Birleşik Krallık

Birleşik Krallık İlk Derece Mahkemesi, ICO Tarafından GDPR Kapsamında Verilen İlk Para Cezasını Üçte İki Oranında İndirdi

29 Ağustos 2021 /

 

Yazar: Aden Cennet Kılıç

Ne Olmuştu?

Bilindiği gibi ICO’nun GDPR’a göre verdiği ilk yaptırım kararının muhatabı Doorstep Disparensee Limited (“DDL”) idi. DDL, hem bakım evlerine ilaç tedariki yapan çevrimiçi bir eczane, hem de perakende olarak eczanelik hizmeti yürüten bir eczacılık şirketidir.

Yaptırım kararına konu olayda, İlaç ve Sağlık Ürünleri Düzenleme Kurumu’nun (“MHRA”) 24 Temmuz 2018 tarihli arama kararı üzerine kilitli olmayan kasalarda, kutularda ve torbalarda saklanan en az 73.000 parça kağıt tespit edildi ve bu kağıtlara el konuldu. El konulan bu kağıtların bakım evlerinde yaşayanlara ait olduğu tespit edildi. Bu belgelerin bir kısmı kişisel veri ve özellikle sağlık verisi içeriyordu. ICO, arama sırasında orada bulunmuyordu. MHRA, ICO’yu durum hakkında bilgilendirdi ve ICO, durumu netleştirmek adına DDL’den bilgi talebinde bulundu. DDL’nin bu talebi yerine getirmemesi üzerine ICO, 2018 tarihli Veri Koruma Yasası’nın (“DPA”) 142. maddesi uyarınca DDL’ye bilgi ihbarnamesi [Information Notice] gönderdi. Ocak 2019’da DDL’nin bu bilgi ihbarnamesine karşı ileri sürdüğü itirazı kabul edilmedi. Akabinde devam eden soruşturma neticesinde ICO, DDL’ye toplamda 400.000£ para cezası verme niyetini ortaya koyan bir niyet ihbarnamesi ile DPA 149. maddesi uyarınca veri koruma uyum politikalara yeterli şekilde hazırlamaya zorlamak için bir ön Yaptırım İhbarnamesi gönderdi. DDL yazılı beyanlarda bulunarak ICO’nun bu yaptırımı finalize etmesini önlemeye çalıştı ve sonrasında ICO, DPA 155. madde uyarınca 275.000£ para cezası içeren ceza ihbarnamesi ile bir yaptırım ihbarnamesi düzenledi. Akabinde DDL her iki ihbarnameye karşı İlk Derece Mahkemesi’ne itiraz etti.

İlk Derece Mahkemesi yaptığı değerlendirmeler sonrasında ICO tarafından verilen para cezasının miktarını, üçte iki oranında indirdi. İlk Derece Mahkemesi tarafından 9 Ağustos 2021 tarihinde verilen karar, GDPR’nin çerçeve yapısına ve DPA’nın yaptırım unsurlarına netlik kazandırması ve ispat yükü ve standardı gibi temel konularda değerlendirme yapmasıyla çok önemli ve dikkat çekici. Mahkeme, kararında ispat yükünün analizi, verilen para cezasının uygun olup olmadığının analizi, ICO’nun bu hususta yaptırım ihbarnamesi [Enforcement Notice:EN] göndermesinin uygun olup olmadığı konularını ayrıntılı olarak inceledi.

İLK DERECE MAHKEMESİ KARARI

İspat Yükü Kimin Üzerinde?

DDL, bilgi ihbarnamesi ve para cezası ihbarnamesine ilişkin olarak ispat yükünün ICO Komiserine ait olduğunu iddia etti. İddiasına dayanak olarak ise para cezası ihbarnamesinin esas olarak cezai bir ihbarname olduğunu ileri sürdü. DDL, Temyiz Mahkemesi’nin Katma Değer Vergisi’ni konu edinen cezai bir ihbarname ile ilgili verdiği karardaki, ispat yükünün temyiz edene ait olmadığına gerekçesine atıf yaptı. Komiser’in ileri sürdüğü iddianın çürütülmesinin temyiz edenden beklenmesinin yanlış bir yaklaşım olduğunu iddia etti.

