İspanya Veri Koruma Otoritesi, geçerli bir yasal dayanak olmaksızın müşterisinin SIM kartını çoğalttığı için Vodafone İspanya’ya 56.000 Euro para cezası vermiştir.

İspanya Veri Koruma Otoritesi, Vodafone İspanya'ya GDPR Madde 6(1) kapsamında geçerli bir yasal dayanak olmaksızın müşterisinin SIM kartını çoğalttığı için 56.000 Euro para cezasına hükmetmiştir.

17 Şubat 2022 tarihinde, Vodafone España, S.A.U (veri sorumlusu), kimlik hırsızlığı yapan üçüncü bir tarafa (üçüncü tarafın kimliğini doğrulamadan) ilgili kişinin SIM kartının bir kopyasını sağlamıştır. Üçüncü taraf, sahte SIM kartını kullanarak ilgili kişinin eşinin banka hesabına erişmiş ve açıklanmayan bir tutarda havale yapmıştır. İlgili kişi, veri sorumlusu tarafından yeni SIM kartın doğru şekilde etkinleştirildiğine ilişkin bir SMS aldıktan sonra olayla ilgili olarak İspanya Veri Koruma Otoritesi’ne şikayette bulunmuştur.

GDPR Madde 6(1)’in ihlal edildiği sonucuna varan İspanya Veri Koruma Otoritesi, veri sorumlusunun ilgili kişinin SIM kartını rızası olmadan ve talep eden üçüncü tarafın kimliğini doğrulamadan çoğaltmak için geçerli bir yasal dayanağı olmadığına karar vermiş olup ayrıca, her veri işlemenin rızaya veya başka bir meşru yasal temele dayanması gerektiğini vurgulayan GDPR'ın 40. maddesini de hatırlatmıştır. 

İspanya Veri Koruma Otoritesi, veri sorumlusunun GDPR Madde 6(1)'i ihlalini "çok ciddi" olarak değerlendirmiş ve başta 70.000 Euro para cezasına hükmetmiştir ancak gönüllü ödeme indiriminden faydalanan veri sorumlusu adına bu ceza 56.000 Euroya düşürülmüştür. 

İlgili Karara buradan ulaşabilirsiniz.

İtalya Veri Koruma Otoritesi tarafından işten ayrılan çalışanın e-postasında yer alan veriler bakımından veri sorumlusunun meşru menfaatinin veri koruma hakkının özünü kısıtlayamayacağı belirtilerek veri sorumlusuna 5.000 € para cezası verilmiştir. 

İtalya Veri Koruma Otoritesi tarafından bir işin sonunda kurumsal e-posta hesabı devre dışı bırakılmadığı için veri sorumlusuna para cezası verilmiştir. Hukuk davalarında yasal taleplerin savunulması, veri işlemenin orantılığının kapsamının dışında değildir..

Veri sorumlusu (Reweb srl), ilgili kişiye firmanın bazı müşterilerini yönetmek için bir iş e-posta hesabı sağlamıştır. İşbu ilgili kişi, veri sorumlusu tarafından doğrudan işe alınmamıştır, ancak şirketin faaliyetini dışarıdan bir danışman olarak desteklemiştir. Bir noktada, veri sorumlusu ile ilgili kişi arasındaki işbirliği bilinmeyen nedenlerle kesintiye uğramış ve bundan kısa bir süre sonra Reweb tarafından danışmana karşı bir hukuk davası açılmıştır.

İşbirliğinin sona ermesine ve ilgili kişinin açık talebine rağmen, veri sorumlusu e-posta hesabını derhal kapatmayı reddetmiştir Talebin aksine, veri sorumlusu, ilgili kişi ile müşterileri arasındaki yazışmaları okumuş ve müşterilerin mesajlarını başka bir e-posta hesabına yeniden yönlendirmiştir. Veri sorumlusu Reweb tarafından bu işlemin ilgili kişinin temas halinde olduğu müşterilerle ticari ilişkileri yürütmek ve taraflar arasında sürmekte olan hukuk davasında çıkarlarını savunmak adına GDPR Madde 6(1)(f) uyarınca kişisel verileri işlediğini iddia etmiştir.

İtalya Veri Koruma Otoritesi, GDPR'ın 5(1)(a) ve (c), 6, 12, 13 ve 17. maddelerinin olası ihlalleri nedeniyle veri sorumlusuna karşı bir dava usulü başlatmıştır fakat o sırada, ilgili e-posta hesabı zaten devre dışı bırakılmıştır.

İlk olarak İtalya Veri Koruma Otoritesi tarafından veri sorumlusunun GDPR Madde 13 kapsamındaki gizlilik politikasını ilgili kişiye hiçbir zaman sağlanmadığı hatta ilgili gizlilik politikasının eksik olduğu ve GDPR gerekliliklerine uymadığı tespit edilmiştir. 

