Birleşik Krallık

Birleşik Krallık – Transeksüel, Kendini belirli bir cinsiyet içerisinde sınıflandırmayan veya Cinsiyet Değiştirmiş Çocuk ya da Ergenlere Yardım Derneği Olan Mermaids Aleyhinde Hassas Verileri İfşa Ettiği Gerekçesi İle Verilen Karar

9 Eylül 2021 /

Çevirenler: Merve Aydın

Zelal Binici

Gözden Geçirenler: Kübra İslamoğlu Bayer

Elif Sağlam

Çeviriyi indirmek için tıklayınız

2018 TARİHLİ VERİ KORUMA YASASI (6. KISIM, 155. MADDE)

VERİ KORUMA OTORİTESİNİN DENETLEME YETKİSİ

PARA CEZASI İHBARNAMESİ

MUHATAP               : Mermaids

ADRES                      : Main Office, Suite 4, Tarn House, 77 the High Street, Yeadon, Leeds, LS19 7SP; London Office, Office 3, 63 Charterhouse Street, London, EClM 6HJ

  1. Mermaids (Deniz kızları), 1160575 numara ile kayıtlı yardım derneğidir.
  2. Veri Koruma Otoritesi [ICO – Birleşik Krallık Bilgi Komiserliği Ofisi] (Komiser) 2018 Tarihli Veri Koruma Yasası’nın (DPA) 155. maddesi uyarınca; Mermaids’e bir ceza ihbarnamesi tanzim etmeye karar vermiştir. Ceza ihbarnamesiyle birlikte; Komiser 2016 Tarihli Genel Veri Koruma Tüzüğü’nün (GDPR) 83. Maddesinde düzenlenen yetkilerine uygun olarak Mermaids’i 25.000 Pound idari para cezasına mahkûm eder.
  3. Bu ceza, 25 Mayıs 2018 ile 14 Haziran 2019 tarihleri arasında Mermaids’in, dahili e-posta sistemlerine uygun seviyede idari ve teknik güvenliği sağlayamaması nedeniyle bir kısmı çocuklarla ilgili veriler ve/veya bir kısmı ise hassas veriler olmak üzere kişisel veri içeren belge veya e-postaların, internet arama motoru aracılığıyla üçüncü şahıslar tarafından çevrimiçi olarak aranabilir ve görüntülenebilir olmasına neden olmasının GDPR’ın 5(l)(f), 32(1) ve (2). maddelerinin ihlaline yol açması sebebiyle tanzim edilmiştir. Net olarak ifade etmek gerekirse; 25 Mayıs 2018 Birleşik Krallık (UK) dahil GDPR’ın tüm üye devletlerde yürürlüğe girdiği tarihtir. 14 Haziran 2019 ise veri sorumlusunun söz konusu e-posta grubunun güvenliğini sağlamak için adım attığı tarihtir.
  4. Bu idari para cezası ihbarnamesi, ceza verme gerekçeleri ve ceza tutarı da dahil olmak üzere Komiser’in kararını açıklamaktadır.

Para Cezası İhbarnamesinin Yasal Çerçevesi

Veri Sorumlusunun Yükümlülükleri

  1. Mermaids, kişisel verilerin işlenme amaçlarını ve araçlarını (GDPR madde 4(7)) belirlediği için GDPR ve DPA uyarınca bir veri sorumlusudur.
  2. ‘Kişisel veri’, GDPR’ın 4(1) maddesinde şu şekilde tanımlanmıştır:

Belirli veya belirlenebilir bir gerçek kişiye ilişkin bilgidir (‘ilgili kişi’); Belirlenebilir bir gerçek kişi; bir isim, kimlik numarası, konum verisi, çevrimiçi bir tanımlayıcı gibi ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak belirlenebilen kişidir.

  1. İşleme’, GDPR’ın 4(2) maddesinde şu şekilde tanımlanmıştır:

Otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, aktarma yoluyla açıklama, yayma veya başka bir şekilde kullanılabilir kılma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisidir.

