- Ana Sayfa
- /
- Haberler ve Yayınlar
Haberler ve Yayınlar
GDPR Kararı
- 11.10.2024
- /
Fransa Veri Koruma Otoritesi, Anket Projesinde Veri İşlenmesinin Meşruluğuna İlişkin Görüş Yayımladı
Fransa Veri Koruma Otoritesi (''CNIL''), bilimsel araştırma anket projesi kapsamında özel nitelikli kişisel verilerin işlenmesinin kamu yararı olması sebebiyle hukuka uygun olduğuna ilişkin görüş yayımladı.
IAPP Haberleri
- 08.10.2024
- /
Haftalık IAPP Haberleri 30.09.2024-04.10.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 04.10.2024
- /
İtalya Veri Koruma Otoritesi, belediyenin iş başvurusunda bulunan adayların kişisel verilerini internet sitesinde yayımlamasının GDPR'ı ihlal ettiğini tespit ederek belediyeye 4.000 Euro para cezası verdi.
Belediyenin birim yöneticiliği pozisyonu için düzenlediği işe alım sürecinde, adaylar özgeçmiş, doğum tarihi ve mezuniyet notu gibi kişisel verilerini belediye ile paylaşmıştır. Ancak belediyenin değerlendirme kurulunun toplantı tutanaklarının belediyenin internet sitesinde yayımlanmasıyla iş başvurusunda bulunan adayların kişisel verileri izinsiz olarak ifşa edilmiştir. Bu sebeple iş başvurusunda bulunan adaylardan biri (ilgili kişi), belediyeden verilerinin silinmesini talep etmiş ancak bu talep belediye tarafından yanıtsız bırakılmıştır. Bunun üzerine ilgili kişi, İtalya Veri Koruma Otoritesi’ne (''Otorite'') şikayette bulunmuştur. Belediye, Otorite’nin müdahalesi sonrasında belgeyi internet sitesinden kaldırmış ve silme talebinin genel sekreterin kişisel e-posta adresine gönderilmesi sebebiyle yanıtlanmadığı savunmasında bulunmuştur. Otorite, bunun geçerli bir gerekçe olamayacağını belirtmiştir. Ayrıca Otorite, belgenin yayımlanmasının şeffaflık yükümlülüklerini yerine getirmek amacıyla yapıldığı iddiasını da mevzuatın yalnızca başarılı adayın isminin yayımlanmasını gerektirmesi sebebiyle kabul etmemiştir. Tüm bu gerekçelerle Otorite, GDPR'ın 5(1)(a), 6, 17 ve 12(3) maddelerinin ihlal edildiğini tespit ederek belediyeye 4.000 Euro idari para cezası vermiştir.
IAPP Haberleri
- 01.10.2024
- /
Haftalık IAPP Haberleri 23.09.2024-27.09.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 27.09.2024
- /
Belediyenin Çalışan Aday Verilerini İşe Alım Sürecinde Hukuka Aykırı Olarak İnternet Sitesinde Yayımlaması
İtalya Veri Koruma Otoritesi, belediyenin iş başvurusunda bulunan adayların kişisel verilerini internet sitesinde yayımlamasının GDPR'ı ihlal ettiğini tespit ederek belediyeye 4.000 Euro para cezası verdi.
GDPR Kararı
- 25.09.2024
- /
Video Gözetim Sistemleri İle Yapılan İzleme Faaliyetlerinin GDPR’ı İhlal Etmesi Nedeniyle Bir Belediyeye Para Cezası Verildi
İtalya Veri Koruma Otoritesi, Modica Belediyesi'nin atık toplama video gözetim sistemlerinde GDPR ihlallerine yol açan veri işleme faaliyetleri nedeniyle veri sorumlusu aleyhine 45.000 Euro para cezasına hükmetti.
IAPP Haberleri
- 24.09.2024
- /
Haftalık IAPP Haberleri 16.09.2024-20.09.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 20.09.2024
- /
Aldatıcı Tasarıma Sahip Çerez Paneli İçin İhlal Kararı
Berlin Veri Koruma Otoritesi, internet sitesinde yer alan bir çerez panelinin aldatıcı tasarıma sahip olması ve verilen rızayı geri çekme seçeneğinin uzun uğraşlar sonucu bulunabilir olması sebebiyle ihlal kararı verdi.
GDPR Kararı
- 18.09.2024
- /
GDPR’a Aykırı Olarak Elde Edilen Verilerin Delil Olarak Kullanılmasına İzin Verildi
Almanya Federal İş Mahkemesi, menfaatler dengesini göz önüne alarak bilgilendirme yükümlülükleri ihlal edilmesine rağmen toplanan video kayıtlarının iş davasında delil olarak kullanılabileceğine karar verdi.
IAPP Haberleri
- 17.09.2024
- /
Haftalık IAPP Haberleri 09.09.2024-13.09.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 13.09.2024
- /
Hollanda Veri Koruma Otoritesi ve İspanya Veri Koruma Otoritesi onay alınmadan çerez yerleştirilmesi ve çerez panellerinin hukuka uygun olmaması nedenleriyle veri sorumlularına para cezası verdi.
Hollanda Veri Koruma Otoritesi ve İspanya Veri Koruma Otoritesi'nden çerezler hakkında 2 karar.
GDPR Kararı
- 11.09.2024
- /
Danimarka Veri Koruma Otoritesi, güvenli olmayan URL'lerin sebep olduğu güvenlik açığı nedeniyle veri sorumlusu yayınevinin GDPR’ın 32. maddesini ihlal ettiğine karar verdi.
Danimarka Veri Koruma Otoritesi (“DPA”), yayınevi Gyldendal A/S'yi, öğrencilerin akademik becerilerini taramak amacıyla kullanılan testlere erişim sağlayan URL'lerde yeterli güvenlik önlemlerini almadığı için inceleme altına almıştır. DPA tarafından, testlere erişimi sağlayan URL'lerin yalnızca 8 karakterden oluştuğu ve bunun veri güvenliği açısından ciddi bir risk yarattığı belirtilmiş, özellikle URL'lerin kısa olması nedeniyle yetkisiz kişilerin başka okullardaki öğrencilerin kişisel verilerine erişim sağlayabildiği tespit edilmiştir. DPA, bahse konu güvenlik açığının GDPR Madde 32(1) çerçevesinde veri işleyen tarafından uygun teknik ve idari tedbirlerin alınmadığı anlamına geldiğini belirtmiştir. Ayrıca DPA tarafından, veri güvenliğini sağlama konusunda veri işleyenin uygulamasının tasarımında yer alan hatalarının kabul edilemez olduğu ve URL manipülasyonu gibi yaygın bilinen risklere karşı önlem alması gerektiği vurgulanmıştır.
IAPP Haberleri
- 10.09.2024
- /
Haftalık IAPP Haberleri 02.09.2024 - 06.09.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 06.09.2024
- /
Erişim Talebinin Kötüye Kullanım Niteliğinde olduğu ve GDPR Madde 15’in Düzenleme Amacına Uymadığı Gerekçesiyle Reddi
Bir Alman mahkemesi, ilgili kişinin erişim talebini GDPR'ın 12(5)(b) maddesi uyarınca 'aşırı' ve 'kötüye kullanım' olarak değerlendirmiş ve talebin amacının veri koruma ile doğrudan ilgili olmadığını belirterek erişim talebini reddetmiştir.
GDPR Kararı
- 04.09.2024
- /
Şifre Politikasının Zayıf ve Tahmin Edilebilir Olması Sonucu İhlal Oluşması
Finlandiya Veri Koruma Otoritesi, Finlandiya Golf Birliği’nin golf uygulamasında varsayılan şifre olarak kişilerin doğum tarihlerini kullanması ve çok faktörlü kimlik doğrulaması kullanmaması sebebiyle yetkisiz erişime izin verdiği gerekçesiyle GDPR’ı ihlal ettiğine karar verdi.
IAPP Haberleri
- 03.09.2024
- /
Haftalık IAPP Haberleri 26.08.2024 - 30.08.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 28.08.2024
- /
Hamburg Yüksek Bölge Mahkemesi, veri sorumlusu bankanın ilgili kişi hakkında kredi derecelendirme kurumuna gerekli koşullar yerine getirilmeden yaptığı bildirimler nedeniyle ilgili kişiye 4.000 Euro tazminat ödenmesine karar verdi.
