Genel Veri Koruma Yönetmeliği (GDPR - General Data Protection Regulation) Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmeliktir. 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği'ne üye ülkelerde yürürlüğe giren GDPR, Avrupa Birliği'ne üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kurallar çerçevesinde güvenliğini sağlamayı konu edinmektedir.

Şirketler

Sektör

Ceza Tutarı

Tarih

Kurum

Ceza Konusu

Kaynak

1

amazon

Sanayi ve Ticaret

746 milyon €

/880 milyon $

16.07.2021

Lüksemburg Ulusal Veri Koruma Otoritesi(CNPD)

Genel veri işleme ilkelerine uyulmaması

GDPR: m.5-6-7

kaynak

kaynak-2

2

WhatsApp

Medya, Telekom ve Yayıncılık

225 milyon € /266 milyon $

02.09.2021

İrlanda Veri Koruma Komisyonu(DPC)

Bilgilendirme yükümlülüklerinin yetersiz yerine getirilmesi

GDPR: m.12-14

kaynak

3

Google

Medya, Telekom ve Yayıncılık

50 milyon €

/56.6 milyon $

21.01.2019

Fransa Veri Koruma Otoritesi (CNIL)

Veri işleme için yetersiz yasal dayanak GDPR: m.5-6-13-14

kaynak

4

H&M

İş

35.3 milyon €

/41 milyon $

01.10.2020

Almanya Hamburg Veri Koruma Otoritesi (HmbBfDI)

Veri işleme için yetersiz yasal dayanak GDPR: m.5-6

kaynak

5

Tim Telekom İtalya

Medya, Telekom ve Yayıncılık

27.8 milyon €

/31.5 milyon $

15.01.2020

İtalya Veri Koruma Otoritesi(Garante)

Veri işleme için yetersiz yasal dayanak GDPR:m.5-6-17-21-32

kaynak

6

BRITISH

AIRWAYS


Ulaştırma ve Enerji

22 milyon €

/26 milyon $

16.10.2020

İngiltere Veri Koruma Otoritesi (ICO)

Bilgi güvenliğini sağlamak için yetersiz teknik ve organizasyonel önlemler

GDPR: m.5-32

kaynak

7

Marriott International Otelleri

Konaklama ve Ağırlama

20.4 milyon €

/23.8 milyon $

30.10.2020

İngiltere Veri Koruma Otoritesi (ICO)

Bilgi güvenliğini sağlamak için yetersiz teknik ve organizasyonel önlemler

GDPR: m.32

kaynak

8

Wind Tre S.p.A.

Medya, Telekom ve Yayıncılık

16.7 milyon €

/20 milyon $

13.07.2020

İtalya Veri Koruma Otoritesi(Garante)

Veri işleme için yetersiz yasal dayanak GDPR: m.5-6-12-24-25

kaynak

kaynak-2

9

Vodafone Italya

Medya, Telekom ve Yayıncılık

12.25 milyon €

/13.5 milyon $

12.11.2020

İtalya Veri Koruma Otoritesi(Garante)

Genel veri işleme ilkelerine uyulmaması GDPR: m.5-6-7-15-16-21-24-25-32-33

kaynak

10

Notebooks

billiger.de

İş

10.4 milyon €

/12.5 milyon $

08.01.2021

Almanya Niedersachsen Eyaleti Veri Koruma Otoritesi

Veri işleme için yetersiz yasal dayanak

GDPR:m.5-6

kaynak

1. 16.07.2021 tarihli Lüksemburg Ulusal Veri Koruma Otoritesi - Amazon Kararı

16 Temmuz 2021'de Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD), GDPR ihlal edildiği iddiasıyla Amazon Europe Core S.à.rl'ye 746 milyon € para cezası vermiştir. Bu karar La Quadrature du Net (LQDN) derneğinin CNIL’e yönelttiği toplu bir şikayetten kaynaklanmaktadır. Amazon'un AB genel merkezi Lüksemburg'da olduğundan, CNPD Amazon'un AB'deki lider denetim otoritesi olarak hareket etmektedir. Bu prosedür süresince CNIL, elde edilen delillerin kontrol ve analiz edilmesi kapsamında ve sonrasında “one-stop-shop” prosedürü kapsamında taslak kararın incelenmesinde CNPD ile yakından çalışmıştır.