Buna ek olarak İtalya Veri Koruma Otoritesi, verilerin işlenmesi için uygun bir kanuni dayanak bulamamamış olmakla birlikte müşterilerle iletişimi sürdürme ve yasal hak taleplerini yerine getirmede veri sorumlusunun meşru bir menfaatinin olduğunu kabul etmiştir.  Öte yandan, aynı sonuçları elde etmek için daha az müdahaleci yöntemlerin var olduğu belirtilerek müşterilere hesabın artık çalışmadığını bildiren otomatik bir mesaj göndermenin veri minimizasyonu ilkesi açısından yeterli bir çözüm olabileceğine değinilmiştir. Veri sorumlusu tarafından Madde 6(1)(f)’nin ölçüsüz bir şekilde yorumlandığına dikkat çekilerek veri sorumlusunun meşru menfaatinin, veri koruma hakkının özünü kısıtlayamayacağının altı çizilmiştir. Veri sorumlusunun özellikle e-postaların içeriğini okumaması ve onları başka bir hesaba yönlendirmemesi gerektiği belirtilmiştir.

Son olarak, veri sorumlusu tarafından ilgili kişinin haklarını kullanmasına özellikle de GDPR madde 17 kapsamındaki silme hakkını kullanmasına olanak sağlanmadığı için GDPR Madde 12 ihlal edilmiştir.

Yukarıdakiler ışığında, İtalya Veri Koruma Otoritesi, GDPR'ın 58(2) ve 83. Maddeleri kapsamındaki yetkilerini kullanarak veri sorumlusuna 5.000 euro para cezası vermiştir.

İlgili karara buradan ulaşabilirsiniz.

Evcil Hayvanınızın ismi, kişisel veriniz olarak değerlendirilebilir mi?

Bilgi Komisyonu Ofisi (ICO) kararında, kazaya karışan bir köpeğin adının açıklanmasının dolaylı olarak köpeğin bakıcısının kimliğini belirlenebilir kılacağını, bu sebeple köpeğin adının kişisel veri sayılacağını kabul etmiştir.

İşbu özel Bilgi Komisyonu Ofisi (ICO) kararı, 2000 tarihli Bilgi Edinme Özgürlüğü Yasası ("FOIA") kapsamında, Avon ve Somerset Polis Teşkilatı'na ("ASC") sunulan bir taleple ilgili olarak; bir vatandaşın polis köpeği tarafından ciddi şekilde yaralanmasını içeren bir olay sonucunda ortaya çıkmıştır.  Komisyona gelen talepte, söz konusu köpeğin adı, köpeğin idarecisinin adı ve köpeğin polis kayıtları, notları, eğitim kayıtları vb. dahil olmak üzere çeşitli bilgiler istenmiştir. 

Söz konusu bilgiye göre, ASC kişisel veri muafiyetini olaya karışan köpeğin adına uygulamak istemiştir. Bu kapsamda ASC tarafından ileri sürülen birincil argümanda, köpeğin adının açıklanmasının dolaylı olarak köpek bakıcısını tanımlayacağı ve bu nedenle Birleşik Krallık GDPR'ın 3(2) maddesindeki kişisel veri tanımına girdiği belirtilmiştir.

Bunun ardından ASC tarafından ICO'dan bilgilerin kişisel veri teşkil edip etmediğinin belirlenmesi istenmiş ve bunu yaparken kişisel verilerin mevzuatta tanımlandığı şekliyle, yaşayan bir kişiye ilişkin ve bu kişiyi doğrudan ya da dolaylı olarak tanımlayan bilgiler olduğuna dikkat çekilmiştir.

Köpeğin ismi konusunda ICO, talep edilen bilginin söz konusu köpek bakıcısıyla ilgili olduğunu ve dolaylı da olsa bu kişinin kimliğini belirleyebileceğini kabul etmiştir. ICO bu sonuca varırken, bir bireyin kimliğini tespit etmek için makul olarak kullanılabilecek veya kullanılma ihtimali olan tüm araçların dikkate alınmasının önemli olduğuna dikkat çekmiştir. Bu durumda ASC, köpeğin adıyla ilgili olarak internette yapılan aramalarda bakıcısının adının ortaya çıktığını ve ICO'nun da bunu teyit edebildiğini belirtmiştir.

Sonuç olarak ICO, sadece köpeğin adı aracılığıyla köpek bakıcısının  tanımlanabilmesi nedeniyle köpek adının 'kişisel veri' tanımındaki kapsama girebileceğine ve ASC'nin FOIA'daki muafiyete dayanabileceğine ikna olmuştur. Ayrıca, isim kamuya açık olmasaydı bile, köpeğin isminin açıklanması halinde ASC bünyesindeki meslektaşların bakıcının kim olduğunu bileceği değerlendirilmiştir. Bununla birlikte, köpeğin kendisiyle ilgili diğer tüm bilgilerin köpek bakıcısının kimliğini belirlemeye yeterli olmadığı ve bu nedenle kişisel veri olarak kabul edilmediğine dikkat çekilmiştir.