İlgili kişinin veri sorumlusunun şubesinde bulunan banka hesabını iptal etmesinden sonra veri sorumlusu tarafından bir ücret talep edildi. İlgili kişi bu ücreti ödemediğinde, veri sorumlusu onu SCHUFA adlı bir kredi derecelendirme kuruluşuna bildirdi. İlgili kişi bu nedenle bir bankadan kredi alamamış, farklı bir banka ise kredi kartını bloke etmiştir. İlgili kişi, veri sorumlusunun SCHUFA'ya yaptığı bildirimlerin haksız olduğunu iddia ederek, GDPR Madde 82 uyarınca veri sorumlusuna tazminat davası açmıştır. Hamburg Bölge Mahkemesi, bu durumun ilgili kişinin sosyal itibarını zedelediğini ve olumsuz sonuçlarla karşılaştığını belirtmiş, ilgili kişinin itirazına rağmen tekrar bildirim yapılmasını doğru olmadığını vurgulamıştır. Yüksek Mahkeme, ilgili kişiye toplamda 4.000 Euro tazminat ödenmesine karar vermiştir.
IAPP Haberleri
- 27.08.2024
- /
Haftalık IAPP Haberleri 19.08.2024 - 23.08.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 23.08.2024
- /
İspanya Veri Koruma Otoritesi, GDPR madde 58(1)'i ihlal ederek yerinde inceleme için işyerine giriş izni vermeyi reddeden bir servis sağlayıcı şirkete 20.000 Euro tutarında para cezası verdi.
Bir ilgili kişinin şikayeti üzerine İspanya Veri Koruma Otoritesi (''Otorite''), veri sorumlusu bir şirketin web sitesi üzerinden yürüttüğü faaliyetleri soruşturmak istemiştir. Ancak şirket, veri güvenliği gerekçeleriyle istenen bilgileri sağlamayı ve çeşitli yasal gerekçeler öne sürerek denetim talebini reddetmiştir. Otorite, veri sorumlusu tarafından öne sürülen tüm iddiaları reddetmiştir. Otorite denetleme yetkisinin kullanılması için gerekli olan kişisel verilere, bilgilere, yerlere, ekipmana ve işleme araçlarına erişim sağlanmasını yasal olmayan bir şekilde engellediğine karar vererek GDPR madde 58(1)'in ihlali gerekçesiyle veri sorumlusuna 20.000 Euro para cezası vermiştir.
GDPR Kararı
- 21.08.2024
- /
İzlanda Veri Koruma Otoritesi, dava dosyasının soruşturma sürecinde görevli memurlar tarafından yasal işlemler amacıyla bir idari makamla paylaşılmasının GDPR'ı ihlal etmediğine karar verdi.
İzlanda’da Yerel Şerif, Ulusal Polis Müdürü'nden bir ilgili kişinin özel nitelikli kişisel verilerini de içeren dava dosyasının tamamı talep etmiş ve dosya Yerel Şerif’e teslim edilmiştir. Bu dosya, ilgili kişinin dahil olduğu bir görüş vakasında yerel mahkeme tarafından kullanılmış ve Yerel Şerif tarafından davanın karşı tarafıyla paylaşılmıştır. Bunun üzerine ilgili kişi, kendisinden rıza alınırken işlenen kişisel verileri hakkında bilgi verilmediği ve Yerel Şerif’in dava dosyasını talep ederken veriler ile bilgiler bakımından sınırlama yapmadığı gerekçeleriyle İzlanda Veri Koruma Otoritesi’ne (‘’Otorite’’) şikayette bulunmuştur. Otorite tarafından, dava dosyasındaki verilerin işlenmesinin resmi yetkinin kullanılması için gerekli olduğu değerlendirilmiştir. Söz konusu dosyadaki verilerin paylaşımının, İzlanda idare hukuku ve GDPR Madde 6(1)(e) uyarınca, hukuka uygun olduğuna ve bilgilendirme yükümlülüğünün de muafiyet kapsamında olduğuna karar verilmiştir.
- 20.08.2024
- /
Haftalık IAPP Haberleri 12.08.2024 - 16.08.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
- 16.08.2024
- /
Mahkeme Avukat-Müvekkil Gizliliğinin İlgili Kişinin Erişim Hakkından Daha Ağır Bastığına Karar Verdi.
Avusturya Federal İdare Mahkemesi, bir avukatın avukat-müvekkil gizliliği konusundaki menfaatinin, ilgili kişinin erişim hakkından daha ağır bastığına karar verdi.
GDPR Kararı
- 14.08.2024
- /
Veri Koruma Etki Değerlendirmesi Yapmaksızın Mobil Uygulama Geliştiren Belediyeye Para Cezası
İtalya Veri Koruma Otoritesi; mobil uygulama geliştirirken veri koruma etki değerlendirmesi yapılmaması, aydınlatmanın doğru bir şekilde yerine getirilmemesi, veri işleyenle yazılı bir sözleşme yapılmaması ve uygulamada erişim yetkilerinin uygun düzenlenmemesi nedenleriyle bir belediyeye 15.000 Euro para cezası verdi.
IAPP Haberleri
- 13.08.2024
- /
Haftalık IAPP Haberleri 05.08.2024 - 09.08.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
- 09.08.2024
- /
Bir Ceza Davasının Soruşturma Dosyasına İlişkin Belgeleri Profilinde Yayınlayan Facebook Kullanıcısına Gönderiyi Kaldırma Talimatı Verildi.
İzlanda Veri Koruma Otoritesi, tarafı olmadığı bir ceza davasına ilişkin raporları ve ilgili kişiye ait fotoğrafları görüşleri ile birlikte yayınlayan veri sorumlusuna, GDPR Madde 6(1)(f) maddesini ihlal ettiğini belirterek gönderiyi Facebook profilinden kaldırması yönünde talimat verdi.
- 07.08.2024
- /
İlgili Kişinin Ödeme Hatırlatmalarına İtirazını Dikkate Almayan Veri Sorumlusuna Kınama
Litvanya Veri Koruma Otoritesi, ilgili kişinin zamanında ödeme yapmasına ve hatırlatma mesajlarına itiraz etmesine rağmen sürekli olarak ödeme hatırlatmaları alması nedeniyle veri sorumlusunu kınadı.
IAPP Haberleri
- 06.08.2024
- /
Haftalık IAPP Haberleri 30.07.2024 - 06.08.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
Makale
- 01.08.2024
- /
New York Times v. Microsoft - Büyük Dil Modellerinin Eğitiminde, Telif Hakkı ile Korunan Eserlerin Kullanımı
New York Times tarafından 27 Aralık 2023 tarihinde, Microsoft ve Open AI’a karşı, Bing Chat ve ChatGPT yapay zeka gibi büyük dil modellerinin (LLM) eğitilmesinde, telif hakları New York Times’a ait içeriklerin kullanıldığı, bu kullanımın DMCA (Digital Millennium Copyright) 501 ve 1202’nin ihlal edildiği iddiasıyla dava açılmıştır. Davaya konu iddialar; yapay zeka büyük dil modeli veri setlerinin eğitilmesinde, telif hakkı ile korunan içeriklerinin kullanıldığı, yapay zeka araçlarının, sorulara cevap verirken, telif hakkı ile korunan eserlerde yer alan ifadelerin kullanıldığı ve bu kullanımın haksız rekabet teşkil ettiği ve marka değerine zarar verdiği noktasında toplanmaktadır.
GDPR Kararı
- 31.07.2024
- /
Veri sorumlusu ilgili kişinin erişim hakkını ihlal etti.
Romanya Veri Koruma Otoritesi, hastane video kayıtlarını şikayetçiye sunmayan Med Life SA'ya GDPR ihlalleri nedeniyle 2.000 Euro para cezası verdi.
IAPP Haberleri
- 30.07.2024
- /
Haftalık IAPP Haberleri 23.07.2024 - 30.07.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 24.07.2024
- /
Veri sorumlusu doğrudan pazarlama amacıyla veri işlemeye itiraz etme hakkını ihlal etti.
Belçika Veri Koruma Otoritesi tarafından,bir veri sorumlusuna ilgili kişinin doğrudan pazarlamaya itiraz etme hakkına saygı gösterilmediği ve ilgili kişinin birden fazla defa tekrarlanan talebine gerekli süre içerisinde yanıt verilmediği değerlendirildi.
IAPP Haberleri
- 23.07.2024
- /
Haftalık IAPP Haberleri 16.07.2024 - 23.07.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 19.07.2024
- /
Veri sorumlusunun hatası nedeniyle ilgili kişinin sağlık verilerini içeren belgelerin hukuka aykırı olarak üçüncü kişiler ile paylaşılması
Almanya mahkemesi, ilgili kişinin özel nitelikli kişisel veri niteliğindeki sağlık verilerini içeren belgeleri yetkisiz üçüncü kişiler ile paylaştığı için Alman Federal İdaresi’nin 1.000 Euro tazminat ödemesine hükmetmiştir.
