Privacy Blog
İSPANYOL VERİ KORUMA KURUMUNDAN 6 MİLYON EURO TUTARINDA İDARİ PARA CEZASI KARARI
İspanyol Veri Koruma Kurumu (AEPD), CAIXABANK’a verilerin hukuka aykırı işlendiği gerekçesiyle 4 milyon Euro ve verilerin işlenmesiyle ilgili yeterli bilgi sağlanmaması sebebiyle 2 milyon Euro olmak üzere toplamda 6 milyon Euro para cezası uyguladı. [1]
İspanyol Veri Koruma Kurumu, belgenin kişisel veri kategorileri hakkında yeterince bilgi sunmadığı gibi, kişisel verilerin işlenmesi amaçları, hukuki sebebi ve verilerin işlenmesinde şirketin meşru menfaatiyle ilgili bilgi yer almadığına kanaat getirmiştir. Genel Veri Koruma Yönetmeliği’nin (General Data Protection Regulation - GDPR) 13. ve 14. maddelerinin ihlali sonucu 83/5(b) maddesinde gösterilen idari para cezası uygulanmıştır. İdari para cezasının miktarının belirlenmesinde; ihlalin mahiyeti, ağırlığı, süresi, ihmali karakteri, işletme faaliyetleriyle verilerin işlenmesi arasındaki ilişki, işletmenin büyüklüğü ve cirosu ağırlaştırıcı sebep olarak dikkate alınmıştır.
Bunun yanı sıra İspanyol Veri Koruma Kurumu, CAIXABANK’ın veri süjelerinin rızasını almaya yönelik bir mekanizmaya sahip olmadığını, veri süjelerinin rızasının geçerli bir rızanın bütün koşullarını taşımadığını ve veri işlenmesi sürecinde işletmenin meşru menfaatinin yeterince temellendirilmediğini tespit etmiştir. Kararda özellikle de şirket faaliyetleri ile kişisel verilerin işlenmesi arasındaki ilişkiye dikkat çekilmiştir. Bu kapsamda, Genel Veri Koruma Yönetmeliği madde 6’nın ihlali sonucu madde 83/5(a)’ya göre tayin edilen 4 milyon Euro idari para cezası uygulanmıştır. Miktarın belirlenmesinde; ihlalin mahiyeti, ağırlığı, süresi, ihmali karakteri, kontrolörün sorumluluğunun derecesi, madde 25 ve 32’de yer alan teknik ve idari tedbirler, ihlal nedeniyle elde edilen menfaatler, ihlalden etkilenen kişisel veri kategorileri, işletme faaliyetleri ile kişisel verilerin işlenmesi arasındaki ilişki, işletmenin büyüklüğü ve cirosu ağırlaştırıcı sebep olarak dikkate alınmıştır.
İspanyol Veri Koruma Kurumu, bugüne kadar uyguladığı işbu en yüksek idari para cezasının yanı sıra, CAIXABANK’ın veri işleme süreçlerinin 6 ay içerisinde madde 6,13, 14 ile uyumlu hale getirilmesine karar vermiştir.
Karar metni için buraya tıklayın.
Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.
Saygılarımızla,
Zümbül Hukuk ve Danışmanlık
info@zumbul.av.tr
[1]Kararın İspanyolca Metni için : https://edpb.europa.eu/news/national-news/2021/spanish-data-protection-authority-aepd-imposes-fine-6000000-eur-caixabank-sa_en