  1. GDPR’ın 9. maddesi, belirli koşullar sağlanmadıkça özel nitelikli kişisel verilerin işlenmesini yasaklamaktadır. maddedeki özel nitelikli kişisel veri kategorileri, ‘sağlıkla ilgili veriler veya gerçek bir kişinin cinsel hayatı veya cinsel yönelimiyle ilgili verileri’ de içerir.
  2. GDPR ve DPA’de belirtildiği üzere veri sorumluları, kişisel verilerin işlenmesiyle ilgili çeşitli yükümlülüklere tabidir. Veri sorumluları; GDPR’ın 5(1) maddesi uyarınca, 5(2) maddesinde belirtilen veri işleme ilkelerine uymakla yükümlüdürler.
  3. Veri sorumluları, özellikle veri işleme faaliyetlerinin güvenli olmasını sağlamak ve bunun için uygun idari ve teknik tedbirleri almalıdırlar. Madde 5(l)(f) şunu şart koşmaktadır:

Kişisel veriler [… ] uygun idari veya teknik tedbirler kullanılarak yetkisiz veya kanuna aykırı işlemlere ve kazara kayıp, imha veya hasara karşı koruma da dahil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde işlenir.

  1. Madde, (Veri işleme faaliyetinin güvenliği) ilgili kısımda şunları şart koşar:
  2. Veri sorumlusu ve veri işleyen, son teknoloji, uygulama maliyetleri ve işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlükleri açısından söz konusu olan değişen olasılık ve şiddette riskleri dikkate alarak, riske uygun bir güvenlik seviyesi sağlamak için uygun idari ve teknik tedbirleri, aşağıdakiler de dahil olmak üzere uygun olduğu ölçüde uygular:

(a) takma ad kullanımı (pseudonymisation) ve kişisel verilerin şifrelenmesi;

(b) veri işleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak sağlanması;

(c) fiziksel veya teknik bir olay meydana gelmesi halinde, kişisel verilerin elverişliliği ile kişisel verilere erişimin vakitlice eski haline getirilebilmesi;

(d) işleme faaliyetinin güvenliliğinin sağlanması adına idari ve teknik tedbirlerin etkinliğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin bir süreç.

  1. Uygun güvenlik seviyesi değerlendirilirken, iletilen, saklanan veya işlenen kişisel verilerin kazara veya kanuna aykırı olarak imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim başta olmak üzere özellikle işleme faaliyetinin yol açtığı riskler göz önünde bulundurulur.

Komiser’in Yaptırım Yetkileri

  1. GDPR’ın 51. maddesinde öngörüldüğü üzere; Komiser, Birleşik Krallık için denetim makamıdır.
  2. GDPR’ın 57(1). maddesi uyarınca Komiser’in görevi; GDPR’ın uygulanmasını izlemek ve uygulanmasını sağlamaktır.
  3. GDPR’ın 58(2)(d). maddesi uyarınca Komiser; ileri sürülen GDPR ihlali iddiasını veri sorumlusuna bildirme yetkisine sahiptir. Komiser, GDPR’ın 58(2)(i) maddesi uyarınca her bir münferit olayın koşullarına bağlı olarak, GDPR’ın 58(2). maddesinde belirtilen diğer düzeltici önlemlere ek olarak veya bunların yerine, 83. madde uyarınca idari para cezasına verme yetkisine de sahiptir.
  4. Madde 83(1) uyarına Komiser’in, her bir münferit olayda 83. madde uyarınca tanzim edilen idari para cezalarının etkili, ölçülü ve caydırıcı olmasını sağlaması gerekmektedir. Madde 83(2) şu şekilde devam etmektedir:

Her münferit durumda bir idari para cezası kesilip kesilmeyeceğine ve idari para cezasının tutarına karar verilirken, aşağıdaki hususlar dikkate alınacaktır:

(a) ilgili işleme faaliyetinin niteliği, kapsamı veya amacı dikkate alınarak ihlalin niteliği, ağırlığı ve süresinin yanı sıra etkilenen ilgili kişilerin sayısı, ilgili kişilerin uğradığı zarar düzeyi;

(b) İhlalin ihmalen veya kasıtlı gerçekleştirilmesi,

(c) ilgili kişinin uğradığı zararın azaltılması adına veri sorumlusu ya da veri işleyen tarafından gerçekleştirilen herhangi bir işlem;