GDPR Kararı
- 17.07.2024
- /
Kişisel Verileri Yasal Dayanak Olmaksızın Kamuya Açık Bir İnternet Sitesinde Yayınlayan Veri Sorumlusuna Yaptırım
İtalya Veri Koruma Otoritesi (“Garante”), veri sorumlusu Lombardiya İdari Bölgesi’nin 732 çalışanın kişisel verilerini ve bir çalışanının özel nitelikli kişisel veri verilerini kurumsal internet sitesinde ölçülülük ilkesine aykırı olarak yayınlanması sebebiyle 20.000 € para cezası verdi.
IAPP Haberleri
- 16.07.2024
- /
Haftalık IAPP Haberleri 09.07.2024 - 16.07.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 12.07.2024
- /
Romanya Veri Koruma Otoritesi, bir veri sorumlusuna şirket araçlarına takılan GPS takip cihazları aracılığıyla gerçekleştirilen işleme faaliyetleriyle ilgili olarak ve GDPR'ın 5. ve 6. maddelerinin ihlalleri nedeniyle toplam 5.000 Euro tutarında para cezası verdi.
Veri sorumlusu tarafından şirket araçlarından birine bir GPS takip cihazı kurulmuş ve aracı kullanan çalışan bu cihazın varlığı ile ilgili bilgilendirilmemiştir. Çalışan tarafından veri sorumlusunun kendisini bilgilendirmediği ve GPS takip cihazı aracılığıyla toplanan kişisel verilerinin yalnızca şirket aracının izlenmesi amacıyla işlenmediği belirtilerek şikayette bulunulmuştur. Soruşturma kapsamında veri sorumlusunun kişisel verileri çeşitli amaçlarla işlediği, konum verilerini mesai saatleri dışında da topladığı, 190/2018 sayılı Kanun’da işbu veri işleme faaliyetleri kapsamında işlenen kayıtlara ilişkin öngörülen 30 günlük saklama süresi dolduktan sonra da verileri sakladığı tespit edilmiştir. Bu kapsamda veri sorumlusuna idari para cezası verilmiş, GPS takip cihazından alınan konum verilerinin kullanımını yeniden değerlendirmesi emredilmiş, kişisel veri saklama süresini sınırlama talimatı verilmiştir.
IAPP Haberleri
- 09.07.2024
- /
Haftalık IAPP Haberleri 02.07.2024 - 09.07.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 05.07.2024
- /
İtalya Veri Koruma Otoritesi, veri sorumlusunun ilgili kişiye dair bilgileri artık saklamıyor olsa bile, bu durumu gerekçeli olarak açıklaması gerektiğini belirterek veri sorumlusuna 10.000 Euro para cezası verdi.
İlgili kişi, işine son verildikten sonra eski işyerinde katıldığı kursların sertifikaları da dahil olacak şekilde kişisel verilerinin bir kopyasını veri sorumlusundan (eski işvereninden) talep etmiştir. Veri sorumlusu, ilgili kişiye sadece bir sertifikanın kopyasını göndermiş; diğer sertifikaları ise iş sözleşmesi sona erdikten sonra saklamak zorunda olmadığı ve hassas veriler içerdiği gerekçeleriyle sildiğini ifade etmiştir. Buna rağmen ilerleyen tarihlerde veri sorumlusu, ilgili kişinin sertifikalarını silmediğini ancak iş sözleşmesinin sona ermesi sebebiyle sileceğini ilgili kişiye söylemiştir.
IAPP Haberleri
- 02.07.2024
- /
Haftalık IAPP Haberleri 25.06.2024 - 02.07.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 26.06.2024
- /
Münih Yüksek İdare Mahkemesi, Regensburg Belediyesi’nin birkaç vandalizm olayı ardından halka açık bir parka yerleştirdiği güvenlik kameraları ile yapılan izlemenin hukuka aykırı olduğunu değerlendirerek belediyenin veri işleme faaliyetini durdurmasını emretti.
Yaşanan birkaç vandalizm olayının ardından Regensburg Belediyesi, göçmenlerin sıklıkla vakit geçirdiği bir parka güvenlik kameraları yerleştirmiştir. Sıklıkla o bölgeden geçen bir ilgili kişi ise ilk derece mahkemesinden kameraların kaldırılması ve video kaydının durdurulması yönünde talepte bulunmuştur. İlk derece mahkemesi, söz konusu davanın veri sorumlusunun kolluk kuvveti olmaması sebebiyle 2016/680 sayılı AB Kolluk Direktifi doğrultusunda GDPR Madde 2(2)(d) uyarınca istisna kapsamında değerlendirmemiş, GDPR kapsamında olduğunu değerlendirerek veri işleme faaliyetinin kamu mallarının korunmasını amaçladığı gerekçesiyle hukuka uygun olduğu sonucuna varmıştır. Aynı zamanda GDPR’ın 79. maddesinin yargı yollarını GDPR Bölüm III’te yer alan haklarla sınırlandırdığı gerekçesiyle video kayıtlarının durdurulması yönündeki talebi reddetmiştir.
IAPP Haberleri
- 25.06.2024
- /
Haftalık IAPP Haberleri 18.06.2024 - 25.06.2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR Kararı
- 21.06.2024
- /
Berlin Veri Koruma Otoritesi, iş sözleşmesinin feshedilme ihtimalini gerekçe göstererek çalışanlarının sağlık verilerini hukuka aykırı olarak işleyen veri sorumlusuna 215.000 Euro para cezası verdi.
Veri sorumlusu şirket, çalışanların deneme süresinin sonunda işten çıkarılıp çıkarılmayacaklarını belirlemek amacıyla ''psikolojik durumlarını, psikoterapi taleplerini ve bir işçi sendikasına katılma olasılıkları hakkındaki bilgileri'' içerir bir veri tabanı oluşturmuştur. Bir ilgili kişi bu duruma ilişkin şikayette bulunmuş ve bunun üzerine Otorite tarafından veri sorumlusu şirkete karşı bir soruşturma başlatılmıştır. Otorite, işbu verilerin işlenmesinin işveren ile çalışanlar arasındaki sözleşme kapsamında gerekli olmadığını, ‘amaçla sınırlı olma’ ilkesini ihlal ettiğini ve bu verilerin işlenmesi bakımından geçerli bir yasal dayanak olmadığını değerlendirmiş, çalışanlara ait özel nitelikli kişisel verileri hukuka aykırı olarak işleyen veri sorumlusuna 215.000 Euro tutarında para cezası vermiştir.
GDPR Kararı
- 19.06.2024
- /
Finlandiya Veri Koruma Otoritesi, müşteri verilerinin saklama süresini belirlemediği için bir bilişim perakendecisine 856.000 Euro para cezası verdi.
Finlandiya Veri Koruma Otoritesine, veri sorumlusunun müşterilerin çevrimiçi alışveriş yapabilmeleri için bir müşteri hesabı oluşturmasını zorunlu kıldığı bildirilmiştir. Otorite veri sorumlusundan neden bir müşteri hesabı oluşturulması gerektiğini, müşterilerinin verilerini hangi amaçlarla ve ne kadar süreyle sakladığını açıklamasını istemiştir. Veri sorumlusu, müşterilerin kişisel verilerinin işlenmesinin sözleşmenin yerine getirilmesi için gerekli olduğunu ve müşterilerin hesabı olmadan alışveriş yapmalarına izin verildiğinde, sipariş verilmesi ve teslimat için gereken kişisel verilerin sipariş bazında işlenmesi ve saklaması gerektiğini ve kişisel verileri ilgili kişinin talebi üzerine hesap silinene kadar sakladığını belirtmiştir. Otorite tek bir çevrimiçi satın alma işlemiyle ilgili kişisel verilerin işlenmesinin, verilerin uzun süre saklanmasıyla sonuçlanması sebebiyle bir müşteri hesabı oluşturulmasının gerekmediğini, ayrıca saklama süresinin kasıtlı şekilde belirsiz bırakıldığını tespit etmiştir. Sonuç olarak Otorite, veri sorumlusuna kınama cezası vermiş, makul bir saklama süresi tanımlaması ve bir müşteri hesabı oluşturulmasını zorunlu kılınmasının durdurulması yönünde veri sorumlusunu talimatlandırmış ve GDPR Madde 83 uyarınca 856.000 Euro idari para cezasına hükmetmiştir.
GDPR Kararı
- 14.06.2024
- /
İtalya Veri Koruma Otoritesi, çalışanları video gözetim sistemi ile izlediği ve görüntüleri disiplin işlemlerinde delil olarak kullandığı için veri sorumlusuna 3.000 Euro para cezası verdi.