ICO ise ispat yükünün eşit olduğunu ve Komiser’in para cezası ihbarnamesi yayımlamadan önce yalnızca bazı konularda tatmin olmasının yeterli olduğunu, temyiz incelemesinde yeni bulgularla birlikte ispat yükünün ikinci önem sırasına düştüğünü söyledi.

Mahkeme, ICO’nun ispat yükünün ikinci önem sırasına düştüğü hakkındaki iddiasını genel olarak doğru bulmuştur. Ancak bir ihlale ilişkin para cezası söz konusu olduğunda karar vericinin ilk etapta ihlalin varlığını kimin kanıtlaması gerektiğine dair bir değerlendirme yapması gerekir. Genel kanıya göre ispat yükü, ihlalin varlığına dair kanıtlar sunulduktan sonra diğer tarafa geçer.

Buna göre Mahkeme, ilk ispat yükünün, bir ihlalin gerçekleştiğini kanıtlaması gereken ICO’ya yüklendiği sonucuna vardı. Bu ispat yükü, ICO tarafından ihlallerin kanıtı sunulduğunda doğal olarak diğer tarafa geçer yani ICO’nun, ihlale ilişkin aleyhinde bir delil ortaya çıkardığı veri sorumlusu veya veri işleyen, daha sonra ICO’nun bulgularına karşı ihlal olmadığını öne sürerek, kanıt sunmalıdır.

Delil Standardı İncelemesi

DDL, bilgi ihbarnamesi için özel hukuk ispat standardının; Para cezası ihbarnamesi için ise cezai ispat standardının söz konusu olduğunu iddia etti. DPA m. 155’te yer alan cezai yaptırım bölümündeki para cezalarının, cezai yaptırım olarak sınıflandırıldığını belirtti. Aynı zamanda yaptırımı talep eden tarafın ispat yükü altında olduğu ve makul şüphenin ötesinde bir kanıt gerektiğini ileri sürdü. Buna ek olarak para cezasının mahiyeti gereği ceza olduğunu ve AİHS m.6 kapsamında usuli gereksinimlerin bulunduğunu söyledi. Para cezası ihbarnamesinin,  ceza olarak kabul edilmemesinin “aynı suçtan iki defa yargılanmama hakkı”nı ihlal edeceğini öne sürdü.

ICO ise hem yaptırım ihbarnamesi, hem para cezası ihbarnamesi için özel hukuk standardının uygulanması gerektiğini öne sürdü. Buna dayanak olarak 2012’de DPA’dan kaynaklanan bir para cezasında mahkemenin özel hukuk standardı uyguladığı kararı gösterdi. Ayrıca şu nedenlerden dolayı özel hukuk standardı uygulanacağını belirtti:

a. DPA’da yer alan ifadeye göre para cezası ihbarnamesinin tek tip bir özel hukuk yaptırımı içerdiği ve Komiser’in tatmin olmasının yeterli olduğu,

b. Söz konusu para cezasının DPA’nın suçlara ilişkin yargılamayı ilgilendiren ve “soruşturma, ceza” gibi ifadeler içeren 196-200 maddelerinden farklı olduğu,

c. Para cezasının miktarı, cezai standart uygulanacağı anlamına gelmeyeceği, zira Hackett ve Hannam kararlarında para cezalarının miktarları daha yüksek olmasına rağmen özel hukuk standardı uygulandığı,

d. Para cezası ihbarnamesinden kaynaklı olarak kişiyi özgürlüğünden yoksun bırakma veya benzeri yasal sonuçların doğmayacağı,

e. Bu olayın kasıtlı fiillerden ziyade GDPR ihlalleri ile ilgili olması.