CNPD ayrıca Amazon'a bazı uygulamalarını gözden geçirmesini emretmiştir. Basın raporlarına ve Amazon'un kamuoyuna yaptığı açıklamalara göre, para cezası Amazon'un hedeflenen reklamcılık amacıyla müşteri verilerini kullanmasıyla ilgili görünmektedir.

Yalnızca karara karşı hukuk yolları tükendikten sonra kararın açıklanabileceğini düzenleyen Lüksemburg Kanunlarının uygulandığı bu aşamada karar kamuya açık değildir. Şikayetçi La Quadrature du Net (LQDN) Derneği, GDPR’a uygun olarak kararla ilgili kamuoyunu bilgilendirilmiştir.

2. 02.09.2021 tarihli İrlanda Veri Koruma Otoritesi – Whatsapp Kararı

WhatsApp hakkında İrlandalı DPC tarafından Aralık 2018'den bu yana yaklaşık 3 yıldır soruşturma yürütülmektedir. Soruşturmanın konusu online gizlilik yasası hakkındadır. Bu yasa, teorik olarak şirketlerin ciddi ihlaller için global gelirlerinin yüzde 4'üne kadar para cezasına çarptırılmasına ilişkin yaptırım uygulamaktadır.

2021’in başında DPC, GDPR ihlalleri nedeniyle WhatsApp için 50 milyon euroya kadar bir para cezası önermiştir. Cezanın nedeni ise, WhatsApp kullanıcılara kişisel verilerini nasıl kullandığı hakkında yeterli bilgi vermemiş olmasıdır.

Almanya, Fransa ve İtalya dahil avrupa kıtasındaki 8 veri koruma otoritesi bu cezanın miktarının çok düşük olduğunu söyleyerek itiraz etmiştir. Anlaşmazlığın ardından, GDPR kapsamında kurulan düzenleyicilerin çatı kuruluşu olan European Data Protection Board (Avrupa Veri Koruma Kurulu), temmuz ayında DPC'ye cezayı artırmasını söylemiştir. Bu nedenle DPC cezayı arttırmıştır ve WhatsApp'ın işleme faaliyetlerini üç ay içinde uyumlu hale getirmesi gerektiğine karar vermiştir. WhatsApp ayrıca, kullanıcıların WhatsApp'ın işleme faaliyetleriyle ilgili olarak bir denetleyici makama nasıl şikayette bulunabileceklerini açıklamak da dahil olmak üzere, GDPR'nin 13 ve 14. Maddeleri kapsamında gerekli bilgileri içerecek şekilde hem kullanıcılar hem de kullanıcı olmayanlar için gizlilik bildirimlerini güncellemesi gerekmektedir.

WhatsApp ise para cezasına itiraz edeceğini açıklamıştır. Şirketten yapılan açıklamada sağlanan bilgilerin şeffaf ve kapsamlı olması için çalıştıkları ve çalışmaya devam edecekleri ifadesi yer almaktadır. WhatsApp, 2018'de insanlara sağladığı şeffaflık konusunda alınan karara katılmadığını ve cezaların tamamen orantısız olduğunu belirtmiştir.

3 Eylül 2021 tarihinde KVK Kurulu, web sitesinde yayınladığı duyuru ile 6698 sayılı Kanun’da belirtlien Hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık tespit ettiğini, açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiğini, açık rıza olmadan yurtdışına veri aktarımının yapıldığının altını çizdiği ve profilleme amacıyla kullanılan çerezlerde de açık rızanın yürütülmediğini tespit etmiştir. Bu kapsamda, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen Whatsapp hakkında 1.950.000 TL idari para cezası uygulanmasına, ayrıca uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşılmış olup, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesine ve Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşılmış olup, 6698 sayılı Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması ve söz konusu işlemlerin sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.