İtalya Veri Koruma Otoritesi, Madignano Belediyesi'ne, sendika anlaşması veya kamu izni olmadan çalışanları izleyen video gözetim sistemi kullandığı için 3.000 Euro para cezası vermiştir. Eski bir çalışan, görüntülerle çalışma saatlerine uyulmadığının ve resmi görevlerini ihlal ettiğinin tespit edilmesi ile bu görüntülerin disiplin işlemlerinde delil olarak kullanılması nedeniyle şikayette bulunmuştur.
GDPR Kararı
- 12.06.2024
- /
Saarland Yüksek İdare Mahkemesi, diş hekimlerinin halka açık dizinlerde yer alan iletişim numaralarını açık rıza almaksızın pazarlama iletişimlerinde kullanan veri sorumlusuna ilk derece mahkemesi tarafından uygulanan yaptırım kararını onadı.
Bir diş hekimi tarafından, diş hekimliği muayenehaneleri ve laboratuvarlarından metal kalıntıları satın alarak faaliyetlerini sürdüren veri sorumlusu hakkında Saarland İdare Mahkemesi'ne şikayette bulunulmuştur. Halka açık dizinlerden diş hekimliği muayenehaneleri ve laboratuvarlarının numaralarını elde edip veritabanında saklayan ve işbu iletişim bilgilerini pazarlama amaçlı kullanan veri sorumlusu tarafından, bahse konu veri işleme faaliyetinin GDPR 6(1)(f) kapsamında meşru menfaate dayandığı belirtilmiştir.
IAPP Haberleri
- 11.06.2024
- /
Haftalık IAPP Haberleri 4-11 Haziran 2024
Dünya genelinde kişisel verilere ilişkin güncel gelişmeler
GDPR Kararı
- 07.06.2024
- /
Belçika Veri Koruma Otoritesi, kredi başvurusu yapan ilgili kişinin erişim talebini, belgelerden bazılarının üçüncü taraflardan temin edildiği gerekçesiyle reddeden veri sorumlusu hakkında talimatlandırma kararı verdi.
Kredi başvurusu reddedilen bir ilgili kişi, veri sorumlusuna erişim talebinde bulunmuş, kişisel verilerinin işlenip işlenmediğini teyit etmek istemiştir. Bu talebe karşılık veri sorumlusu kredi başvurusunun incelenmesinde üçüncü kişiler tarafından da oluşturulmuş dosyalar olduğu bilgisini vererek bu dosyalara erişimini sağlamamış ve ilgili kişiyi, ilgili veri sorumlularıyla iletişime geçmeye yönlendirmiştir. Bu kapsamda ilgili kişi talebine kesin bir cevap alamamış, kişisel verilerinin bir kopyasına da erişim elde edememiştir.
GDPR Kararı
- 05.06.2024
- /
Romanya Veri Koruma Otoritesi, başvuru ve şikayetler için farklı başvuru kanallarına sahip olmasına rağmen Whatsapp’ı iletişim kanalı olarak kullanan Romanya Ulusal Tüketiciyi Koruma Kurumu'nu uyardı.
Romanya Ulusal Tüketiciyi Koruma Kurumu, WhatsApp aracılığıyla tüketici şikayetlerinin gönderilmesi için özel bir cep telefonu numarası sağlamış ve bu kanal aracılığıyla çok sayıda kişisel veri işlemiştir. İlgili kişiler tarafından bu uygulamaya dair yapılan çeşitli şikayetlerin ardından Romanya Veri Koruma Otoritesi bir soruşturma başlatmıştır. Soruşturma sonucunda Romanya Veri Koruma Otoritesi, Ulusal Tüketiciyi Koruma Kurumu’nun potansiyel riskleri dikkate almadan kişisel veri topladığını ve şikayetler/başvurular için başka kanallara sahip olmasına rağmen kendi kontrolü altında olmayan bir uygulama kullanıldığını tespit etmiştir. Sonuç olarak, Romanya Veri Koruma Otoritesi, bu durumun GDPR Madde 32(2)'yi ihlal ettiğini tespit etmiş ve kişisel verilerin yalnızca kontrol altındaki araçlar kullanılarak işlenmesi gerektiğini vurgulamıştır.
IAPP Haberleri
- 04.06.2024
- /
Haftalık IAPP Haberleri 28 Mayıs - 4 Haziran 2024
Dünya genelinde kişisel verilere ilişkin güncel gelişmeler
GDPR Kararı
- 29.05.2024
- /
Duisburg İş Mahkemesi, veri sorumlusunun ilgili kişinin cevap için öngördüğü iki haftalık süreyi 9 iş günü geçirdiği gerekçesi ile veri sorumlusu aleyhine 750 Euro tutarında manevi tazminata hükmetti.
Bir kredi kuruluşunun eski çalışanı, veri sorumlusuna yaptığı başvuruya geç cevap verildiği için Duisburg İş Mahkemesi'nden tazminat talebinde bulunmuştur. Mahkeme, GDPR Madde 12(3) gereği veri sorumlularının bir ay içinde cevap vermesi gerektiğini vurgulayarak, iki haftalık süreyi dokuz iş günü aşan gecikme için haklı bir gerekçe bulunmadığına karar vermiş ve 750 Euro manevi tazminata hükmetmiştir.
GDPR Kararı
- 29.05.2024
- /
İspanyol Veri Koruma Otoritesi, bir devlet dairesinin formlarında kadın - erkek seçenekleri dışında üçüncü bir seçenek sunulmasının GDPR ihlali olduğuna karar verdi.
Yapılan bir başvuru kapsamında İspanyol Veri Koruma Otoritesi, bir devlet dairesinin formlarında cinsiyete ilişkin olarak erkek ve kadın seçeneklerinin yanında ''nonbinary'' seçeneğinin eklemesini değerlendirmiştir. Veri sorumlusu, kamu kurumlarının istatistiksel amaçlarla tüm idari formlarda cinsiyet bilgilerini toplamakla yükümlü olduğunu ifade etse de Otorite, ''nonbinary'' seçeneğinin bir cinsel yaşam bilgisi niteliğinde özel nitelikli kişisel veri olduğu kanaatiyle veri işleme için yasal dayanağın aşıldığını, veri minimizasyonu ilkesinin ihlal edildiğini ve özel nitelikli kişisel verinin uygunsuz şekilde işlendiğini tespit etmiştir. Otorite, bu ihlaller nedeniyle veri sorumlusunu uyarmış ve tüm formlardan ''nonbinary'' yanıtının kaldırılmasını emretmiştir.
IAPP Haberleri
- 28.05.2024
- /
Haftalık IAPP Haberleri 21-28 Mayıs 2024
Dünya genelinde kişisel verilere ilişkin güncel gelişmeler
GDPR Kararı
- 24.05.2024
- /
İspanya Veri Koruma Otoritesi, ilgili kişinin erişim talebini yanıtlarken başka bir müşterisinin kişisel verilerini paylaştığı için Vodafone’a 56.000 Euro para cezası verdi.
İlgili kişi yapmış olduğu başvuruda, Vodafone’un sözleşmedeki tarifeyi uygulamadığını iddia ederek aralarındaki sözleşmenin bir kopyasını sağlamasını talep etmiştir. Veri sorumlusu ilgili kişinin erişim talebine yanıt verme amacıyla başka bir müşterinin sözleşmesini ve ses kaydı verilerini içeren bir e-postayı ilgili kişiye göndermiştir. Otorite yapmış olduğu değerlendirmede, ilgili kişinin erişim talebini yanıtlarken başka bir müşterinin kişisel verilerini paylaştığı ve bu tür bir ihlali önlemek adına uygun teknik ve idari önlemleri almadığı için Vodafone'a 56.000 € para cezası vermiştir.
Bilgi Notu
- 23.05.2024
- /
MASAK ŞÜPHELİ İŞLEM BİLDİRİMİ BANKACILIK REHBERİ GÜNCELLENDİ
Hazine ve Maliye Bakanlığı (“Bakanlık”), 14 Mayıs 2024 tarihinde yayımladığı duyurusu ile Şüpheli İşlem Bildirimi (Bankacılık Sektörü) Rehberi ve Formu Rehberini, (“Bankacılık Rehberi”) Kara Paranın Aklanması ve Terörizmin Finansmanın ile Mücadele Ulusal Risk Değerlendirmesi Raporu çerçevesinde güncelledi. Bu kapsamda; bankalar ve bankacılık faaliyetleri ile sınırlı olmak üzere Posta ve Telgraf Teşkilatı A.Ş. için şüpheli işlem bildirimleri, bu rehberde belirtilen usul ve esaslar çerçevesinde gerçekleştirilecektir.
GDPR Kararı
- 22.05.2024
- /
Danimarka Veri Koruma Otoritesi, İnsan Kaynakları departmanı verilerine erişim nedeniyle meydana gelen veri ihlalinde gerekli önlemlerin alınmadığına karar verdi.