Mahkeme şu nedenlerle özel hukuk ispat standardı uygulanacağına karar verdi:

  1. Lord Hoffman tarafından sınıflandırılan özel davaların üç kategorisi vardır, buna göre kanıt standardı, sonuçların ciddiyeti veya ihlalin ağırlığına göre değişiklik gösterebilir. Bunlardan ilki hukuk davası olarak sınıflandırılan ancak sonuçların ciddiyeti nedeniyle cezai standart uygulanacak dava türüdür. (In re B (Children) (FC) Kararı)
  2. Birçok otoriteye göre, özel hukuk yargılaması söz konusu olsa dahi, bir kişinin özgürlüğünü kısıtlayan ciddi sonuçların söz konusu olduğu durumlarda cezai standart uygulanır. (McCann v Crown Court at Manchester Kararı)
  3. Vergi konusundaki özel hukuk yargılamalarında, paralel olarak yürütülen cezai yargılama dikkate alınarak özel hukuk standardı uygulanır. (HMRC v Khawaja [2008] Kararı)
  4. Özel hukuk yargılamalarında sahtekarlık iddiaları olsa bile özel hukuk standardı uygulanabilir. Bu durumda kanunda kullanılan dile göre değerlendirme yapılabilir.
  5. AİHS md. 6’nın uygulanması özel hukuk standardının uygulanmasına engel değildir. (HMRC v Khawaja [2008] Kararı)
  6. Bir kişi sınırsız finansal ceza ve itibar zedelenmesi ile karşılaştığı bir durum olsa bile bu dava, ilk kategoride yer almak zorunda değildir (cezai standart uygulanması şart değildir.) (Hannam Kararı)

Mahkeme DPA’in lafzından yardım alınıp alınamayacağını değerlendirmiştir. Kanunda iki ayrı ceza rejimi düzenlenmiştir:

  • İlki m 155(1)’de GDPR yükümlülüklerine uyum kapsamında düzenlenen para cezası ihbarnamesi rejimidir. Para cezası ihbarnamesine itiraz hukuk mahkemesine yapılır ve diğerlerine karşı yapılan temyiz başvurularıyla aynı yasal hükümlere tabidir. 155(1) ihbarnamesi ilgili olarak özel hukuk standardının kabul edilir.
  • İkinci ceza rejimi ise, 196-200. Maddelerde düzenlenen cezai süreci ele alır. Bu kısımda cezai ihlallere yönelik bir dil kullanılmıştır. Ceza mahkemesi önünde mahkumiyet veya yaptırımlar söz konusudur. Daha çok GDPR’den kaynaklanan kasıtlı ihlallerden söz edilmektedir.

DPA m.155(1)(a)’nın lafzına göre GDPR ihlalinin varlığı konusunda Komiser’in tatmin olması yeterlidir. Böylece ICO’nun iddiası kabul edilmiştir. Ayrıca özgürlüğü kısıtlayacak derecede bir ihlal olmadığından cezai standart uygulanmasına gerek olmadığı değerlendirilmiştir.

Vekalet İlişkisi Sorunu

DDL veri sorumlusu ve veri işleyen arasında, vekil ve müvekkil ilişkisine benzer bir ilişki olduğunu iddia etti. DDL, yalnızca MHRA tarafından kurtarılan bazı belgeler için veri sorumlusu olduğunu ve lisanslı bir atık imha şirketi olan JPL ile yaptığı bir anlaşma nedeniyle bazı verilerin sorumlusunun JPL olduğunu söyledi. Bazı verilere ilişkin olarak da bakım evlerinin veri işleyen olduğunu iddia etti.

ICO, JPL’nin DDL adına kişisel veri işleyip işlemediğinin ve DDL’nin işlemenin amaç ve anlamına karar verip vermediğinin değerlendirilmesi gerektiğini söyledi. ICO’ya göre iki sorunun cevabı da evet idi. ICO, JPL’nin aracı olduğu iddiasının, yalnızca DDL adına kişisel verileri işlediğine dair bir onay anlamına geldiğini belirtti.

Mahkeme kurtarılan verilere ilişkin olarak DDL’nin ne ölçüde veri sorumlusu olduğunun ve JPL’nin işleme faaliyetinden kaynaklanan ihlallere ilişkin sorumluğunun olup olmadığının değerlendirilmesi gerektiğine karar verdi.

