Lüksemburg Veri Koruma Otoritesinin mobil uygulama işletmecilerini yakından

Lüksemburg Veri Koruma Otoritesi, web sitesi ve mobil uygulama işleten şirket hakkında, verilerin işlenmesi hususunda yeterli bilgi vermediği ve gerçeği yansıtmayan bir gizlilik politikası kullanması sebepleriyle 3.700 euro para cezasına hükmetti.

Lüksemburg Veri Koruma Otoritesi, 17 Temmuz 2020 tarihinde, web sitesi ve mobil uygulamanın işletmecisi olan A Şirketi hakkında, faaliyetlerinin GDPR'ın 12(1), 13 ve 14. Maddelerine uygunluğunu kontrol etmek amacıyla bir soruşturma başlatmıştır. Soruşturmada, şirket çalışanlarına değil, web sitesinin ve mobil uygulamanın kullanıcılarına odaklanmıştır.

İşbu soruşturmada; gizlilik politikasında gerçekte gerçekleştirilmeyen işleme faaliyetlerinden bahsedildiği, gizlilik politikasının şirketin veri topladığı tüm sayfalarda konumlandırılmadığı, mobil uygulamayı indirmeden önce herhangi bir gizlilik politikasının bulunmadığı ve uygulama yüklendikten sonra gizlilik politikasına kolayca erişilemediği, gizlilik politikası sadece iki dilde mevcutken web sitesinin üç dilde versiyonlarının mevcut olduğu ve gizlilik politikasında verilerin ne kadar süreyle saklanacağı veya işlemeyi kısıtlama hakkından bahsedilmediği hususları tespit edilmiştir.

Veri sorumlusu tarafından bilgilerin mevcut olmamasının, sitesini ve uygulamasını yöneten hizmet sağlayıcısının tutumundan kaynaklandığı ifade edilmiştir.

Soruşturma neticesinde; Veri Koruma Otoritesi, gizlilik politikasının, aslında şirket tarafından gerçekleştirilmeyen belirli işleme faaliyetlerinden bahsederek, gerçeği yansıtmadığını ve veri sorumlusunun Madde 12(1)'i ihlal ederek gerekli bilgileri anlaşılır bir şekilde, açık ve basit terimlerle sağlamadığına kanaat getirilmiştir.

Ayrıca, Madde 13(2)(a) ve 13(2)(b)'yi ihlal eden bilgi eksikliği tespit edilmiştir: verilerin ne kadar süreyle saklanacağına ilişkin bilgi kapsamında belirli işleme faaliyetleri özelinde eksik bulunmaktadır. Öte yandan ilgili kişilerin haklarına ilişkin olarak, kısıtlama hakkı hakkında hiçbir bilgi bulunamamıştır.

İşbu nedenlerle, Veri Koruma Otoritesi, Madde 58(2) uyarınca ve veri sorumlusu şirket tarafından halihazırda uygulanmış olan tedbirler göz önünde bulundurulduğunda şirket hakkında 3,700 euro para cezasına hükmedilmiş ve veri sorumlusu şirketin gizlilik politikasını Madde 12(1)'in gerekliliklerine uygun olacak şekilde güncellemesi gerektiği karara bağlanmıştır.

İlgili karara buradan ulaşabilirsiniz.

İletişim

Gizlilik ve Kişisel Veriler