odin Flissenter AS'ye (Fayans
distribütörü), yasal bir temele sahip olmaksızın bir şahıs
şirketinin kredi kontrolünü yaptığı için 13 905 EUR (150 000
NOK) tutarında bir idari para cezası verdi.
Bir şahıs şirketi hakkındaki kredi bilgileri, sahibi doğrudan teşebbüsle
tanımlandığından ve bu doğrudan sahibinin özel ekonomisiyle bağlantılı
olduğundan kişisel veri olarak kabul edilir.
Kredi kontrolü derecelendirmeleri, birkaç farklı kaynaktan alınan kişisel verilerin bir
derlemesi üzerine inşa edilir ve bir kişinin veya bir şahıs şirketinin kendi adına
ödeme yapabilme olasılığını belirten bir puan gösterir. Kredi notu ayrıca, ödeme
açıklamaları, gönüllü teminat (maliyetler için) ve borç / öz sermaye oranı gibi
işletmenin ekonomisiyle ilgili ayrıntıları da göstermektedir.
Söz konusu para cezasının arka planı da Odin Flissenter'ın müşteri ilişkisi veya
şirketle başka bir bağlantısı olmayan bir şahıs şirketinin kredi kontrolü yaptığına
dair şikâyette bulunan bir kişi olarak tespit edildi. Yapılan soruşturmada bağımsız
bir şahıs şirketi hakkındaki özel bilgileri yasal olmayan yollarla elde eden Odil
Flissenter AS’ye 13 905 EUR para cezası verildi.
İdari para cezası verme bildirimine kıyasla, Covid-19'un şirket üzerinde yarattığı
ekonomik sonuçlar nedeniyle para cezası miktarında indirime gidildi.
7. 21 EKİM 2020 - LİTVANYA
Litvanya DPA (Veri Koruma Müfettişliği), evlat edinilen bir
çocuğun ebeveynlerinin uygunsuz şekilde işlenmiş kişisel verileri
için para cezası uygulamaktadır.
Bir soruşturma yürüten Eyalet Veri Koruma Müfettişliği (SDPI), Belediye İdaresinin
Merkezi Başvuru Sunma ve Nüfus Bilgi Sistemi evlat edinilen çocuğun eğitim
başvurusunu doldururken başvuru sahibinin verileri, Litvanya Cumhuriyeti Nüfus
Kayıtlarında bulunan çocuğun biyolojik ebeveynlerinden birinin iletişim verileri (e-
posta adresi) ile değiştirildiğini saptamıştır.
Para cezası, Genel Veri Koruma Yönetmeliği 'nin ilgili maddelerinin ihlali, yani
uygun teknik ve organizasyonel önlemlerin uygulanmaması, dolayısıyla işlenen
kişisel verilerin doğruluğunun sağlanamaması nedeniyle verilmiştir. İdari para
cezasının miktarına karar verirken SDPI, Belediye İdaresini sorumlu tutmakla ilgili
tüm koşulları dikkate almıştır, örneğin: Söz konusu durumda, Belediye İdaresi
tarafından işlenen ihlal kişilere (başvuru sahiplerine) atfedilmesine rağmen kişisel
verilerin işlenmesinde Belediye İdaresi tarafından uygunsuz bir şekilde uygulanan
teknik ve organizasyonel önlemlerden dolayı aynı koşullarda herhangi bir kişi için
meydana gelmiş olması tesadüf olmayan; özellikle hassas veriler olan, çocuğun
evlat edinilmesine ilişkin veriler ve ileri eğitimi ifşa edilmiştir.
Belediye İdaresine para cezası uygulanırken, cari yıla ait bütçe miktarı ve geçen yıl
alınan diğer kapsamlı yıllık gelirler de dikkate alındı.
SDPI'nin yukarıda belirtilen kararı etkili değildir ve mahkemeye itiraz edilebilir.