3. 21.01.2019 tarihli Fransa Veri Koruma Otoritesi – Google Kararı

Sivil toplum örgütleri olan None Of Your Business (NOYB) ve La Quadrature du Net (LQDN), CNIL’e şikâyetlerini Fransa Veri Koruma Otoritesine (CNIL) sunmuşlardı. Şikâyetler temel olarak, Google’ın hüküm ve koşullarını kabul etmeksizin, Android telefonları kullanmanın mümkün olmadığı ve Google tarafından gerçekleştirilen davranış analizi ve kişiye özgü reklam faaliyetleri için hukuki bir dayanak bulunmadığı iddiaları etrafında şekillenmekteydi.

CNIL, GDPR kapsamında şeffaflık eksikliği, kullanıcılara kişisel verilerin kullanımı hakkında yetersiz bilgilendirme yapılması ve kullanıcıların geçerli rızası alınmaksızın reklamların kişiselleştirilmesi nedeniyle Google LLC’ye 50 milyon Euro para cezası vermiştir.

CNIL’in esasa ilişkin yapmış olduğu değerlendirmede, Google’ın cezaya tabi olduğuna karar verdiği bulgular şu şekilde:

a. Aydınlatmanın Erişilebilir Olmaması: CNIL, ilgili kişilerin Google’ın aydınlatma metni niteliği taşıyan bilgilendirmelerinde metinlerinde, yanıtların farklı dokümanlarda yer aldığını ve kullanıcıların pek çok farklı doküman arasında yanıt aramak durumunda kaldığını belirtmiştir.

b. Bilgilendirmenin Yeterince Açık ve Saf Olmaması: Veri koruma mevzuatlarında genel ölçüt, bilgilendirmenin konuya hâkim olmayan kişiler tarafından da anlaşılabilmesi olarak belirlenmektedir. Google uygulamaları özelinde ise ilgili kişilerin ‘verilerim neden toplanıyor?’ sorusuna yanıt almakta zorlandığı belirtilmiştir.

c. ‘Şemsiye’ Aydınlatma: CNIL’in kararını incelediğimizde, Google’ın doktrinde ‘şemsiye aydınlatma’ olarak tabir edilen genel bir hataya düştüğü görülmektedir. Google verileri pek çok farklı hukukî dayanakla işlemektedir. Bu, hukuki açıdan yapılabilir kabul edilse de, ilgili kişilerin, işleme faaliyetleri baz alınarak farklı hukukî dayanakları bilmesi gerektiği vurgulanmaktadır. Şikâyet konularından birisi olan kişiye özgü reklam faaliyetleri esasen rızaya tabi bir veri işleme faaliyeti olmasına karşın, Google’ın bilgilendirme dokümanlarında bu faaliyetin rızaya tabi olduğu ise açıkça belirtilmemiştir.

d. Bilgilendirmenin Zamanında Yapılmaması: Kural olarak verinin toplanması esnasında, ilgili kişinin bilgilendirilmesi esastır. Ancak CNIL Android ürünlerinin kullanımında, kullanıcıların bilgilendirme metnine erişebilmek için profil oluşturması (verinin toplanması) gerektiğini tespit etmiştir. Bu durumda ise sürecin mevcut modelinde aslında bilgilendirme veri toplandıktan sonra yapılmış olmaktadır.