Veri sorumlusu kullandığı sistemde erişim yetkilendirme yapılmadığını ve çalışan ile eski çalışanlarının verilerine yetkili olmayan kişilerin eriştiğini tespit etmesi üzerine Danimarka Veri Koruma Otoritesi (“Otorite”)’ne veri ihlal bildiriminde bulunmuştur. Otorite, yaptığı incelemede veri sorumlusunun GDPR Madde 32 kapsamında teknik ve idari tedbirleri almayarak erişim yetkilendirme yapmadığına ve sadece İnsan Kaynakları departmanındaki çalışanların söz konusu bilgilere erişmesi gerektiğine karar vermiştir.
IAPP Haberleri
- 21.05.2024
- /
Haftalık IAPP Haberleri 14-21 Mayıs 2024
Dünya genelinde kişisel verilere dair her şey!
GDPR Kararı
- 16.05.2024
- /
Hırvatistan Veri Koruma Otoritesi (''AZOP''), ilgili kişinin gizli Facebook hesabındaki fotoğraflarını haber içeriğinde herhangi bir yasal dayanak olmaksızın yayımlayan veri sorumlusunun ilgili fotoğrafları silmesine karar verdi.
AZOP, fotoğrafların ilgili kişinin gizli Facebook hesabında yayımlanması sebebiyle ilgili kişi tarafından kamuya açık/aleni şekilde paylaşılma iradesi bulunmadığı halde veri sorumlusunun fotoğrafları kullanarak haber içeriğinde yayımladığını değerlendirmiştir. İfade özgürlüğü ve özel hayatın gizliliği bağlamında değerlendirme yapan AZOP, fotoğrafların gizli hesapta paylaşılması sebebiyle veri sorumlusunun kişisel verileri yasal dayanak olmaksızın işlediği sonucuna varmıştır.
Makale
- 2020
- /
Sosyal Medyada Düzenlenen Çekilişlerin Hukuki Dayanakları
Hemen hemen herkesin günlük hayatında karşılaştığı sosyal medya çekilişleri özellikle yılbaşı zamanlarında bir hayli fazlalaşmakta ve sosyal medya hesaplarımız söz konusu çekiliş bildirimleri ile yoğunlaşmaktadır. Gerek gerçek kişiler gerekse de tüzel kişiler tarafından düzenlenen çekilişlerde çeşitli katılım şartları belirlenmekte ve sosyal medya kullanıcıları söz konusu çekilişlerin hukuki dayanakları hakkında bilgi sahibi olmadan bu çekilişlere katılım sağlamaktadır. İşbu bilgi notu ile sosyal medyada düzenlenen çekilişlerin hukuki dayanakları ve düzenlenme şartları ele alınacaktır.
Makale
- 2021
- /
TİCARİ VEKİL VEYA TEMSİLCİ TARAFINDAN TESCİL ETTİRİLEN MARKANIN HÜKÜMSÜZLÜĞÜ
Bir işletmenin mal veya hizmetlerini diğerlerinden ayırt eden ve bu ayrımı sağlayacak şekilde de her türlü kişi adları, sözcükler, şekiller, resimler, logolar, harfler, sayılar, malların veya ambalajların biçimi, üç boyutlu şekiller, renkler, kokular marka olarak kullanılabilmektedir. Öte yandan markadan bahsedilebilmesi için her şeyden önce bir “işaretin bulunması” ve bu işaretin bir işletmenin mal veya hizmetlerini, bir başka işletmenin mal veya hizmetlerinden “ayırt edebilecek” nitelikte olması gerekmektedir. Bu iki unsura ilaveten, söz konusu işaretin, Marka Hukuku’nun sağlamış olduğu korumadan yararlanabilmesi için ayrıca usulüne uygun olarak tescil edilmesi de gerekmektedir.
GDPR Kararı
- 15.05.2024
- /
Finlandiya Veri Koruma Otoritesi, erişim talebinde bulunan ilgili kişiden imzalı bir form ve kimliğinin bir kopyasını göndermesini talep eden veri sorumlusunun ilgili kişi haklarının kullanılmasını kolaylaştırmadığına karar verdi.
Bir ilgili kişinin veri sorumlusuna yaptığı erişim talebi başvuru koşullarına uyulmaması sebebiyle veri sorumlusu tarafından reddedilmiştir. Bunun üzerine yapılan inceleme kapsamında Otorite veri sorumlusundan, ilgili kişi haklarının kullanılmasını nasıl kolaylaştırdığına ve saklama sürelerine ilişkin bilgi talebinde bulunmuştur. Talebe verilen yanıt sonucunda Otorite, ilgili kişilerin erişim talebi için imzalı bir form ve kimliklerinin bir kopyasını sunmasının makul olmayan bir çaba gerektirdiğini değerlendirerek, veri sorumlusunun ilgili kişi haklarının kullanılmasını kolaylaştırmadığına karar vermiştir.
IAPP Haberleri
- 14.05.2024
- /
Haftalık IAPP Haberleri 8-14 Mayıs 2024
Dünya genelinde kişisel verilere ilişkin güncel gelişmeler.
Makale
- 2020
- /
ALAN ADI KULLANIMI İLE MARKA HAKKI İHLAL EDİLENLER TARAFINDAN BAŞVURULABİLECEK HUKUKİ YOLLAR
Tescilli marka/hizmet sahipleri, tescilli markasının bir başkası tarafından alan adı (domain name) olarak tescil ettirilmesi karşısında marka hakkı ihlali sebebiyle birtakım hukuki yollara başvurabilmektedir.
GDPR Kararı
- 10.05.2024
- /
Finlandiya tarihinde en çok sayıda mağdurun yer aldığı, psikoterapi merkezinin hasta veri tabanının hacklenmesi konulu davada Mahkeme 6 yıl hapis cezasına hükmetti.
Mahkeme, Aleksanteri Kivimäki'yi psikoterapi merkezinin hasta veri tabanının hacklenmesi ve bilgilerin yayılması nedeniyle suçlu bularak 6 yıl 3 ay hapis cezasına çarptırmıştır. Kivimäki, ağırlaştırılmış veri ihlali, bilgilerin yayılması, mahremiyet ihlali, gaspa teşebbüs ve şantaj nedeniyle suçlanmıştır. Kivimäki veri tabanını hackledikten yaklaşık iki yıl sonra hem şirketten hem de müşterilerinden para sızdırmaya çalışmış, şirketin 370.000 Euro tutarında Bitcoin'i kendisine ödemeyi reddetmesi üzerine hasta kayıtlarını Tor ağında yayınlamaya başlamıştır.
IAPP Haberleri
- 07.05.2024
- /
Haftalık IAPP Haberleri 1-7 Mayıs 2024
Dünya genelinde kişisel verilere ilişkin güncel gelişmeler.
GDPR Kararı
- 03.05.2024
- /
Belçika Veri Koruma Otoritesi, bir online itibar danışmanlık şirketinin ilgili kişi adına yaptığı şikayetin GDPR Madde 80(1) kapsamında kabul edilemez olduğuna karar verdi.
2007 yılında, bir gazete tarafından bir işçinin ölümü sonrasında ilgili şirketin genel müdürü hakkında çeşitli suçlamalar içeren bir makale yayınlamıştır. Şirketin genel müdürü, makalenin internet sitesinden kaldırılması için üç kez talepte bulunmuştur. Gerçekleştirilen ikinci ve üçüncü talepler, ilgili kişi adına bir Fransız online itibar danışmanlık şirketi tarafından yapılmış ancak tüm bu talepler veri sorumlusu tarafından reddedilmiştir. Bunun üzerine online itibar danışmanlık şirketi, ilgili kişi adına Belçika Veri Koruma Otoritesi’ne ('APD') bir şikâyette bulunmuştur.
GDPR Kararı
- 01.05.2024
- /
Avusturya Veri Koruma Otoritesi, bir jinekoloğa internette yapılan olumsuz yoruma yanıt olarak ilgili kişinin sağlık verisini ifşa etmesi nedeniyle 10.000 Euro ceza verdi.
Avusturya Veri Koruma Otoritesi, bir jinekoloğa, internette yapılan olumsuz bir yoruma yanıt olarak ilgili kişinin sağlık verisi olan teşhisini açıklaması nedeniyle ceza vermiştir. Otorite bu paylaşımın sağlık verilerinin işlenmesine ilişkin istisnalar kapsamında olmadığını belirterek kanunilik ilkesinin ihlal edildiğine hükmetmiştir. Jinekologun cevabı ile veri toplama amacı arasında bağlantı olmadığını tespit ederek işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin ihlal edildiğine hükmedilmiştir. Ayrıca, doğru bir imaj oluşturma amacı için gereksiz veri toplandığını belirterek veri minimizasyonu ilkesinin ihlal edildiğini belirtmiştir. Otorite, jinekologa 10.000 Euro para cezası vermiştir.
