Avrupa’da Yüzlerce Milyon Liralık Dev Cezalar
Kişisel verilerin korunması sadece ülkemizde değil, tüm dünyada çok önemli bir yere sahiptir. Kişisel verilerin korunmasında gerekli hassasiyeti göstermeyenler ağır yaptırımlar ile karşı karşıya kalmaktadır.
Otoriteler, Almanya, İspanya, İrlanda ve Norveç’te birbiri ardında büyük cezalar açıkladı. Yüz milyonlarca lira değerindeki cezaları sizler için derledik.
Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”) uyarınca verilen en yüksek ceza !
Almanya Niedersachsen Eyaleti Veri Koruma Otoritesi 8 Ocak 2021 tarihinde Almanya’nın en büyük bilgisayar perakendecisi notebooksbilliger.de web sitesine veri sorumlusu olarak hukuki dayanağı olmadan çalışanlarını 2 yıldan fazla süredir mağaza içerisine yerleştirilmiş kamera kayıtları ile izlemesi nedeniyle ve bu durumun Avrupa Birliği Veri Koruma Tüzüğü’ne (“GDPR”) aykırılık teşkil etmesi gerekçesiyle Avrupa Birliği içerisinde verilmiş olan en yüksek cezaya hükmetti. 10.4 Milyon Euro’luk para cezası alan “notebooksbilliger.de” Niedersachsen Veri Koruma Otoritesi’ne Kamera Kaydı’na ilişkin hukuki dayanak teşkil edecek belgeleri hazırladığını ve Veri Koruma Otoritesi’ne teslim edildiği de açıklamada yer almıştır.
14 Ocak 2021 tarihinde “notebooksbilliger.de AG” firması tarafından itiraz edilen 10.4 Milyon Euro’luk cezaya konu kararda; Veri Koruma Otoritesi tarafından yapılan açıklamada çalışanların izlenmesi amacıyla kamera sistemlerinin tutulması durumunun var olmadığı, bilişim ürünleri satan mağazalarında satılan ürünlerin bir hasara uğraması veya kaybolması durumunda soruşturmanın gerçekleştirilebilmesi ve bu durumun kargo ve lojistik hizmeti veren tüm firmalarda olağan bir durum olduğu belirtilmiştir. Ayrıca yapılan açıklamada çalışanların izlenmesi konusunda bir durumun var olmadığı ve bu konuda teknolojik olarak kameralarda bir teknolojinin de var olmadığı açıklanmıştır. Bunun yanında notebookbilliger.de, Niedersachsen Veri Koruma otoritesinin kamera kayıtlarına ilişkin sistemlerde yeteri kadar soruşturma yapmadan karar verdiğinin altını çizdi.
Almanya’nın dijital ekonomisinde söz sahibi 2.700’den fazla şirketin üye olduğu BİTKOM’dan yapılan açıklamada bahse konu soruşturmada verilen cezanın hesaplanma usulünün kanunlara aykırı ve orantısız olduğu açıklandı. Yapılan açıklamada verilen cezanın şirketin cirosu üzerinden verildiği ancak işbu cezanın aslında şirketin kazancı üzerinden verilmesi gerektiği belirtildi.
İlgili karara Almanca olarak buradan ulaşabilirsiniz : https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html
İspanya Veri Koruma Otoritesi (“AEPD”) CaixaBank’e kişisel verilerin işlenmesi kapsamında Aydınlatma ve Açık Rıza’ya ilişkin ihlalleri nedeniyle 6 Milyon Euroluk Cezaya Hükmetti !
İspanya Veri Koruma Otoritesi (“AEPD”) tarafından yapılan açıklamada CaixaBank tarafından ilgili kişilerin kişisel verilerinin işlenmesi kapsamında Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”)’nün 6,13 ve 14.maddelerine aykırılığın tespit edildiği belirtildi.
Bu kapsamda CaixaBank’in aydınlatma metinlerinde ve açık rıza metinlerinde madde 13 ve madde 14 uyarınca açık ve net bir dilin kullanılmadığı, veri saklama süreleri ve ilgili kişilerin başvuru şartlarının açıklanması konularında yetersiz bilgilendirmenin tespit edildiği belirtildi.