e. Rızanın Hukuka Uygun Olarak Alınamaması: Veri koruma mevzuatında tanımlanan rızanın unsurları arasında, ilgili kişinin bilgilendirilmiş olması da yer almaktadır. Yukarıda da açıklamış olduğumuz üzere, her ne kadar kişiye özgü reklam faaliyeti ilgili kişilerin rızası esas alınarak gerçekleştirilse de, bilgilendirme ile ilgili tespit edilen hususlar aslında rızayı da hukukî olarak sağlıksız hale getirmektedir. Zira rıza veren kişi aslında, yeterince bilgilendirilmemiş olmaktadır. CNIL bu hususu bir adım daha ileri taşıyıp ve kişiye özgü reklamcılık için rıza alınan bölümde Google’ın Youtube, Google Plus, Google Maps, Playstore gibi uygulamalardan söz etmediğini, ancak bu platformlardan toplanan çevrimiçi verilerin de işlendiğini tespit etmektedir. Yine mevzuata ve Avrupa’da oturmuş veri koruma içtihadına bakıldığında rızanın ‘aktif’ bir hareketle alınması gerektiği görülmektedir. CNIL, Google tarafından bu veri işleme faaliyetine ilişkin rıza alınması esnasında onay verilen ‘kutucuğun’ otomatik olarak işaretlenmiş olduğunu belirtmektedir. Bu kapsamda aslında kişi aktif bir hareketine ihtiyaç duyulmaksızın rıza vermiş olmaktadır.

CNIL, 50 milyon €’luk cezayı nasıl belirlediği konusunda yapmış olduğu açıklama ise;

a. aydınlatma yükümlülüğünün ve şeffaflığın kişisel verilerin korunması üzerindeki önemi,

b. ihlâlin tek seferlik değil, geçmişten gelen ve bugün dahi sürmekte olan bir ihlâl olması,

c. hakları ihlâl edilen kullanıcıların (ilgili kişilerin) sayılarının fazlalığı ve

d. Android telefonların soruşturmanın yürütüldüğü yer olan Fransa’daki yaygınlığı ceza miktarının belirlenmesinde göz önüne alınmıştır.

Her ne kadar 50 milyon €, kamuoyunda yarattığı yankı ile birlikte ciddi bir meblağ olarak değerlendirilse de, GDPR kapsamında anılan ihlaller için öngörülen ceza miktarı, grup şirketlerin global cirosunun %4’üne kadar çıkabilmektedir. 50 milyon € ise Google’ın yıllık cirosunun yalnızca %0,05’ine tekabül etmektedir.

4. 01.10.2020 tarihli Almanya Hamburg Veri Koruma Otoritesi – H&M Kararı

Hamburg Veri Koruma Kurumu (HmbBfDI), şirketin Nürnberg hizmet merkezindeki birkaç yüz çalışanı aşırı derecede izlediğinin tespit etmiştir. Kurum, 2014’ten beri, iş gücünün bazı bölümlerinin “özel hayatlarıyla ilgili ayrıntılarının kaydedildiğini” açıklamıştır.

Tatil ve hastalık izni gibi devamsızlıklar sonrasında denetleyici ekip liderleri, çalışanlarıyla sözde Tekrar Hoş Geldiniz görüşmeleri gerçekleştirip, bu görüşmelerden sonra, çoğu durumda sadece çalışanların somut tatil deneyimlerini değil, aynı zamanda hastalık belirtileri ve teşhislerini kaydetmiştir. Buna ek olarak, bazı denetmenler, kişisel ve sözlü görüşmeler yoluyla oldukça zararsız ayrıntılardan aile meselelerine ve dini inançlara kadar uzanan geniş bir yelpazede çalışanlarının özel hayatları hakkında geniş bilgiler edinmektedirler. Bu bilgilerin bazılarının kaydedildiği ve 50 diğer yönetici tarafından okunabilir olduğu, bu kayıtların kimi zaman çok fazla detay içerdiği ve aşkın süreler ile saklandığı; kayıtlarda yer alan bilgilerin performans değerlendirmesinin yanında çalışanın profili çıkarılarak istihdamı ile ilgili alınacak önlemler ve kararlar için kullanıldığı, bu faaliyetlerin ise çalışanın haklarına yüksek derecede müdahale içerdiği belirtilmiştir.