İlgili karara buradan ulaşabilirsiniz. 

İrlanda Veri Koruma Otoritesi, Sosyal Hizmetler tarafından ilgili kişinin çocuklarına ait kişisel verilerin, çocukların velayetine sahip olmayan üçüncü bir kişi ile paylaşılmasına ilişkin şikayeti haklı buldu.

İzlanda Veri Koruma Otoritesi, Sosyal Hizmetler’in anneye ve en büyük çocuğuna ait özel nitelikli kişisel verileri, en büyük çocuğun babasıyla paylaşılması konusunda yasal bir yükümlülüğünün olduğuna ve bu işlemin GDPR Madde 6(1)(c) ve 9(2)(h) ile uyumlu olduğuna karar vermiştir. Bununla birlikte, kadının diğer çocuklarının bilgilerinin de en büyük çocuğun babasıyla paylaşılmasının GDPR'ı ihlal ettiğine karar vermiştir.

Olayda ilgili kişi bir annedir. Kendisine ve dört çocuğuna ait kişisel veriler, İzlanda'daki bir belediyenin Sosyal Hizmetler’i (veri sorumlusu) tarafından ilgili kişinin intihar girişimi, bağımlılık sorunu ve ayrıca ilgili kişinin tüm çocuklarının tam adları ile sosyal güvenlik numaraları hakkında bilgileri içeren bir mektup ile en büyük çocuğun babası ile paylaşılmıştır. İlgili kişi, Sosyal Hizmetler’in bu kişisel verileri paylaşmaya yetkili olmadığını düşünerek itirazda bulunmuştur.

Sosyal Hizmetler tarafından, İzlanda Yasaları uyarınca ilgili bilgilerin paylaşılması gerektiğine ilişkin cevap verilmiştir. 80/2002 Sayılı Kanunun 21. maddesi, çocuk koruma servislerinin, bir çocuğun fiziksel veya zihinsel sağlığının veya gelişiminin, ebeveynlerin veya başkalarının davranışları nedeniyle risk altında olabileceği bilgisini aldıklarında, konuyu araştırmaları ve gecikmeden bir karar vermeleri gerektiğini ifade etmekte olup aynı zamanda çocuk koruma servislerini ebeveynlere (diğer)  durumu bildirmekle yükümlü kılmıştır. Bu nedenle, annenin intihar girişimi ve uyuşturucu tüketim alışkanlıkları hakkında babanın bilgilendirilmesinin yasa gereği olduğu belirtilmiştir. Diğer çocukların bilgilerinin paylaşılmasıyla ilgili olarak Sosyal Hizmetler, davranışlarının veri koruma yasalarına uygun olmadığını kabul etmiştir. Bununla birlikte veri sorumlusu tarafından en büyük çocuğun babasının bu bilgileri başka yollardan da elde etmiş olabileceği iddia edilmiş ve örnek olarak çocuğuna sorabileceği veya ulusal kayıt yoluyla bu bilgilere ulaşabileceği savunulmuştur.

İzlanda Veri Koruma Otoritesi, ilgili kişinin intihar girişimi ve bağımlılık sorunlarının sağlık verisi olduğuna karar vermiştir. Bu nedenle, GDPR sağlık verilerini özel nitelikli kişisel veri olarak sınıflandırdığından, işlemenin GDPR Madde 6'nın yanı sıra Madde 9'a da uygun olması gerektiğini belirtmiştir. Sosyal Hizmetler’in 80/2002 sayılı Kanun kapsamındaki yasal yükümlülüklerini göz önünde bulunduran İzlanda Veri Koruma Otoritesi, Sosyal Hizmetler’in anne hakkındaki bilgileri baba ile paylaşmakta haklı olduğuna karar vermiştir. 

Yasa, ebeveynlere yapılacak bildirimlerin içeriğinin ne olması gerektiğini açıkça belirtmemekle birlikte, Veri Koruma Otoritesi’nin görüşüne göre, bu tür bildirimlerin soruşturma kapsamındaki konu hakkında “yeterli bilgi içermesi” gerekmektedir. Dolayısıyla, veriler GDPR Madde 6(1)(c) ve Madde 9(2)(h) uyarınca yasal olarak işlenmiştir. GDPR Madde 6(1)(c) bir veri sorumlusuna yasal bir zorunluluk nedeniyle veri işleme yetkisi verirken, Madde 9(2)(h) tıbbi amaçlar veya sağlık sistemleri ve hizmetlerinin yönetimi için gerekli olduğunda özel nitelikli kişisel verilerin işlenmesini haklı çıkarmaktadır.

Bununla birlikte, Sosyal Hizmetler’in ilgili kişinin diğer çocuklarının isimlerinin ve sosyal güvenlik numaralarının, diğer çocukların velayetine sahip olmayan, en büyük çocuğun babasıyla paylaşılmasının GDPR'ı ihlal ettiğine karar verilmiştir. 