(d) 25 ve 32. maddeler uyarınca uyguladıkları idari ve teknik tedbirler dikkate alınarak veri sorumlusunun ve veri işleyenin sorumluluk derecesi;

(e) veri sorumlusu veya veri işleyenin daha önceki ilgili herhangi bir ihlali,

(f) ihlalin düzeltilmesi ve ihlalin olası olumsuz etkilerinin azaltılması amacı ile denetim makamı ile gerçekleştirilen işbirliğinin derecesi;

(g) ihlalden etkilenen kişisel veri kategorileri;

(h) ihlalin denetim makamı tarafından ne şekilde öğrenildiği, özellikle veri sorumlusu veya veri işleyenin ihlali bildirip bildirmediği ve bildirdiyse bildirimin kapsamı;

(i) daha önce ilgili veri sorumlusu veya veri işleyene 58(2) maddesinde belirtilen tedbirlere uyması yönünde talimat verilmişse, bu tedbirlere uyumu;

(j) 40. madde uyarınca onaylanmış davranış kurallarına veya 42. madde uyarınca onaylanmış sertifikalandırma mekanizmalarına bağlılık; ve

(k) ihlal nedeniyle doğrudan veya dolaylı olarak elde edilen maddi menfaatler veya kaçınılan zararlar gibi durumun özellikleri açısından geçerli diğer ağırlaştırıcı veya hafifletici faktörler.

  1. 2018 Tarihli Veri Koruma Yasası’nın 6. kısmında Komiser tarafından uygulanabilir yaptırımların şartlarını düzenlenmektedir. DPA’nın 155. Maddesinde (Ceza İhbarnameleri) yer alan şartlar şunlardır:

(1) Şayet Komiser bir kişinin –

(a) 149(2). Maddesinde belirtilen hususları ihlal ettiğine ya da ediyor olduğuna kanaat getirirse, (…)

Komiser, yazılı bildirimde (“bir ceza ihbarnamesi”) bulunarak kişinin ihbarnamede belirtilen sterlin cinsinden tutarın ödemesini isteyebilir.

(2) Komiser, (4) nolu bent doğrultusunda bir kişiye ceza verilip verilmeyeceğini ve cezanın tutarını belirlerken, ilgili olduğu ölçüde aşağıdaki hususları göz önünde bulundurmalıdır:

(a) İhbarnamenin GDPR’ın uygulandığı bir konu ile ilgili olduğu ölçüde GDPR madde 83(1) ve (2)’de listelenen hususlar.

  1. 2018 Tarihli Veri Koruma Yasası’nın 149 (2). Maddesinde tanımlanan ihlaller, ilgili olduğu ölçüde aşağıdaki gibidir:

(2) İlk ihlal türü, bir veri sorumlusu veya veri işleyenin aşağıdakilerden herhangi birine uymadığı veya uymuyor olması durumdur:

(a) GDPR’ın II. bölümünün veya bu Kanunun 3. kısmının 2. bölümü veya 4. kısmının 2. bölümünün bir hükmü (veri işleme ilkeleri);

 (…)

(c) GDPR’ın 25 ila 39. maddeleri veya bu Kanunun 64 veya 65. maddelerinin bir hükmü (veri sorumlusunun veya veri işleyenin yükümlülükleri) […]

Olayın Arka Planındaki Gerçekler

  1. Mermaids’in geçmişi, çocukları cinsiyet uyuşmazlığı yaşayan ebeveynler tarafından oluşturulan bir ebeveyn destek grubuna uzanmaktadır. Bu destek grubu, yardım kuruluşlarının kayıtlarını tutmak amacıyla oluşturulan Komiserliğe (“Charity Commisioner”) 1999 yılında tescil edilmiştir. Mermaids, 2015 yılında tescilli bir yardım derneği olarak tüzel kişilik kazanmış, çocuklara, gençlere ve ailelerine cinsiyet uyumsuzluğu konusunda destek sunmaktadır.
  2. 15 Ağustos 2016 tarihi, bahse konu ihbarnamede belirtilen ihlallerle ilgili e-posta grubunun oluşturulduğu tarihtir ve belirtilen tarihte Mermaids’in ücret alan tek çalışanı, İcra Kurulu Başkanı (CEO)’dır. 14 Haziran 2019’da yardım derneğinin bir hizmet kullanıcısı, kişisel veri içeren dahili e-postalarının çevrimiçi olarak herkese açık olduğu konusunda Mermaids’i bilgilendirmiştir. Mermaids, aynı günün ilerleyen saatlerinde endişelerini bildirmek üzere Komiser ile iletişime geçmiştir. 17 Haziran 2019’da CEO, yeni durumları iletmek için Komiser’e telefon etmiş ve Komiser’e Mermaids’in attığı düzeltici adımların ayrıntılarını içeren bir e-posta göndermiştir.