Kapsamlı veri toplama süreci, 2019 Ekim’de bir yapılandırma hatası nedeniyle birkaç saat boyunca şirket genelinde bu veriler erişilebilir hale geldiğinde ortaya çıkmıştır.

5. 15.01.2020 tarihli İtalya Veri Koruma Otoritesi – Tim Telekom Kararı

Garante, Ocak 2017’den 2019 yılının başlarına kadar yüzlerce şikayet aldığını belirterek ihlallerin birkaç milyon kişiyi etkilediğini ve ciddi olduğunu ifade etmiştir. Tim’in ihlallerinin çoğunun aşırı agresif pazarlama stratejisinden kaynaklandığı; promosyon aramaları için müşterilerin onaylarının olmadığını veya onaylarını iptal ettiklerini açıkça söylemiş olsalar dahi rahatsız edici aramalar aldıkları ve bir kişinin bir ayda 155 kez arandığı bildirilmiştir.

Soruşturma sonucu, İtalyan Telekom şirketinden çok sayıda veri koruma ihlali ve genel bir hesap verebilirlik eksikliği ortaya çıkmıştır. Özellikle soruşturma, TİM'in

a. pazarlama çağrılarını yapmak için kiralanan çağrı merkezlerini uygun şekilde yönetmediğini;

b. pazarlama iletişimi almamayı seçen kişilerin listesini güncellemediğini ve

c. müşterilerin indirim almaları ve çekilişlere katılmaları için pazarlama iletişimine rıza göstermediğini

ortaya çıkarmıştır. Garante, TIM'in uygulamaları aracılığıyla kullanıcılara sağladığı bilgilerin yanlış olduğunu ve şeffaf olmadığını ve TIM'in kullanıcıların onayını almak için geçersiz yöntemler kullandığını tespit etmiştir. ( örn. toplu izin). Ayrıca, AB Genel Veri Koruma Yönetmeliği'nin Tasarım Yoluyla Gizlilik ilkesi ışığında, TİM'in veri ihlali yönetimi ve veri işleme sistemi yönetimi de Garante tarafından yetersiz bulunmuştur. Örneğin, müşteri verileri yasal olarak izin verilenden daha uzun süre tutulmaktadır ve vazgeçmeleri halinde kullanılan sistemler güncel değildir.

Ceza, İtalyan Telekom şirketinin toplam yıllık cirosunun %0,2'sine tekabül etmektedir.

6. 16.10.2020 tarihli İngiltere Veri Koruma Otoritesi – British Airways Kararı

İngiltere Veri Koruma Otoritesi olan Bilgi Komisyonu Ofisi (ICO) tarafından İngiliz havayolu şirketi British Airways’e(BA), müşterilerinin kişisel bilgilerinin korunması ile ilgili güvenlik sistemlerinin ihlal edilmesinden dolayı 20 milyon Sterlin (22 milyon Euro) tutarında para cezası verilmiştir. Veri ihlali nedeniyle, yaklaşık 400.000 müşterisinin kişisel verilerini ele geçirilmiştir. Söz konusu veriler müşterilerin giriş ve seyahat rezervasyon bilgilerini, isimleri, adresleri ve kredi kartı bilgilerini içeriyordu. ICO soruşturması ile havayolunun yeterli güvenlik önlemleri alınmaksızın büyük miktarlarda kişisel veri işlediği anlaşılmıştır. Bu eksiklik, veri koruma kanununu ihlal etmiştir ve ardından, BA 2018’de, iki aydan uzun bir süre tespit edemediği bir siber saldırıya maruz kalmıştır. Soruşturmacılar, bu güvenlik sorunlarına işaret ederek 2018 yılındaki siber saldırının önlenebilir olduğu sonucuna varmıştır.