İlgili karara buradan ulaşabilirsiniz.

Belçika Veri Koruma Otoritesi, istenmeyen pazarlama e-postalarına ilişkin bir şikayeti reddetti!

Belçika Veri Koruma Otoritesi tarafından istenmeyen pazarlama e-postalarına ilişkin bir şikayet üzerine; veri sorumlusunun Avrupa Ekonomik Alanı'nda (“AEA”) herhangi bir kuruluşu olmadığı (Madde 3(1) GDPR), AEA'daki veri sahiplerine mal ve hizmet sunulmadığı (Madde 3(2)(a) GPDR) ve AB merkezli bireylere yönelik herhangi bir izleme yapılmadığı (Madde 3(2)(b) GDPR) gerekçeleriyle GDPR’ın uygulanamayacağına karar verilmiştir.

Veri sahibi, Amerika Birleşik Devletler'indeki (ABD) bir veri sorumlusundan iki kez pazarlama e-postası almıştır. İlgili veri sorumlusu, Yahudi Kadınların zorluklarını ve zaferlerini tartışmak için yazma atölyeleri sunma ve yalnızca İngilizce olarak mevcut olan bir kitabı satma adına bir platform oluşturma hedefine sahiptir. Ek olarak, veri sorumlusu ödemeler için para birimi olarak Euro'yu kabul etmemektedir ve satılan kitaplar yalnızca ABD, Kanada ve İsrail'deki adreslere teslim edilmektedir. Veri sahibi, veri sorumlusu ile hiçbir şekilde temas kurmadığını iddia etmiştir. 

Veri sahibi, pazarlama e-postalarını alması sonucunda veri sorumlusuna kendisiyle ilgili kişisel verilerin silinmesi talebinde bulunmuştur. Ancak veri sorumlusu, veri sahibinden gelen silme talebine yasal süresi olan bir ay içerisinde yanıt vermemiştir. (Madde 17 GDPR). Bunun sonucunda veri sahibi, Belçika Veri Koruma Otoritesi’ne şikayette bulunmuştur. 

Belçika Veri Koruma Otoritesi, GDPR'ın uygulanabilir olmaması nedeniyle Veri Koruma Otoritesi’nin davayı ele alma yetkisi olmadığı için teknik bir ret kararı vermiştir. Veri Koruma Otoritesi, veri sorumlusunun ABD'de kurulmuş olması ve Avrupa Ekonomik Alanı'nda (AEA) bir kuruluşu bulunmaması nedeniyle GDPR Madde 3(1)'in ve Madde 3(2)’nin uygulanabilir olmadığına karar vermiştir.

Veri Koruma Otoritesi;

• İlk olarak, veri sahibi e-postaları aldığında veri sorumlusunun AEA'da bulunup bulunmadığının şikayetten net olarak anlaşılmadığını belirtmiştir.

• İkinci olarak, veri sorumlusu tarafından AEA'daki veri sahiplerine yönelik bir 'mal ve hizmet sunumu' olmadığını tespit etmiştir Veri Koruma Otoritesi, AEA'da kullanılan dillerden birinin kullanılması veya ürün ve hizmetler için Euro cinsinden ödeme yapma imkanı gibi bu tür özel bir teklife işaret edebilecek çeşitli örnekler vermiştir. Ancak, mevcut davada, kitap ve atölye çalışmaları için mevcut tek dilin İngilizce olması, kitabın yalnızca ABD, Kanada ve İsrail'de teslim edilebilmesi ve yalnızca Dolar ve Şekel cinsinden ödeme yapılabilmesi AEA’daki veri sahiplerine yönelik olmadığını göstermektedir. Bu nedenle, Veri Koruma Otoritesi mal ve hizmet sunumu olmadığına karar vermiştir (Madde 3(2)(a) GPDR).

• Üçüncü olarak, davranışların izlenmesinin söz konusu olmadığına (GDPR Madde 3(2)(b)) ve mevcut davada bunu destekleyecek hiçbir olgu bulunmadığına karar vermiştir. 

Veri Koruma Otoritesi ayrıca veri korumaya ilişkin başka hiçbir mevzuatın uygulanabilir olmadığını belirtmiş, bu şikayeti ele almaya yetkili olmadığına karar vermiş ve şikayeti reddetmiştir. 

İlgili karara buradan ulaşabilirsiniz.

Veri sahibi, bir arkadaşıyla (veri sorumlusu) Whatsapp üzerinden bir telefon görüşmesi yapmış ve bu görüşme esnasında görüşmenin kaydedildiğinden habersiz bir şekilde eski partnerinin kendisine karşı istismarda bulunduğunu ve kürtaj yaptırdığını itiraf etmiştir. Veri sorumlusu daha sonra veri sahibinin eski partnerine ve diğer arkadaşlarına bu durumu iletmiştir. 