Taraflar şu konularda mutabıktı:

Bay Budhdeo, DDL ve JPL in tek yöneticisi ve pay sahibidir. Eşi ile ortak mülkiyete sahiptir. Mülk, JPL tarafından DDL adına atık imha faaliyetlerini yürütmek için kullanılmaktadır. Bu faaliyetler arasında DDL’nin faaliyeti sırasında ortaya çıkan özel kategorideki kişisel verilerin imhası da bulunmaktadır. JPL’nin DDL adına yürüttüğü faaliyetler, DDL’nin veri sorumlusu olduğu ve JPL’nin veri işleyen olduğu veri işleme faaliyetinden oluşmaktadır.

Kanıtların Değerlendirilmesi

Komiser arama kararının infazına bizzat şahitlik etmemiş, MHRA tarafından sağlanan belgelere dayanmıştı. Mahkeme, Komiserin tanıklık ifadesinin eksikliği nedeniyle yorum imkanının sınırlı olmasına rağmen, kanıtının kabul edilmesi gerektiğini söyledi. Komiser neredeyse tamamen MHRA tarafından gönderilen ve 50 kasa evrak olduğu bilgisini içeren e-posta kanıtına dayanmıştı. Daha sonra MHRA tarafından mülkün video görüntüleri ve arama evrakları gönderilmişti. Komisyon yalnızca örnek evrakları inceledi.

Bu evraklarda 78 bakım evine ilişkin elektronik reçetelerin çıktıları, DDL eczanelerinin adını taşıyan Tıbbi İdare Kayıtları (‘MAR’); Reçetelerin kopyaları; Bakım evlerinden yeni reçete siparişi veren fakslar; Hasta ilaç inceleme belgeleri; Sakinlerin listeleri ve sakinlerinin fotoğrafları; Hasta yönetimi kayıtları; İlaç dağıtım kontrol listeleri; Eczane teslim beyannameleri; Hasta tarafından tanımlanabilir tıbbi atık; ve; Eczane teslimat sürücüsü kayıtları yer almaktaydı.

Bu belgelerin birçoğu başta bakım evi sakinlerine ait olmak üzere kişisel veriler ve özel kategorideki kişisel verileri içeren belgeler olarak tanımlandı. MHRA, ortaya çıkan üç gizli atık torbası ve 47 kasadan oluşan belgeden bahsetmişti. Daha sonra bir kısmı dışarıda ıslak vaziyette olan on binlerce belgenin olduğunu belirtti. MHRA Aralık 2016 – Haziran 2018 arasındaki tarihlere ait belge sayısının 500.000’in üzerinde olduğu tahmininde bulundu.

Komiser, kanıt olarak DDL’nin politikalarının yanında DDL’nin GDPR uyumu eksikliğine de dayanmıştır. Komiser’e göre DDL’nin veri saklama politikası bulunmamaktaydı. DDL’nin Ağustos 2018’de hazırlandığı öne sürülen standart çalışma prosedürü ve İlaçların İmhası Politikası Şubat 2019’da hazırlanmıştı ve GDPR’yi yansıtacak şekilde güncelleme yapılmamıştı.

DDL’nin vekili denetlemeyi incelediğinde Ocak ve Temmuz 2020 tarihlerindeki belgelerin 75.000’den az olduğunu hesaplamıştır. Bunların hepsi kişisel veri içermemektedir ve küçük bir parçası özel niteliklidir. Bay Budhdeo, DDL ve JPL adına Komisyon ve MHRA’nın soruşturmasının şüpheli olduğunu ileri sürdü. DDL’ye göre vekilin araştırdığı gibi kurtarılan 73.719 belgeden:

– 7.351 hiçbir kişisel veri içermiyordu;

– 6.229 sadece bir isim içeriyordu;

– 6.268 sadece bir isim ve adres içeriyordu;

-Yaklaşık 53.871’i özel kategorideki verileri içeriyordu.