BA ağına girebilmesinden önce bir saldırı riski önlemek veya azaltmak adına BA’nın alabileceği sayısız tedbir tespit edilmiştir. Bunlar:

a. Uygulama, veri ve araçlara erişimi yalnızca bir kullanıcı rolünü yerine getirmek için gerekli olanlarla sınırlandırma,

b. İşletme sistemlerine siber saldırıyı simule eder şekilde, dikkatli testler gerçekleştirmek,

c. Çalışan ve üçüncü taraf hesaplarını çok faktörlü kimlik doğrulama ile korumak.

Bu tedbirlerden bazıları BA tarafından kullanılan Microsoft İşletim Sistemi dahi elde edilebilir olup, hiçbiri aşırı maliyet ya da teknik engeller gerektirmemektedir.

ICO’nun British Airways’e 183,4 milyon Sterlin tutarında para cezası vermeyi planladığı ancak Covid-19 pandemisinin ekonomik etkisini dikkate alarak cezayı önemli ölçüde düşürdüğü ifade edilmiştir.

7. 30.10.2020 tarihli İngiltere Veri Koruma Otoritesi – Marriott International Kararı

30 Ekim 2020 tarihinde İngiltere Bilgi Komisyonu Ofisi (ICO), İngiliz otel zinciri Marriott International Inc’e milyonlarca müşterinin kişisel verilerinin güvenliğini sağlamadığı gerekçesiyle 18,4 milyon Sterlin (20.4 milyon Euro) tutarında para cezası vermiştir. 2014 yılında meydana gelen ancak 2018 yılında tespit edilebilen siber saldırı sonucunda Marriott International’ın 30 milyonu AB vatandaşı olmak üzere dünya çapında toplam 339 milyon misafir kaydının etkilendiği tahmin edilmektedir. Söz konusu siber saldırıda, misafirlerin isimleri, kredi kartı bilgileri, adresleri, pasaport numaraları ve doğum tarihleri gibi kişisel bilgileri ​​ele geçirilmiştir.

ICO’nun soruşturması neticesinde, Marriott’un, GDPR’ı gerektirdiği şekilde uygulamadığı ve sistemlerinde işlenen kişisel verileri korumak için uygun teknik veya organizasyonel önlemleri uygulamaya koyamadığı ortaya çıkmıştır.

İhlal, Birleşik Krallık AB'den ayrılmadan önce meydana geldiğinden, ICO, GDPR kapsamında baş denetim otoritesi olarak tüm Avrupa Birliği (“AB”) yetkilileri adına soruşturma yapmış, ceza GDPR'nin iş birliği süreci aracılığıyla diğer AB Veri Koruma Otoriteleri tarafından onaylanmıştır.

British Airways para cezasına benzer şekilde, ICO başlangıçta 99 milyon Sterlin tutarında çok daha yüksek bir para cezası vermeyi planlasa da sonrasında ceza miktarını düşürmüştür.

KVK Kurulu’nun Marriott International hakkında 16.05.2019 tarihli ve 2019/143 sayılı verdiği karar için bakınız.

8. 13.07.2020 tarihli İtalya Veri Koruma Otoritesi – Windtre Kararı

İtalyan Veri Koruma Otoritesi (Garante), 13 Temmuz 2020 tarihinde, yasadışı doğrudan pazarlama faaliyetleri nedeniyle telekomünikasyon şirketi Wind Tre S.p.A’ya 16.7 milyon Euro tutarında para cezası vermiştir. Yüzlerce müşterinin önceden izinleri olmaksızın SMS, e-posta, telefon görüşmeleri ve otomatik aramalar yoluyla Wind’den istenmeyen iletişim aldığı, bu nedenle kişisel verilerin pazarlama amacıyla hukuka aykırı olarak işlendiği belirtilmiştir.

Bunun yanı sıra Wind’in, müşterilerine izinleri olmadan reklamlar gönderdiği, yanlış iletişim bilgileri sağladığı ve tüketicilerin abonelikten çıkmalarına engel olduğu bildirilmiştir. Wind’in veri toplama faaliyetleri ile ilgili daha önce bir ihtiyati tedbir kararı altında olmasına rağmen ihlallerin devam ettiğini belirtmiştir. Bu kadar yüksek tutardaki para cezasının arkasındaki neden ise, şirketin veri koruma politikasının gerekli tüm bilgileri sağlamaması nedeniyle müşterilerin onaylarını geri alamaması olarak açıklanmıştır.