8. 14 EKİM 2020 – NORVEÇ
Norveç Veri Koruma Kurumu: Fine Bergen Belediyesi Kararı
Norveç Veri Koruma Kurumu, Fine Bergen Belediyesi’ne; okul ile ev arasındaki
iletişim sistemindeki kişisel bilgilerin yeterince güvenli olmaması sebebiyle yaklaşık
276.000 EUR (3 milyon NOK) tutarında idari para cezası verilmesi için nihai kararını
verdi.
Ekim 2019'da, Veri Koruma Kurumu, Belediye’nin okul ve ev arasındaki iletişim için
yeni aracı Vigilo ile ilgili olarak Fine Bergen Belediyesi tarafından kişisel veri ihlali
konusunda bilgilendirildi. Vigilo, okul ve ebeveynlerin bir portal veya uygulama
aracılığıyla iletişim kurabileceği bir modül içeriyor ancak Belediye’nin, araç
kullanıma sunulmadan önce çocukların ve ebeveynlerin kişisel bilgilerini gizli bir
adresle güvence altına almak için gerekli yönergeleri belirlememiş veya iletmemiş
olduğu tespit edildi.
Bu uygulama korunmasız, sağlığı ve hayatı özellikle korunması gereken çocukların
kişisel bilgilerinin yetkisiz insanların eline geçmesi bakımından risk taşıdığı için
Belediye’ye idari para cezası verilmiştir.
9. 7 EKİM 2020 – BELÇİKA
Belçika Veri Koruma Kurumu, Ulusal Sicilden kişisel verilerin
yanlış işlenmesi nedeniyle bölgesel bir kamu çevre kurumuna bir
uyarı ve kınama kararı verdi.
Üç Belçikalı davacı, Belçika Veri Koruma Kurumu'na bölgesel bir kamu çevre
kurumuna karşı şikâyette bulundu. Bu kurum, çevre mevzuatına aykırı bir ihlal
durumunda, örneğin çöp atma durumunda harekete geçme yetkisine sahip bir
kurum niteliği taşımaktadır. Kurum, örneğin, bir vatandaşa, üzerinde o vatandaşın
isminin yazılı olduğu, yasadışı olarak yerleştirilmiş çöpler bulduğunda para cezası
verebilmektedir.
Kurumun önüne gelen bir ihlalde ilk davacıya böyle bir para cezası verilmiş ancak
kurum; para cezasına hükmeden kararda, kurum aynı zamanda ilk davacının sivil
ortağına ve kayınpederine de atıfta bulunmuştur. Kurum, birinci davacının Ulusal
Sicilinde sivil ortağın (ikinci davacı) adını ve bağlantısını bulmuştur ancak bu
bilgilerin Ulusal Sicilden alınarak yapılması yasal bir işlem niteliği taşımamaktadır.
İddia edilen kayınpeder (üçüncü davacı), kurum tarafından başlatılan çevresel
prosedürde ilk davacıyı savunmak için kurumla iletişim kurmuştur. Kurum, ikinci ve
üçüncü davacının soyadına dayanarak verdiği kararında, ikisi arasında bir aile bağı
olduğu sonucuna varmıştır ancak bu varsayım dayanaktan yoksun olduğundan bir
kararda kullanılmasının hukuki olmadığı gözlemlenmiştir. Bu da Kurum’un verilerin
doğruluğu ve veri minimizasyonunu ihlal ettiğini göstermiştir.
Belçika yasası gereği Belçika Veri Koruma Kurumu, bir Belçika kamu kurumuna
idari para cezası veremeyeceğinden; verilerin doğruluğunu ve minimizasyonunu
ihlal ettiği için ilgili Kurum’a uyarı ve kınama kararı vermiştir.
10. +90 850 333 86 60 +90 212 215 25 84 info@mgc.com.tr mgc.com.tr
MGC LEGAL
Büyükdere Cad. No:127 Astoria B Kule
Kat 5 Şişli – İstanbul, TÜRKİYE
İletişim