Bay Budhdeo, bulunan bazı kişisel verilerin söz konusu mülke imha için gönderildiğini kabul etti. Bay Budhdeo’ya göre Temmuz 2018’den itibaren JPL’nin faaliyetleri arasında bakım evlerindeki ilaçların toplanması ve yok edilmesi ve eczanelerdeki atıkların imhası bulunmaktaydı. DDL bakım evlerine ilaç sağlama sözleşmesi yapmıştı ve kullanılmamış ilaçların imhasını da sağlamaktaydı. Mart 2018’den beri JPL, yazılı bir sözleşme bulunmasa da bu hizmeti DDL adına yürütmekteydi. Budhdeo, JPL’nin bakım evlerinden ayda ortalama 400 kutu topladığını ve bunların iade ilaçları içerdiğini belirtti. JPL’nin rolü iade edilen materyal içerisindeki hasta verilerini sınıflandırarak 28 gün içinde güvenli bir şekilde imha etmekti. Budhdeo, imha yapılan arazinin güvenli olduğunu ve bütün kapıların güvenli şekilde kilitli olduğunu belirtti. Dışarıdan herhangi birinin girmesinin mümkün olmadığını öne sürdü.

DDL’in iddiasına göre söz konusu mülk, Mart 2018’de atık imha için kullanılmaya başlanmıştı. Bu nedenle, bundan önce ele geçirilen tüm belgeler, bakım evleri tarafından yanlış bir şekilde tutulmuş ve daha sonra bakım evleri tarafından yanlışlıkla JPL’ye geçmiş olmalıydı.

Çapraz sorguda Bay Budhdeo, hem DDL’nin hem JPL’nin kişisel veri imhasında sorumlu olduğunu belirtti. JPL’nin birincil işini atıkları toplamak ve yok etmek olarak tanımladı ve JPL’nin atıkları elden çıkarırken verileri de elden çıkardığını söyledi.

Bay Budhdeo, Komiser’e imzalı olarak gönderdiği GDPR kılavuzunun Ağustos 2018 tarihli göründüğünü ancak gerçekte Şubat 2019’da imzalandığını, DDL ve JPL arasındaki sözleşmeye dayalı anlaşmanın da arama emri infaz edildikten sonra düzenlendiğini kabul etti.

Komiser, depolanan kasaların sayısından bağımsız olarak, bazı belgelerin ıslanmasının tek mantıklı açıklamasının bahçede saklanması olduğunu iddia etti. Bunun kısmen uygunsuz bir depolama düzenlemesi olduğunu, çünkü bahçe alanına, konut dairelerinin sakinleri ve avluya gelen ziyaretçiler tarafından erişilebilir olduğunu belirtti. Ayrıca bu şekilde bir saklamanın kişisel verilerin kazayla kaybolma ya da yok olmasına, ilgili kişilerin GDPR’de yer alan haklarını kullanamamasına ve bu kişilere yanıt verilememesine yol açabileceğini söyledi. Komiser belgelerin saklanmasındaki bu karışıklığın DDL in JPL tarafından hangi kişisel verilerin saklandığı ve işlendiği hakkında bilgi sahibi olmamasına yol açtığını belirtti. Komiser aynı zamanda DDL’nin, JPL ile sözleşme akdetmemiş olmasının GDPR dan kaynaklanan herhangi bir ihlale katkı sağladığını öne sürdü.

Genel Sonuçlar

Komiser, farklı bir amaçla yürütülen bir soruşturma sırasında ortaya çıkan kanıtlara dayanmaktadır. Bu nedenle, ilgili kişisel verilerin doğası hakkında önemli ayrıntılardan, özellikle de kurtarılan belge sayısının doğru hesaplanmasından yoksundur. Komiser tanık deliline dayanmamayı ve JPL tarafından işlenen kişisel verilerin kaynağına ilişkin kanıt sunmamayı seçmiştir. Buna karşılık DDL tüm belgeleri denetlemiştir ve ürettiği kanıtlar mutlaka daha güvenilir bir bilgi kaynağıdır. Bu nedenle Mahkeme, 73.719 belgeye el konulduğu bilgisini kabul etmiştir.