Veri sahibi, rızası olmaksızın telefon görüşmesinin kaydedilmesi ve yayılması suretiyle veri koruma ve gizlilik hakkının ihlal edildiği iddiasıyla Avusturya Veri Koruma Otoritesi’ne şikayette bulunmuştur.

Avusturya Veri Koruma Otoritesi ilk olarak olayın GDPR Madde 2(2)(c)'de bulunan hane halkı istisnasına girip girmediğini değerlendirmiştir. Bu hükme göre, kişisel verilerin gerçek kişiler tarafından tamamen kişisel veya ev faaliyetlerinin yürütülmesi amacıyla işlenmesinde GDPR hükümleri geçerli olmadığını belirtmektedir. Burada mesleki veya ekonomik bir faaliyete atıfta bulunulmaması önemli bir faktör olarak değerlendirilmiştir.

Veri Koruma Otoritesi değerlendirmesinde “aile” kavramının sadece aile hukuku anlamında değerlendirilmemesi gerektiğine evlilik ve ebeveynlikten bağımsız olarak diğer ilişkileri de içerdiğine değinmiştir. Aynı zamanda GDPR Resital 18'in sosyal ağların ve çevrimiçi faaliyetlerin kullanımını kişisel veya ailevi bir faaliyetin parçası olarak tanımladığını belirtmiştir. Bu yorumlar ışığında, belirleyici faktörün veri işlemenin sınırlı bir tanıdık çevresi içinde tamamen kişisel bir konu olmasıdır.

Sonuç olarak Veri Koruma Otoritesi olayın GDPR Madde 2(2)(c)'de yer alan hane halkı istisnası nedeniyle GDPR’ın uygulanabilir olmadığı sonucuna varmış ve başvuruyu reddetmiştir. 

İlgili karara buradan ulaşabilirsiniz.

Kıbrıs Veri Koruma Otoritesi (‘’CDPC’’) veri sorumlusu Kıbrıs Elektrik Kurumu’na Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (‘’GDPR’’) aykırı işlemleri sebebiyle 5 bin euro para cezası vermiştir.

Kıbrıs Veri Koruma Otoritesi (‘’CDPC’’), yanlışlıkla ilgili kişiye ait kişisel veri içeren onay formunun ilgili kişinin komşusuna teslim edilmesine sebebiyet verilmesi şeklinde gerçekleşen olayda kişisel verilere yetkisiz erişimin engellenmesi ve ihlale sebebiyet veren personelin periyodik eğitimlerini tamamlamaması gibi gerekçelerle gerekli teknik ve idari tedbirlerin alınıp uygulanmaması sonucunda Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (‘’GDPR’’) 5(1), 24(1) ve 32. maddelerine aykırı hareket eden veri sorumlusu Kıbrıs Elektrik Kurumu’na  5 bin euro para cezası vermiştir.

Söz konusu olayda; veri sorumlusu ilgili kişinin arazisine elektrik hattı yerleştirmeyi amaçlamış ve bu doğrultuda veri sahibine onay formu göndermiştir. Ancak veri sorumlusunun çalışanı kişisel veriler içeren onay formunu ilgili kişinin komşusuna teslim etmiştir. Olayın vuku bulmasıyla ilgili kişi CDPC’ye başvuruda bulunmuştur. Şikayet sonrasında veri sorumlusu CDPC’ye veri ihlal bildiriminde bulunmuş, özür dilemiş ve ihlalin kötü niyetten değil insan hatasından kaynaklandığını belirtmiştir. Veri sorumlusu daha öncelerinde ihlali gerçekleştiren çalışanın katılmadığı periyotlar halinde GDPR uyum eğitimleri düzenlemişti. Bununla birlikte personel için daha fazla eğitime ihtiyaç duyulduğu ve halihazırda planlandığı veri sorumlusu tarafından kabul edilmiştir.

Soruşturmalar neticesinde CDPC;

• veri sorumlusunun işlemenin GDPR ile uyumlu olmasını sağlamak için önceden uygun teknik ve idari tedbirleri uygulamadığına bu sebeple GDPR Madde 24(1)'i ihlal ettiğine,

• veri sorumlusunun onay formunun yetkisiz bir şekilde görüntülenebilmesini önlemek için önceden uygun tedbirleri almaması nedeniyle GDPR Madde 32'yi ihlal ettiğine, 

• veri sorumlusunun ilgili kişinin kişisel verilerini yetkisiz ve/veya hukuka aykırı bir şekilde işlenmesine izin verecek şekilde işlendiğine bu sebeple  bütünlük ve gizlilik ilkesini GDPR Madde 5(1)(f)’yi ihlal ettiğine, 

karar vermiştir. 

Sonuç olarak işbu yukarıda sayılan sebepler nedeniyle, CDPC veri sorumlusu kurum aleyhine 5 bin euro para cezasına hükmetmiştir.

İlgili karara buradan ulaşabilirsiniz. 