Makale
- 2021
- /
UZAKTAN ÇALIŞMA YÖNETMELİĞİ’NE İLİŞKİN BİLGİ NOTU
İşbu bilgi notunda, 10.03.2021 tarihli ve 31419 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 'Uzaktan Çalışma Yönetmeliği' ('Yönetmelik') doğrultusunda (i) uzaktan çalışmanın usul ve esasları, (ii) uzaktan çalışmanın yapılamayacağı işler, ve (iii) verilerin korunması ve paylaşılmasına ilişkin işletme kurallarının uygulanması incelenecektir. Yönetmelik’in Tanımlar başlıklı 4. maddesi uyarınca uzaktan çalışma, 'İşçinin, işveren tarafından oluşturulan iş organizasyonu kapsamında iş görme edimini evinde ya da teknolojik iletişim araçları ile işyeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisi' olarak tanımlanmaktadır. Bu kapsamda uzaktan çalışan ise, 'İş görme ediminin tamamını veya bir kısmını uzaktan çalışarak yerine getiren işçi' olarak tanımlanmıştır.
Makale
- 2021
- /
ESER SÖZLEŞMESİNDE İŞ SAHİBİNİN GÖZDEN GEÇİRME VE BİLDİRİM YÜKÜMLÜLÜĞÜ
Eser sözleşmesi, 6098 Sayılı Türk Borçlar Kanunu’nda (“TBK”) düzenleme alanı bulan en önemli sözleşme türlerinden birisidir. Eser sözleşmesi ile yüklenici, iş sahibinin ödemeyi taahhüt ettiği ücret karşılığında bir eser meydana getirmeyi ve meydana getirdiği bu eseri iş sahibine teslim etmeyi üstlenir. Yüklenicinin teslim edeceği eseri sözleşmede kararlaştırıldığı üzere eksiksiz ve ayıpsız olarak tamamlayıp iş sahibine teslim etmesi gerekir.
Makale
- 2021
- /
MERKEZİ KEP REHBERİNE İLİŞKİN BİLGİ NOTU
İşbu bilgi notunda, 03.07.2021 tarih ve 31530 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Kayıtlı Elektroni̇k Posta Rehberi̇ Ve Kayıtlı Elektroni̇k Posta Hesabı Adresleri̇ne İli̇şki̇n Tebli̇ğde Deği̇şi̇kli̇k Yapılmasına Dai̇r Tebli̇ğ” doğrultusunda düzenlenen Merkezi Kayıtlı Elektronik Posta (“KEP”) Rehberi’nin kuruluşu ve uygulanmasına ilişkin usul ve esaslar incelenecektir.
IAPP Haberleri
- 30.04.2024
- /
Haftalık IAPP Haberleri 23 - 30 Nisan 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
Makale
- 2022
- /
Kripto Para Sigortası
Teknolojinin gelişmesi ile birlikte ekonomik varlıklar da dijitalleşme sürecine girmiş, böylece “dijital para” kavramı ortaya çıkmıştır. Avrupa Merkez Bankası tarafından dijital para “düzenlemesi olmayan, onu geliştirenler tarafından çıkarılan ve kontrol edilen ve belli bir sanal çevre içinde kabul gören dijital para” olarak tanımlanmaktadır. İlk kez 2008 yılından itibaren hayatımıza giren kripto paralar, kriptografi (şifreleme bilimi) kullanılarak oluşturulan, merkezi olmayan bir kripto sisteminde üretilen dijital varlıklardır. Kripto paralara ilişkin her türlü işlem Türkçe’de blok zinciri anlamına gelen “blockchain” teknolojisi üzerinden yapılmaktadır.
GDPR Kararı
- 26.04.2024
- /
İsveç Veri Koruma Otoritesi, müşterilerinin mali durumuna ilişkin kişisel veri içeren bir dosyayı diğer müşterilerine gönderdiği gerekçesiyle veri sorumlusuna 43.700 Euro para cezası verdi.
Bir menkul kıymetler şirketinin bir çalışanı tarafından müşterilerinin mali durumunu gösteren ve kişisel veri içeren bir dosya diğer müşterilere sehven gönderilmiştir. İsveç Veri Koruma Otoritesi tarafından veri sorumlusunun her ne kadar ihlalin çalışanın kusuru ile ortaya çıktığı belirtmişse de bu durumun veri sorumlusunun ihlal bakımından sorumluluğunu ortadan kaldırmadığı değerlendirilmiştir.
GDPR Kararı
- 24.04.2024
- /
Yunanistan Veri Koruma Otoritesi, üçüncü bir kişinin çağrı merkezi görüşmelerinin bir kopyasını ilgili kişiye gönderen Vodafone'a 40.000 Euro tutarında para cezası verdi.
Veri sorumlusu Vodafone, çağrı merkeziyle yaptığı görüşmelerin kayıtlarının bir kopyasını isteyerek erişim talebinde bulunan bir ilgili kişiye, başka bir kişinin görüşme kayıtlarını iletmiştir. Bu durum kendisine bildirilmesine rağmen Vodafone herhangi bir aksiyon almamış, bunun üzerine ilgili kişi Yunanistan Veri Koruma Otoritesi’ne şikayette bulunmuştur. Otorite erişim talebi kapsamında başka bir kişinin verilerinin bir kopyasını göndermesi ve bu nedenle meydana gelen ihlali bildirmemesi gerekçeleriyle GDPR madde 15(3) ve madde 33 uyarınca veri sorumlusuna 40.000 Euro para cezası vermiştir.
Makale
- 2023
- /
EMEKLİ OLAN İŞÇİNİN AYNI İŞVERENE BAĞLI OLARAK ÇALIŞMAYA DEVAM ETMESİ HALİNDE TARAFLARIN HAK VE ALACAKLARI
Emeklilikte Yaşa Takılanlar (EYT) Kanunu olarakta bilinen “Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile 375 sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun” (“Kanun”), 03.03.2023 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Yapılan değişiklik ile bu nitelikteki çalışanların emekliliğe hak kazanmaları için yaş kriteri ortadan kaldırılmıştır. Böylece yaş dışındaki diğer şartları (sigortalılık süresi ve prim gün sayısı) taşıyan çalışanlar, emekli olabileceklerdir.
IAPP Haberleri
- 22.04.2024
- /
Colorado Eyalet Meclisi tarafından, beyin verilerinin korunmasına ilişkin yeni yasa tasarısı kabul edildi.
The New York Times'ın haberine göre Colorado Eyalet Meclisi tarafından, biyometrik ve 'nöral verilerin' korunması amacıyla Colorado Gizlilik Yasası'nda yapılan bir değişiklik onaylandı. İlgili değişikliğin tüketicileri (ilgili kişileri), beyin faaliyetleri kapsamında veri toplayan cihazlardan korumayı amaçladığı ifade edildi. D-Colo Eyalet Temsilcisi Cathy Kipp tarafından, teknolojinin faydalı olabileceği ancak düşüncelerinin okunmasını ve biyolojik verilerinin kullanılmasını istemeyen insanlar için bazı önlemlerin olması gerektiği ifade edildi.
- 19.04.2024
- /
Slovenya Veri Koruma Otoritesi, veri sorumlusunun ölçüsüz adres paylaşımını ve silme taleplerini reddetmesini eleştirdi ve kamuya erişilemez hale getirmesi yönünde talimat verdi.
Slovenya Veri Koruma Otoritesi, Slovenya Cumhuriyeti Kamu Yasal Kayıtları ve İlgili Hizmetler Ajansı'nın (AJPES) ilgili kişiye ait daimi ve geçici ikamet edilen ülke yerine açık adresini açıklanmasını ölçüsüz bularak silme taleplerini reddetmesini eleştirdi. Ajans, daimi ve geçici ikamet adreslerinin yayımlanması yükümlülüğünü vurgulayarak silme hakkına istisna teşkil ettiğini belirse de Otorite, ikamet adresine ilişkin bilgileri yasal dayanak ve ölçüsüz bir şekilde kamuya açık hale getirmesi gerekçesiyle AJPES'e, 40 gün içinde kamuya erişilemez hale getirme emri verdi. Slovenya Veri Koruma Otoritesi, Slovenya Cumhuriyeti Kamu Yasal Kayıtları ve İlgili Hizmetler Ajansı'nın (AJPES) ilgili kişiye ait daimi ve geçici ikamet edilen ülke yerine açık adresini açıklanmasını ölçüsüz bularak silme taleplerini reddetmesini eleştirdi. Ajans, daimi ve geçici ikamet adreslerinin yayımlanması yükümlülüğünü vurgulayarak silme hakkına istisna teşkil ettiğini belirse de Otorite, ikamet adresine ilişkin bilgileri yasal dayanak ve ölçüsüz bir şekilde kamuya açık hale getirmesi gerekçesiyle AJPES'e, 40 gün içinde kamuya erişilemez hale getirme emri verdi.