Mahkeme, Bay Budhdeo’nun bazı ifadelerini çelişkili ve inandırıcılıktan yoksun buldu. Bazı veriler bakım evleri tarafından yanlışlıkla JPL’ye iade edilmiş olsa bile, JPL’nin tek amacı DDL adına tıbbi atık toplamaktı. DDL, JPL’nin kendi adına yaptığı faaliyetlerde, DDL’nin veri sorumlusu ve JPL’nin veri işleyen olduğunu kabul etti.

Mahkeme JPL’nin, DDL’nin öngördüğü süreçlerden uzaklaşmış olabileceğini değerlendirdi. Eğer öyleyse, sonuç olarak JPL’nin veri sorumlusu rolünü üstlenmiş olabilirdi. Mahkeme aşağıdaki nedenlerle JPL’nin bir veri sorumlusundan ziyade veri işleyen olduğu sonucuna varmıştır:

  1. Bir veri işleyenin, veri sorumlusunun rolünü üstlenip üstlenmediği konusu, Madde 5(2) hesap verebilirlik ilkesine atıfta bulunularak değerlendirilmelidir.
    Buna göre veri sorumlusunun kapsamlı veri işleme politikalarının sağlanması da dahil olmak üzere, Madde 5(1) veri işleme ilkelerine uygunluğun sağlanmasına ilişkin sorumluluğu devam eder.
  2. Söz konusu zamanda, Bay Budhdeo her iki şirketin de tek yöneticisi ve hissedarıydı. DDL’nin temsilcisi olarak, JPL’nin hangi atık bertaraf süreçlerini benimseyeceğine karar vermekten de Bay Budheo sorumludur. Bu düzenleme, MHRA arama emri sonrasına kadar yazıya dökülmediğinden ve o zaman bile veri işleme politikaları eksik olduğundan, JPL’nin DDL’den aldığı herhangi bir somut veri işleme talimatından önemli ölçüde ayrıldığı sonucuna varmak için hiçbir kanıt bulunamadı.

Bahçenin ve mülkün yeterince güvenli olmadığı, ziyaretçiler tarafından erişilebileceği, kilitli kasaların iş için ziyarete gelen kimseler tarafından açılabileceği değerlendirildi. Atık imha işi tarafından kullanılan veri depolama yöntemleri, uygun şekilde güvenli değildi ve kazara kayıp veya tahribata karşı yeterli koruma sağlamamıştı. Bunun, Madde 5(1)(f)’nin bütünlük ve gizlilik gerekliliklerinin ihlali olduğu belirlendi.

Buna ek olarak, aramanın yapıldığı tarihte JPL, kişisel verileri izin verilenden daha uzun süre için saklamaktaydı. Yani iki yıl sonunda gerekli olmayan ve imha edilmesi gereken kişisel veriler yok edilmemişti. Bu verilerin JPL tarafından tutulmasının, GDPR madde 5(1)(e)’nin depolama sınırlaması gerekliliklerinin ihlali olduğuna ve madde 5(2) uyarınca DDL’nin de sorumluluğunu bulunduğu sonucuna vardı. Ayrıca, Bay Budhdeo’nun tanık ifadesine dışında, JPL’nin DDL adına kişisel verileri ne zaman ve nasıl güvenli bir şekilde yok ettiğini gösteren kanıt bulunmadı.

Sonuç olarak, JPL’nin ihlallerinden DDL’nin sorumlu olduğu sonucuna varıldı. Bununla birlikte, DDL, JPL’nin veri işlemesinin GDPR’ye uygun olarak gerçekleştirilmesini sağlamak için uygun bir güvenlik düzeyi sağlamak için önlem almakta başarısız olduğundan, Madde 24(1)’in ve ayrıca madde 32’nin gereklilikleri de ihlal edilmiş oldu.

Para Cezası İhbarnamesinin Uygunluğu

DDL vekili, ceza miktarının kanıtlanmış ihlalin ciddiyeti ile orantısız olduğu ve DDL’nin mali sıkıntı içindeki konumu ve ödeme güçlüğünün dikkate alınmadığını iddia etti. Ayrıca, ICO’nun bulunan belge sayısı konusunda MHRA tarafından ortaya atılan yanlış bir iddiaya dayandığını da ileri sürdü.