Verilen para cezasına ek olarak, Wind’in, kişilerin rızası olmadan alınan verileri işlemesi yasaklanmış ve kullanıcıların rahatsız edilmemelerine ilişkin isteklerinin uygulanmasına yönelik prosedürlerin oluşturulması Otorite tarafından Wind’e tebliğ edilmiştir.

9. 12.11.2020 tarihli İtalya Veri Koruma Otoritesi – Vodafone Kararı

Müşterilerin, telefon ve internet hizmetlerinin tanıtılması için Vodafone veya şirketin satış ağı tarafından yapılan istenmeyen telefon aramalarına karşı oluşturdukları yüzlerce şikâyet ve uyarının ardından Garante’nin, Vodafone’a bir yargı süreci başlattığı belirtilmiştir. Garante’nin yürüttüğü soruşturma sonucunda, Vodafone’un telefon aracılığıyla gerçekleştirdiği pazarlama aramaları için tüketicinin rızasını almadığı ve aynı zamanda hesap verebilirlik ile gizlilik konusundaki GDPR ilkelerini ihlal ettiği tespit edildi.

Soruşturmada tespit edilen en ilginç bulgunun pazarlama çağrılarını yapmak için sahte telefon numaralarının veya ROC'ye (Ulusal İletişim Operatörleri Sicili) kayıtlı olmayan numaraların kullanılmasıdır. Harici sağlayıcılardan satın alınan iletişim listelerinin işlenmesiyle ilgili olarak ek ihlaller ortaya çıkabileceğini ileten Garante, Vodafone’u telefonla pazarlama amacıyla işlemenin izin gerekliliklerine uygun olduğunu gösterecek sistemler kurgulaması konusunda talimatlandırmıştır. Ek olarak, bu tür verilerin kullanıcıların ücretsiz, özel ve bilgilendirilmiş veri ifşası onayı alınmadan üçüncü şahıslardan elde edildiği durumlarda, verilerin pazarlama veya ticari amaçlarla işlemesini yasaklamıştır.

Bunun yanı sıra, Vodafone tarafından harici sağlayıcılardan satın alınan ve 4,5 milyondan fazla kullanıcının iletişim verisini içeren listelerin, ilgili kişilerin bilgisi ya da açık rızası olmadan Vodafone’a aktarılmış olduğu belirlenmiştir.

İlave olarak, 11 Şubat 2021’de Vodafone İspanya, İspanyol Veri Koruma Kurumu (AEPD), Vodafone’un şikayetçi ile e-posta yoluyla iletişim kurduğunu, şikayetçinin kişisel verilerinin silinmesi için Vodafone’a başvurduğunu ancak işlemin gerçekleştirilmediğini tespit etmiştir. AEPD, şikâyette bulunan kişinin kişisel verilerinin, herhangi bir yasal dayanak olmaksızın işlenmeye devam edilmesi gerekçesiyle Vodafone İspanya’ya 200.000 Euro idari para cezası vermiştir. Vodafone'un cezayı gönüllü ödemesi sebebiyle para cezası 120.000 Euro'ya düşürülmüştür.

10. 08.01.2021 tarihli Almanya Niedersachsen Eyaleti Veri Koruma Otoritesi – NBB Kararı

Almanya Niedersachsen Eyaleti Veri Koruma Otoritesi tarafından, herhangi bir hukuki dayanağı olmadan çalışanlarını 2 yıldan fazla süredir mağaza içerisine yerleştirilmiş kamera kayıtları ile izlenmesi nedeniyle 8 Ocak 2021 tarihinde Almanya’nın en büyük bilgisayar perakendecisi notebooksbilliger.de (NBB) 10.4 Milyon Euro’luk para cezası verilmiştir. NBB’nin, herhangi bir yasal dayanak olmaksızın çalışanlarını en az iki yıl boyunca görüntülü olarak izlediği, hukuka aykırı olarak yerleştirilen kameraların, iş yerlerini, satış odalarını, depoları ve ortak alanları kaydettiği ve kayıtların 60 günden fazla süre tutulduğu tespit edildi.