GDPR KARARI
- 17.04.2024
- /
Romanya Veri Koruma Otoritesi, ticari ileti gönderilmesine itiraz edilmesine rağmen ileti gönderilmeye devam edilmesi sebebiyle 1.000 Euro para cezası verdi.
İlgili kişinin şikayeti üzerine Romanya Veri Koruma Otoritesi, itiraz edilmesine rağmen ticari ileti gönderiminin durdurulmaması ve ilgili kişiye talep tarihinden itibaren bir ay içinde cevap verilmemesi nedenleriyle veri sorumlusunun GDPR Madde 12(3) ve Madde 21’i ihlal ettiğini tespit etmiştir. Veri sorumlusuna 1.000 Euro para cezası vermiş ve şirketin ilgili kişi başvurularına ilişkin prosedürünü değiştirmesi yönünde önlem alması gerektiğine karar vermiştir.
IAPP HABERLERİ
- 16.04.2024
- /
Haftalık IAPP Haberleri 9 - 16 Nisan 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR KARARI
- 11.04.2024
- /
İtalya Veri Koruma Otoritesi, veri sorumlusunun izni olmadan alt veri işleyen görevlendirdiği ve veri ihlalini veri sorumlusuna geç bildirdiği için veri işleyene 800.000 Avro para cezası verdi.
Veri sorumlusunun müşterilerine sunduğu mobil bankacılık portalına bir siber saldırı yapılmış, 777.765 ilgili kişi bu saldırıdan etkilenmiştir. Mobil web sayfası ve uygulaması üzerinde güvenlik açığı testleri yapmakla görevli veri işleyen hem veri sorumlusundan izin almaksızın alt veri işleyen görevlendirerek hem de meydana gelen veri ihlalini veri sorumlusuna bildirmeyerek yasal/sözleşmesel yükümlülüklerini gereği gibi yerine yerine getirmemiştir. Bunun üzerine Otorite veri işleyene 800.000 Avro para cezası vermiştir.
GDPR KARARI
- 05.04.2024
- /
İspanya Ulusal Mahkemesi, ülkenin Veri Koruma Otoritesi tarafından BBVA Bankası’na verilen 5.000.000 Euro tutarındaki para cezasını iptal etti.
İspanya Ulusal Mahkemesi, ülkenin Veri Koruma Otoritesi (“Otorite”) tarafından BBVA Bankası’na verilen 5.000.000 Euro tutarındaki para cezasını iptal etmiştir. Banka tarafından, Otorite’nin bankanın veri işleme faaliyetleriyle veri koruma politikasına yönelik genel soruşturma başlatmak için bireysel şikayetleri bahane olarak kullandığı iddia edilmiştir. Mahkeme incelemesi sırasında bir Yüksek Mahkeme kararına atıf yaparak, “Otorite’nin şikayetlerde bildirilen olguları incelemediği, bu olgularla ilgili kanıtların değerlendirmesini yapmadığı ve olguları veri koruma politikasıyla ilişkilendirmediği” gerekçeleriyle hüküm kurmuştur. Mahkeme ilgili kişi şikayetlerini incelerken şikayet konusu olgular ile bağlı kalmak yükümlülüğüne uygun hareket etmediği gerekçesiyle, Otorite’yi söz konusu olguları veya 'şikayetin konusunu' araştırmakla sınırlandırmıştır. Mahkeme tarafından, şikayet kapsamında bireysel ihlal kanıtlanmamışken ‘bankanın veri koruma politikasının tüm müşterilerin haklarını ihlal ettiği sonucuna varılmaması gerektiği’ gerekçesiyle ilgili para cezasının iptaline hükmedilmiştir.
IAPP HABERLERİ
- 01.04.2024
- /
Haftalık IAPP Haberleri 1 - 5 Nisan 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR KARARI
- 03.04.2024
- /
Oldenburg İş Mahkemesi; bir şirketin iş uyuşmazlığı sırasında eski çalışanının erişim talebine yanıt vermemesi nedeniyle veri sorumlusuna 10.000 € para cezası verdi.
Bir ilgili kişi ve eski işvereni arasında ödenmemiş ikramiyeler ve rekabet yasağı ihlali nedeniyle istihdam anlaşmazlığı ortaya çıkmıştır. İlgili kişi bu ihtilaf sırasında, şirket tarafından kendisiyle ilgili olarak tutulan kişisel verileri elde etmek için erişim talebinde bulunmuş ancak veri sorumlusu bu bilgileri sağlamayı reddetmiştir. Şirketin, ilgili kişinin kişisel verilere erişim talebini reddetmesi üzerine ilgili kişi mahkemeye başvurmuş ve manevi tazminat talep etmiştir. Mahkeme, eski işverenin ilgili kişi başvurusuna konu verileri 20 ay sonra görülmekte olan dava sırasında açıklamasının GDPR Madde 15 ve GDPR Madde 12 hükümlerini ihlal ettiğini tespit ederek her ay için 500 Euro olacak şekilde toplamda 10.000 Euro manevi tazminat ödenmesine hükmetmiştir.
IAPP HABERLERİ
- 01.04.2024
- /
Haftalık IAPP Haberleri 26 Mart - 1 Nisan 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR KARARI
- 29.03.2024
- /
Garante, eski bir politikacının adıyla ilişkilendirilen URL'leri kaldırması için Google'a 20 gün süre tanıdı.
Eski bir politikacı, siyasi geçmişiyle ilgili Google’da yer alan içerikler nedeniyle kişisel ve mesleki itibarının zarar gördüğünü, içerikteki konuların üzerinden neredeyse 10 yıl geçtiğini ve kamunun bilgi sahibi olması açısından herhangi bir yarar sağlamadığını belirterek içeriklerin kaldırılmasını istemiştir. Garante, ilgili kişinin adının geçtiği URL'lerdeki içeriklerin eski olması ve siyasi görevlerinin 5 yıldır son bulmuş olmasına değinerek Google’a ilgili kişinin adıyla bağlantılı olarak arama sonuçlarında bulunabilecek URL'lerin kaldırmasını emretmiştir.
GDPR KARARI
- 27.03.2024
- /
Belçika Veri Koruma Otoritesi, bir işverene işten ayrılan işçisinin kurumsal e-posta hesabını kapatması talimatını verdi.
Belçika Veri Koruma Otoritesi (“Otorite”) tarafından, işten ayrılan işçisinin kurumsal e-posta hesabını zamanında kapatmayan veri sorumlusu hakkında başlatılan soruşturmada; ayrılan işçinin önceden konu hakkında bilgilendirilmiş olması şartıyla e-posta hesabının prensip olarak 1 ay boyunca otomatik yanıt sistemi kullanılarak açık kalabileceği, ayrılan işçinin şirketteki pozisyonuna göre sürenin 3 aya kadar uzatılabileceği belirtilmiştir.
IAPP HABERLERİ
- 26.03.2024
- /
Haftalık IAPP Haberleri 19 - 26 Mart 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR KARARI
- 20.03.2024
- /
İzlanda Veri Koruma Otoritesi, ilkokullarda Google hizmetlerinin kullanımından kaynaklanan GDPR ihlalleri nedeniyle Reykjavik Belediyesine 13.270 € para cezası verdi.
İzlanda Veri Koruma Otoritesi (“Otorite”), Reykjavik Belediyesi'nin (“Belediye”) ilkokullarında eğitim için Google hizmetlerini kullanmasına ilişkin soruşturma başlatmıştır. Otorite, Belediye'nin kişisel verilerin yalnızca belirtilen amaçlar doğrultusunda işlenmesini sağlaması gerektiğine, bu hususta gereken tedbirleri almakla yükümlü olduğuna karar vermiştir. Belediye, hizmet verilerinin Google tarafından işlenmesinin gerekliliği konusunda veri etki değerlendirmesi yapmamış; dolayısıyla GDPR kapsamındaki yükümlülüklerini yerine getirmemiştir. Otorite, Belediye’yi işleme faaliyetlerini GDPR ile uyumlu hale getirmesini talimatlandırıp, ihlallerin niteliği ve ciddiyetini, çocukların kişisel verileriyle ilgili olmasını ve hassas veriler bulunabileceğini değerlendirerek Belediye’ye 13.270 € para cezası vermiştir.