ICO’nun ilk para cezası ihbarnamesinde atıfta bulunulan 500.000’den fazla belgenin aksine, kişisel verileri içeren yalnızca 66.638 belgenin kurtarıldığı ve bunlardan yalnızca 53.871’inin daha hassas nitelikli veri olduğu kabul edildi. Mahkeme değerlendirmeyi 53,871 belgenin özel nitelikli kişisel veri içerdiğini kabul ederek yapsa da, tespit edilen ihlallerin para cezası verilmesini gerektirecek ciddiyette olması konusunda Komiser ile aynı fikirdedir. Söz konusu belge miktarı hala çok fazladır ve hassas verileri içermektedir. ICO, ilk para cezası ihbarnamesinde, GDPR 24(1)’in ihlalinin, para cezası ihbarnamesinin uygulanabileceği bir ihlal olduğu sonucuna varmakla hatalıydı, çünkü GDPR 149(2) kapsamında bir ihlal yoktu, ancak para cezasını gerektiren başka ihlaller mevcuttu.

Mahkeme, GDPR’nin 83(2) Maddesinde belirtilen faktörlere ilişkin ICO’nun değerlendirmesini kabul etti. Mahkeme, özellikle ICO’nun ihlalin ağırlığına ve hassas veriler konusunda veri sahipleri için ciddi manevi sıkıntıya yol açma riskine ilişkin vardığı sonuçlara dikkat çekti. Tüm hususları dikkate alan Mahkeme, mevcut koşullarda para cezasının haklı olduğuna karar verdi, ancak miktarı yaklaşık üçte iki oranında azaltarak 92.000 £’a indirdi.

Yaptırım İhbarnamesi Gönderilmesinin Uygunluğu

Yaptırım İhbarnamesi ile ilgili olarak DDL, daha önceki bir aşamada tespit edilen veri koruma politikası ihlallerinin büyük ölçüde giderildiği durumlarda, zorlayıcı bir yaptırım ihbarnamesi düzenlenmesinin uygunsuz ve gereksiz olduğunu öne sürdü.

DDL, Ağustos 2018’de, MHRA araması sırasında ele geçirilen belgeler hakkında GDPR uyum düzenlemelerinin soruşturulduğu konusunda bilgilendirilmişti. DDL, özellikle gizlilik bildirimi ve veri saklamaya ilişkin veri koruma politikalarının yetersiz olduğunu kabul etti ancak Mart 2019’da sunulan belgeler hala veri koruma amaçları için yetersizdi. Bir ön yaptırım ihbarnamesi gönderilmesine rağmen ihlal devam etti. Mahkeme bu nedenlerle ICO’nun DDL’nin veri koruma politikalarıyla ilgili olarak bir Yaptırım İhbarnamesi yayınlamasının orantılı ve makul olduğuna karar verdi.

Kaynaklar

İlk Derece Mahkemesi – Genel Düzenleme Dairesi (Bilgi Hakları),9 Apustos 2021 Tarihli,  EA/2020/0065/V Temyiz Sayılı karar (Karar için tıklayınız),

https://www.freevacy.com/news/dla-piper/first-tier-tribunal-reduces-icos-first-gdpr-fine-by-two-thirds/1709

https://www.lexology.com/library/detail.aspx?g=841bc212-ef67-4047-b74a-541babeda65c

https://cornerstonebarristers.com/news/first-tier-tribunal-reduces-dpa-2018-monetary-penalty-23rds/

Bunlara da bakmak isteyebilirsin

Britanya – Aşılama ve COVID Durum Kontrolleri
25 Temmuz 2021
İngiliz Veri Koruma Kurumu – Avrupa Adalet Divanı’nın Schrems II Kararına Dair Açıklamanın Güncellenmesi
29 Temmuz 2020
İngiliz Veri Koruma Kurumu – Temas Takibi -Müşteri ve Ziyaretçi Bilgilerini Korumak
14 Ağustos 2020

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!