NBB ise video kameralarını, hırsızlık gibi suçları önlemek, depolarda mal akışını izlemek için kurulduğunu iddia ederek karara itiraz etse de Veri Koruma Otoritesi, uygulanan yöntemin ölçülü olmadığını ve bu gerekçe için daha basit ve orantılı önlemler alınması gerektiğini belirtmiştir.

Veri Koruma Otoritesi, hırsızlığı önlemek adına şirketin öncelikle rastgele çanta kontrolleri gibi daha basit önlemler alması gerektiğini belirtti. Cezai suçları ortaya çıkarmak için yapılacak video gözetimi yalnızca belirli çalışanlara karşı “haklı bir şüphe” olması halinde yasal olduğunu, Şirketlerin şüphelileri sınırlı bir süre izlemek için kamerayı kullanabildikleri, NBB’nin durumunun ise farklı olduğunu çünkü video gözetiminin uzun süredir devam ettiği belirtilmektedir.

Grafiklerle Cezaların İncelenmesi

2021 yılında GDPR kapsamında verilen cezaların, ay bazında toplam miktar ve sayılarının incelenmiş hali aşağıdadır. Bu yıl en çok miktarda ceza temmuz ayında kesilmiş olup bu tutar 755.084.200 euro olup, toplam 47 adet para cezası kesilmiştir.

2021

Ocak

Şubat

Mart

Nisan

Mayıs

Haziran

Temmuz

Ağustos

Eylül

Ekim

Ay bazında toplam ceza miktarı

17.570.150 €

1,761,550 €

15,178,125 €

2,490,020 €

7.086.869

6,551,600

755.084.200 €

2.442.600 €

227.203.200 €

12.000 €

Ay bazında toplam ceza sayısı

31

34

47

33

35

34

47

21

32

4

GDPR kapsamında en çok sayıda ceza veren 10 ülke aşağıda açıklanmıştır. 301 ile en çok ceza kesen ülke İspanya’dır. Ona en yakın ülke İtalya olup, bu zamana kadar toplam 92 adet para cezası kesmiştir.

Para cezası sayısı ile miktar sayılarını gösteren tablolar uyumlu değildir. Dünyanın önde gelen şirketlerinin genel merkezlerinin bulunduğu ülkeler, aşağıdaki tabloda öne çıkmaktadır. Bunun nedeni bazı veri ihlallerinin sonucunda söz konusu şirketlerin yıllık cirosunun %4’ü oranında ceza uygulanıyor olmasıdır.

En çok ceza alan sektörler aşağıda dizilmiştir. Grafik incelendiğinde sanayi ve ticaret sektörü 171 adet para cezası ile en çok ceza alan sektördür. Aynı zamanda bu sektör en çok para cezası ödeyen sektör olup bu zamana kadar 765.054.292 € para cezasına çarptırılmıştır. Ondan sonra en çok sayıda ceza alan 2. sektör ise medya, telekom ve yayıncılık sektörüdür. Bu sektör de 141 adet para cezasıyla bu zamanda kadar toplam 359.576.215 € para cezası ödemiştir.

Aşağıdaki tablo bugüne kadar GDPR ihlali türüne göre en çok para cezası verilen 10 konuyu göstermektedir. En çok ihlal edilen konu veri işleme için yetersiz yasal dayanak olmasıdır. İkinci en çok ihlal edilen konu ise bilgi güvenliğini sağlamak için yetersiz teknik ve organizasyonel önlemlerin alınmasıdır.