Bunun yanında 6.madde uyarınca hukuki dayanak olmadan meşru menfaat kapsamında kişisel verilerin işlendiğinin belirtildiği metinlerde ayrıca açık rıza metinlerinin “Belirli bir konuya ilişkin olması, Rızanın bilgilendirmeye dayanması ve Özgür iradeyle açıklanması” unsurlarında eksiklikler tespit edilmiş ve ayrıca kişisel verilerin CaixaBank grup şirketleri arasında paylaşılmasının hukuka aykırı olduğu tespit edilmiştir.
Sonuç olarak CaixaBank, İspanya Veri Koruma Otoritesi (“AEPD”) tarafından 13. Ve 14. Maddelere aykırı hareket etmekten 2 Milyon Euro, 6.Maddeye aykırı olarak veri işlemekten 4 Milyon Euro ceza ile toplam 6 Milyon Euro para cezasına hükmolunmuştur. Ayrıca 6 ay içerisinde Avrupa Birliği Veri Koruma Tüzüğü’ne uyumun gerçekleştirilmesi gerektiğinin altı çizilmiştir.
(“AEPD”) nin kararı için : https://www.aepd.es/es/documento/ps-00477-2019.pdf
İrlanda Veri Koruma Otoritesi, Twitter ile “Veri İşleyen” sıfatına haiz bir firmanın veri ihlal bildirimini yerine getirmemesi nedeniyle 450.000 Euro Para Cezası Verdi !
Verilen bu ceza ile İrlanda Veri Koruma Otoritesi tarihinin en yüksek cezasına karar vermiş oldu. Bahse konu veri ihlali olayında Veri Sorumlusu olan Twitter, “Veri işleyen” bir firmanın veri ihlal bildirimini yapmaması nedeniyle cezaya konu oldu.
Altı çizilen en önemli husus ise veri işleyen sıfatına haiz kuruluşların veri ihlalleri durumlarında veri sorumlularının kişisel verilerin korunması konusundaki sorumluluklarını yok sayamayacakları, böyle bir durumda veri koruma otoritelerine bildirimde bulunmaları gerektiği belirtilmiştir. Bu konuda veri sorumlularının, veri işleyenin yerine getirmesi gereken sorumlulukları kapsamında prosedürlerinin var olması ve veri ihlal bildirimi ve müdahalesi konusunda hazırlıklı olmaları gerekmesinin önemi tekrar anlaşılmıştır.
Norveç Veri Koruma Otoritesi’nden Gindr’a Tüketicilerin Gizliliği konusunda 9.6 Milyonluk Para Cezası !
İlgili para cezasına konu olayda, “Gindr LLC” Şirketi’nin flört uygulaması kullanıcılarının rızası olmadan kişisel verilerini paylaşması ve saklaması nedeniyle Avrupa Birliği Veri Koruma Tüzüğü’ne (“GDPR”)’a aykırılık oluşturduğu gerekçesiyle para cezasına hükmolunduğu belirtildi.
2020 yılında Norveç Veri Koruma Otoritesi’ne başvuruda bulunan Noyb.eu (“Avrupa Dijital Haklar Merkezi”) ve Norveç Tüketici Konseyi’nin yapmış olduğu çalışmalar neticesinde kaç uygulamanın kullanıcılarının hassas içerikli kişisel verilerine eriştiği ve hukuka aykırı olarak işlendiğinin tespiti neticesinde Veri Koruma Otoritesine şikâyette bulunulduğu belirtildi. Bahse konu başvuruda ise Gindr ve beş ticari ortağı aleyhinde hassas içerikli kişisel verilerin korunması konularında şikayette bulundukları belirtildi.
Norveç Tüketici Konseyi’nin şikayeti ile ilgili açıklamalar için : https://www.forbrukerradet.no/side/complaints-against-grindr-and-five-third-party-companies/#