GDPR KARARI
- 20.03.2024
- /
Romanya Veri Koruma Otoritesi, Ulusal Tüketiciyi Koruma Kurumu'nun şirketlere yönelik soruşturmalarında vücut kameraları kullanmasını durdurmasını emretti.
Romanya Veri Koruma Otoritesi (“Otorite”)’nin, Ulusal Tüketiciyi Koruma Kurumu’nun işletmelerde yaptığı yerinde incelemeler sırasında vücut kameraları kullanması ile ilgili başlattığı soruşturmada; kameraların çalışanların yanı sıra mağazalar gibi alanlardaki diğer kişilerin de görüntülerini kaydettiği ve 6 aydan fazla süre sakladığı tespit edilmiştir.
Haftalık IAPP Haberleri
- 19.03.2024
- /
Haftalık IAPP Haberleri 12 - 19 Mart 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR KARARI
- 15.03.2024
- /
İspanya Veri Koruma Otoritesi, ilgili kişi dışındaki üçüncü bir tarafa ilgili kişinin SIM kartının bir kopyasını sağlayan veri sorumlusuna 70.000 € para cezası verdi.
Telekomünikasyon hizmetleri sunan bir veri sorumlusunun müşterisi olan ilgili kişi, iki farklı bankadan hesaplarına erişim girişimleri ve şüpheli işlemler yapıldığına ilişkin e-posta almıştır. Veri sorumlusu ile iletişime geçtiğinde ilgili kişiye, SIM kartının bir kopyasının çıkarıldığı ve bu tür mesajların söz konusu kopyanın kullanıldığı dolandırıcılık faaliyetleri sebebiyle iletilmiş olabileceği belirtilmiştir. Bunun üzerine ilgili kişi İspanya Veri Koruma Otoritesi’ne (“Otorite”) şikayette bulunmuştur. Veri sorumlusu, kopyanın ürün ve hizmetlerinin dağıtımından sorumlu veri işleyenlerde meydana geldiğini ve kopyanın yalnızca hat sahibi tarafından yapılabileceğini belirtmiştir.
GDPR KARARI
- 13.03.2024
- /
Polonya Veri Koruma Otoritesi, kişisel veri ihlali hakkında Otorite’yi ve tüm ilgili kişileri bilgilendirmediği için bir konut topluluğuna para cezası verdi.
Kiralık konutları yöneten ve bu konutların bakımını yapan bir konut topluluğunun (veri sorumlusu) kiracılarının (ilgili kişiler) kişisel verilerini içerir belgelerinin çalınması üzerine veri sorumlusu ilgili kişilerden yalnızca birini bilgilendirmiş ve Polonya Veri Koruma Otoritesi’ne (“Otorite”) de bildirimde bulunmamıştır.
Haftalık IAPP Haberleri
- 12.03.2024
- /
Haftalık IAPP Haberleri 5 - 12 Mart 2024
Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler
GDPR KARARI
- 08.03.2024
- /
İspanya Veri Koruma Otoritesi, bir ticari kuruluşun güvenlik kamerası aracılığıyla çalışanların seslerini kaydederek GDPR Madde 6'yı ihlal ettiği gerekçesiyle veri sorumlusuna 5.000 € para cezası verdi.
İspanya Veri Koruma Otoritesi, ticari kuruluşlarına mikrofonlu bir güvenlik kamerası yerleştirerek GDPR Madde 6'yı ihlal ederek bir çalışanın sesini topladığı için veri sorumlusuna 5.000 € para cezası vermiştir.
GDPR KARARI
- 07.03.2024
- /
Avrupa Birliği Adalet Divanı, ilgili kişinin GDPR Madde 15(1)’deki haklarını kullanırken veri sorumlusu bünyesindeki çalışanların kişisel verilerinin talep edilmesi halinde, bu talebin yalnızca ilgili kişinin haklarını etkili bir şekilde kullanmasını sağlamak için zorunlu olması ve çalışanların hak ve özgürlüklerine zarar verilmemesi koşuluyla karşılanabileceğine karar verdi.
Finlandiya'daki veri sorumlusu bir bankanın eski bir çalışanı ve müşterisi olan ilgili kişi, müşteri verilerine banka personeli tarafından 2013 yılında birkaç kez hukuka uygun olmadan erişildiği şüphesiyle 2018 yılında veri sorumlusundan; müşteri verilerine erişen kişilerin kimliği, kesin tarihleri, ve bu erişimlerin amaçları hakkında kendisini bilgilendirmesini talep eden bir erişim talebinde bulunmuştur. Veri sorumlusu, söz konusu bilgilerin çalışanlarının kişisel verilerini teşkil ettiği gerekçesiyle, çalışanlarının kimliğini açıklamayı reddetmiştir.
Makale
- 2023
- /
Taşımacılık Faaliyetlerinde Araç İçi Kameralar Aracılığıyla Çalışanların İzlenmesi
Günümüzde elektronik ticaretin yaygınlaşmasıyla birlikte posta hizmeti sunan şirketlerin yoğunluğu ve önemi de aynı oranda artmıştır. Peki taşımacılık faaliyetlerinin yerine getirilmesi sırasında kargo şirketlerinin Kişisel Verilerin Korunması Kanunu kapsamında yükümlülükleri nelerdir? Araç içi kameralar aracılığıyla yürütülen kişisel veri işleme faaliyetlerin ölçülülük ilkesine uygun olması için alınması gereken aksiyonlar nelerdir? Bu sorular ve daha fazlasının cevabı bu ayki blog yazımızda!
Makale
- 2023
- /
‘Hash’lenmiş Veri Anonim Veri Midir?
Hashlenmiş verinin anonim veri niteliğinde olup olmadığının tespit edilebilmesi için öncelikle ‘hash’leme kavramını irdelemekte fayda vardır. Hashleme herhangi bir uzunluktaki girdiyi alarak onu bir dizi algoritma ile şifreli çıktı haline dönüştürme işlemine verilen isimdir. Uzmanlar hashleme kavramını genellikle tek taraflı bir şifreleme yöntemi olarak tanımlamaktadır. Bu işlem sonrasında elde edilen değere ise ‘’hash değeri’’ denir.
Makale
- 2023
- /
Ödeme ve Elektronik Para Kuruluşlarının Masak Mevzuatı Kapsamında Yükümlülükleri
Ulusal ve uluslararası alanda yaşanan ekonomik ve teknolojik gelişmeler, suç gelirlerinin aklanması ve terörün finansmanı riskini arttırmıştır. Bu yüzden pek çok ülkede olduğu gibi ülkemizde de yasal düzenlemeler yapılmakta ve var olan uygulamalar güçlendirilmektedir. Bu kapsamda suç gelirlerinin aklanması, terörizm finansmanı gibi mali suçların işlenmesinin önlenmesi amacıyla bir denetim ihtiyacı ortaya çıkmıştır. Bu denetim ihtiyacı 19.11.1996 tarih ve 22822 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 4208 sayılı Karaparanın Aklanmasının Önlenmesine Dair Kanun ile hukuki bir kimlik kazanmış ve kanunun uygulanmasına yönelik olarak çıkarılan yönetmelikler ile Türk finansal sistemi ilk kez bu derece doğrudan yasal düzenlemelere tabi hale gelmiştir.
Makale
- 2023
- /
ChatGPT’nin Güncel Gelişmeleri & GDPR ve KVKK Kapsamında Değerlendirilmesi
Bildiğiniz gibi sıklıkla duyduğumuz, OpenAl tarafından geliştirilen yapay zekaya dayalı sohbet robotu ChatGPT bu sıralar gündemimizi oldukça meşgul ediyor. Peki ChatGPT nedir ve nasıl kullanılır? ChatGPT’nin kişisel veri güvenliği açısından riskleri nelerdir? ChatGPT Avrupa Veri Koruma Tüzüğü (‘‘GDPR’’) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında nasıl değerlendirilir? Bu gibi sorular ve daha fazlasının cevaplarından bu ayki blog yazımızda bahsedeceğiz!
Makale
- 2023
- /
İş Sözleşmesi Devam ederken İşçiye Yapılan Kıdem Tazminatı Ödemeleri
İşçi ve işveren arasındaki iş sözleşmesinin son bulması ile gündeme gelen kıdem tazminatı, işçiye işverenine bağlılığı dolayısıyla ödenen bir yıpranma tazminatıdır. Yargıtay kıdem tazminatını, “işverene ait işyeri ya da işyerlerinde belli bir süre çalışmış olan işçinin, işini kaybetmesi halinde, işinde yıpranması ve yeni bir iş edinmede karşılaşacağı güçlükler ve işverene sağladığı katkı göz önüne alınarak, geçmiş hizmetlerine karşılık olmak üzere, kanuni esaslar dahilinde işverence işçiye verilen toplu para” olarak tanımlamaktadır.