İrlanda Veri Koruma Otoritesi (“IDPC’’), Meta hakkında toplamda 390 milyon euro para cezasına hükmetti. 

İrlanda Veri Koruma Otoritesi, Meta’nın Facebook ve Instagram kullanıcı verilerini reklamcılık faaliyetleri doğrultusunda kullanmasına ilişkin 2018 yılında yapılan şikayetler hakkında nihai karara vardı. IDPC, Meta’nın GDPR 6. maddesinin 1. fıkrasının (b) bendini ihlal etmesi sebebiyle, Meta’nın Facebook ve Instagram kullanıcı verilerini reklamcılık faaliyetleri kapsamında kullanmasının yasaklanmasına ve  toplamda 390 milyon euro para cezası ödemesine karar verdi. Ayrıca IDPC, Meta’nın kişiselleştirilmiş reklam sunmak için kullanıcılardan ek rıza alması gerektiğini belirterek, GDPR’a  uyum kapsamında şirkete 3 aylık süre tanıdı.

Haberin tamamı için linke tıklayınız.

Alman Mahkemesi, Google Yazı Tiplerini kullandığı için web sitesi operatörüne karşı kullanıcıya 100 euro tazminat ödenmesine karar verdi.

Landgericht München'in Münih'teki üçüncü hukuk dairesi tarafından verilen kararda, web sitesinin sayfalarında Google-Fonts yazı tipi kullanılarak kimliği belirsiz davacının IP adresini yetkisiz ve meşru bir sebep olmaksızın Google'a aktararak Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (“GDPR”) ihlal ettiği tespit edildi. Davacı web sitesini ziyaret ettiğinde sayfa, kullanıcının tarayıcısına Google Fonts'tan bir yazı tipi getirmesini sağladı ve internet sitesi kullanıcısının IP adresini Google ile paylaştı. Bu tür dinamik  bağlantının Google Fonts'ta olması normal olsa da buradaki sorun, ziyaretçinin IP adresinin paylaşılmasına izin vermemiş olmasıdır.

Verilen karar hakkında;

Dinamik IP adreslerinin GDPR uyarınca kişisel veri olduğu şüphesizdir. Münih Bölge Mahkemesi’ne göre Google Yazı Tipleri hizmeti, kullanıcının IP adresini Google'ın ABD'deki ana şirketine aktarmakta ancak Google, bu tür bir kişisel veri aktarımı için GDPR gereksinimlerini karşılamamaktadır. Yapılan veri aktarımı sonucunda Amerika Birleşik Devletleri'ne veri aktarımı gerçekleştirilirken AB Gizlilik Yasası ihlal edilmektedir.  Mahkeme, bu hususu hukuki gerekçesinde dikkate bile almamış daha ziyade mahkemeye göre Google Fonts gibi web font servislerinin kullanılması başlı başına bir gizlilik ihlali teşkil etmektedir. Bu hususun gerekçesi, IP adresinin aktarılması yazı tiplerini yerel olarak barındırarak önlenebilir ve bu nedenle ilk etapta web sitesi operatörünün meşru menfaatine dayanamaz. Başka bir deyişle, yazı tiplerinin kullanımı Google ile bağlantı kurulmadan da mümkün olduğundan, IP adresinin açıklanması haklı ve dolayısıyla hukuka aykırıdır. Web sitenizde Google Yazı Tiplerini kullanıyorsanız, yazı tiplerini yerel olarak, yani kendi (Bulut) sunucunuzda barındırmanız önerilmektedir. Bu şekilde, hiçbir kişisel veri Google'a ve bilhassa Amerika Birleşik Devletleri'ne aktarılmamaktadır. Kararda, "Davacının dinamik IP adresinin davalı tarafından Google'a yetkisiz olarak ifşa edilmesi, Alman Medeni Kanunu'nun 823.maddesi 1.fıkrası uyarınca; bilgi amaçlı kendi kaderini tayin etme hakkı şeklinde genel kişilik hakkının ihlalini teşkil etmektedir". IP adreslerinin kişisel verileri temsil ettiği, çünkü bir IP adresi ile  kişiyi tanımlamanın teorik olarak mümkün olduğu ve bunu web sitesinin veya Google'ın gerçekten yapıp yapmamasının alakasız olduğu belirtilmektedir. Kararda, "Davacı, davalının web sitesine eriştiğinde dinamik IP adresini Google'a aktararak davacının kendi kaderini tayin etme hakkını ihlal etmiştir" denildi. Karar, veri sorumlusunu web sitesini Google'a IP adresleri sağlamayı durdurmaya yönlendirmekte ve site operatörünü her ihlal için 250 bin euro veya Google Fonts'un uygunsuz kullanımına devam etmesi nedeniyle altı aya kadar hapis cezasıyla karşı karşıya bırakıyor.

GÜVENDE OLMAK İSTİYORSANIZ NE YAPMALISINIZ? 

Web sitenizin Google yazı tiplerini kullanıp kullanmadığını kontrol etmelisiniz. Bir yazı tipinin Google yazı tipi olup olmadığını buradan kontrol edebilirsiniz:

URL'nizi girmek ve sitenizin Google yazı tiplerini kullanıp kullanmadığını ve 'güvenli' olup olmadığını görmek için bu Alman gizlilik şirketinin Google yazı tipi denetleyicisini de  buradan kullanabilirsiniz

Eğer web sitenizde Google Fonts kullanıyorsanız kendinizi korumak için; 

1. Google yazı tiplerini yerel olarak barındırın.

Yazı tipi dosyasını Google'dan ücretsiz olarak indirebilir ve web sitenize yükleyebilirsiniz. 

2. Sistem yazı tiplerine geçin.

Sistem yazı tipleri Verdana, Times New Roman ve Georgia gibi hepimizin bildiği yazı tipleridir. İşte sistem yazı tiplerinin kullanışlı bir listesi. 

Yararlanılan linkler; 

Link 1 Link 2 Link 3 Link 4

İngiltere Veri Koruma Otoritesi tarafından veri sorumlusunun, müşterilerinin verilerini rızası olmadan kullanıp tıbbi durumlarını tahmin ederek hedefleme yaptığı ve onlara “sağlıkla ilgili ürünler” önerdiği tespit edilmiştir. 

Veri Koruma Otoritesi, veri sorumlusunun telefonla pazarlama amacıyla müşterileri seçmek için ilgili işlem verilerini kullandığında, bunun profil oluşturmayı hedeflediği sonucuna varmıştır. Veri sorumlusu, müşterinin sağlık koşullarına ilişkin çıkarımlarına dayanarak hangi ürünleri hangi müşterilere pazarlayacağına karar vermek amacıyla işlem verilerini kullandığında, bu durum özel nitelikli kişisel verilerinin işlenmesini oluşturmaktadır.  

Veri Koruma Otoritesi, veri sahiplerine bilgilerinin profil çıkarma için kullanılacağı konusunda bilgi verilmediği için Easylife'ın GDPR 13. Maddesini ve GDPR 9. Maddesinin gerektirdiği şekilde özel nitelikli kişisel verilerini işlemek amacıyla müşterinin açık rızasını toplamadığı için GDPR 9. Maddesini ihlal ettiğine karar vermiş ve veri sorumlusu aleyhine 1.350.000 Sterlin para cezasına hükmetmiştir.

İlgili karara buradan ulaşabilirsiniz. 

Hırvatistan Veri Koruma Otoritesi İncelemeler neticesinde, ceket giyerek kamufle olmuş ve koruyucu maske takmış bir kişinin fotoğrafına bakılarak kimlik belirlemesi yapmanın mümkün olmadığı sonucuna varılmıştır.

14/11/2022

Hırvat Veri Koruma Otoritesi’ne, müşterisinin satış ilanı verilen bir daireyi görüntülerken çekilmiş fotoğraflarını rızası ve bilgisi olmadan internet sitesinde yayınladığı gerekçesiyle bir emlak ofisi aleyhine şikayette bulunulmuştur. 

Yapılan incelemeler neticesinde, ceket giyerek kamufle olmuş ve koruyucu maske takmış bir kişinin fotoğrafına bakılarak kimlik belirlemesi yapmanın mümkün olmadığı sonucuna varılmıştır.

Bu sebeple, ilgili şikayetin sadece satılık bir mülkün fotoğrafını yayınlamakla ilgili olduğuna, söz konusu fotoğrafın GDPR 4/1. maddesi uyarınca kişisel veri olarak nitelendirilemeyeceğine ve veri sorumlusunun fotoğrafı silme yükümlülüğü bulunmadığına hükmedilmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

Dört kişinin kişisel verilerini içeren bir belgeyi yanlışlıkla WhatsApp aracılığıyla başka bir alıcıya gönderen Alpha Bank România tarafından  Romanya Veri Koruma Otoritesi’ne veri ihlal bildiriminde bulunulmuştur.Romanya Veri Koruma Otoritesi bankaya 1000 € para cezası verilmesine hükmetmiştir.

07/11/2022

Dört kişinin kişisel verilerini içeren bir belgeyi yanlışlıkla WhatsApp aracılığıyla başka bir alıcıya gönderen Alpha Bank România tarafından, Romanya Veri Koruma Otoritesi’ne veri ihlal bildiriminde bulunulmuştur.

Veri sahiplerinin adı ve soyadı, kimlik numarası, konumu ve imzası, kredi türü, sözleşme imza sayısı ve tarihi, kredi süresi ve son vade tarihini içeren bilgilerin yer aldığı ihlale konu olan olayda, veri sorumlusu konumundaki Alpha Bank Romania’nın GDPR 32(1-b) ve GDPR 32(2) maddeleri uyarınca gizlilik ve güvenlik düzeyini sağlamak adına yeterli teknik ve organizasyonel önlemleri almadığı tespit edilmiştir. Ayrıca, kişisel verilere erişimi olan çalışanlarının, GDPR Madde 32(4) ve Madde 29 uyarınca talimat verilmedikçe bunları işlememesini sağlamak için yeterli önlemleri almadığı da tespit edilmiştir.

Bunun üzerine, Romanya Veri Koruma Otoritesi, veri sorumlusu Alpha Bank Romania’nın GDPR 29, GDPR 32(1-b), GDPR 32(2) ve GDPR 32(4) maddelerini ihlal ettiğine ve veri sorumlusuna 1000 € para cezası verilmesine hükmetmiştir.

İlgili karara buradan ulaşabilirsiniz. 

Çalışanlarının rızası olmaksızın Covid-19 aşısı hakkında bir web sitesine kaydolmak ve onlar adına randevu oluşturmak gerekçeleriyle SC Wagab Water Services SRL hakkında Romanya Veri Koruma Otoritesi tarafından  €1.000 para cezasına hükmedilmiştir.

01/11/2022

Çalışanlarının rızası olmaksızın Covid-19 aşısı hakkında bir web sitesine kaydolmak ve onlar adına randevu oluşturmak gerekçeleriyle SC Wagab Water Services SRL hakkında Romanya Veri Koruma Otoritesi’ne ihlal bildiriminde bulunulmuştur.

Romanya Veri Koruma Otoritesi tarafından yapılan incelemelerde veri sorumlusu sıfatıyla SC Wagab Water Services SRL’nin, çalışanlarına ait verileri hukuka aykırı olarak işlediği tespit edilmiştir.

Söz konusu web sitesine kayıt işlemi gerçekleştirilirken geçerli bir rızaya dayanıldığının kanıtlanamaması üzerine GDPR 5/1-a, 5/2 ve 6. maddelerinin ihlal edildiğine karar verilmiş ve SC Wagab Water Services SRL aleyhine €1.000 para cezasına hükmedilmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

Romanya’da Banca Comercială Română SA şirketinde kişisel veri içeren e-postaların yanlış adrese gönderilmesi sonucu şirkete €2.000  para cezası verilmiştir. 

28/10/2022

Romanya’da Banca Comercială Română SA şirketinin yetersiz teknik ve organizasyonel tedbirleri, kişisel veri içeren e-postaların yanlış adrese gönderilmesi sonucunda, Romanya Veri Koruma Otoritesi’ne veri sorumlusu tarafından ilgi şirket hakkında kişisel veri ihlal bildiriminde bulunulmuştur.

Romanya Veri Koruma Otoritesi tarafından gerçekleştirilen soruşturmada, 564 veri sahibinin ihlalden etkilendiğini tespit edilmiş ve meydana gelen ihlalin bir yazılım uygulamasından kaynaklı teknik hata sonucu meydana geldiği belirlenmiştir.

Romanya Veri Koruma Otoritesi, veri sorumlusunun kişisel verileri işlemek için güvenliği sağlama konusunda yeterli teknik ve organizasyonel tedbirleri almadığına karar vermiş ve bu durumun GDPR 25/1., GDPR 32/1-b., GDPR 32/1-d., ve GDPR 32/2. maddelerine aykırılık oluşturduğu sonucuna varmıştır. Karar sonucunda veri sorumlusu aleyhine €2.000 para cezasına hükmedilmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

İspanya Veri Koruma Otoritesi Naturgy Enerji Grubu aleyhine €80,000 para cezasına hükmetmiştir.

26/10/2022

İspanya Veri Koruma Otoritesi’ne, veri sahibinin e-posta adresinin rızası dışında değiştirildiği ve verilerinin üçüncü kişiler ile paylaşıldığı gerekçesiyle gaz ve elektrik tedarikçisi Naturgy Enerji Grubu aleyhine ihlal bildiriminde bulunulmuştur.

Yapılan incelemeler neticesinde, kendisini veri sahibinin akrabası olarak tanımlayan üçüncü bir kişi tarafından söz konusu e-posta verisinin değiştirildiği ve veri sahibinin iki adet fatura bilgisinin bu kişiyle paylaşıldığı tespit edilmiştir.

Bunun üzerine veri sorumlusu tedarikçinin savunması talep edilmiş ve firma, erişim sırasında gerekli güvenlik sorularını sorarak bu anlamda tedbir yükümlülüğünü yerine getirdiğini beyan etmiştir. Ancak İspanya Veri Koruma Otoritesi, tedbirlerin yeterli olduğu noktasında yapılan savunmaya itibar etmeyerek veri sahiplerinin kişisel verilerinin korunmasını garanti altına almak için gerekli güvenlik önlemlerinin alınmadığı gerekçesiyle GDPR 32. maddesinin ihlal edildiğine karar vermiş ve veri sorumlusu aleyhine €80,000 para cezasına hükmetmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.