GDPR’ın 5(1)(f), 32(1)(2). Maddelerine Aykırılıklar

  1. Komiser, e-posta grubu içerisinde Mermaids tarafından işlenen e-postaların GDPR’ın (5)(1)(f) maddesi gereğince bütünlük ve gizlilik ilkeleri uyarınca uygun düzeyde sınırlı erişim ayarları uygulanmaksızın işlendiğine kanaat getirmiştir. Zira uygun güvenli erişim ayarları uygulansaydı, erişim yalnızca onaylanmış grup üyeleri ile sınırlı olacaktı ve üçüncü kişiler, 25 Mayıs 2018 ile 14 Haziran 2019 tarihleri arasında kişisel verileri – kimileri çocukların kişisel verilerini ve/veya özel nitelikli kişisel verileri- ihtiva eden e-postalara internet vasıtasıyla yetkisiz şekilde erişemeyecekti. Net olarak ifade etmek gerekirse; 25 Mayıs 2018’te GDPR, Birleşik Krallık (UK) dahil tüm üye devletlerde yürürlüğe girmiştir. Veri sorumlusu ise daha sonrasında yani 14 Haziran 2019 tarihinde söz konusu e-posta grubunun güvenliğini sağlamak için gereken adımları atmıştır.
  2. Komiser, GDPR’ın 32(1) ve (2) maddelerin gereğince kişisel veri işlerken riske uygun güvenlik seviyesinin uygulanması gerekliliğini göz önünde tutarak, 25 Mayıs 2018 ile 14 Haziran 2019 arasındaki dönemde Mermaids’in, kişisel veriler için uygun güvenliği sağlayacak yeterli önlemleri almadığına karar vermiştir. E-posta grubuna uygun kısıtlı erişim ayarları yapılmadığından özel nitelikli kişisel verilerin de aralarında olduğu kişisel veriler üçüncü kişilerce erişilebilir hale gelmiştir. Oysa kişisel verilerin korunmasında hangi verinin ekstra bir güvenliğe ihtiyaç duyduğu tespit edilip ilgili verinin takma adlaştırılması (pseudonymisation) ya da şifrelenmesi Mermaid’s tarafından değerlendirilmeliydi. Böyle bir adım atılması, Mermaids’in kurumsal hafızasının 21 Haziran 2017’de kullanımı durdurulan ve atıl hale gelen e-posta grubunun varlığını açıklayamaması nedeniyle e-postaların risk doğurma olasılığını da Şüpheye mahal vermemek adına Komiser; ihlalin içeriği ve ciddiyetinin, gazeteci veya üçüncü kişilerin verilere kazara mı yoksa başkaca bir olasılık dahilinde mi ulaştığına dair soruların cevaplanmamış olmasından etkilenmediğini, uzak bir ihtimal olsa da üçüncü kişilerin, detaylı ve sıra dışı bir söz dizimsel [çevrimiçi] arama yaparak bilgiye ulaşmak amacıyla hareket ettiği sonucuna varmıştır. Komiser ayrıca diğer üçüncü kişi veya kişilerin verilere ne ölçüde eriştiğine dair cevaplanmayan soruların da ihlalin niteliğini etkilemediğine kanaat getirmiştir.
  3. 25 Mayıs 2018 ve 14 Haziran 2019 arasında Mermaids tarafından gerçekleştirilen ihlaller, özel nitelikli kategori verileri ve/veya bağlamına göre hassas veriyi içermektedir. Bu kişisel verilerin birçoğu çocuklara ve/veya savunmasız kişilere ait olan verilerdir. Somut olay, 550 ilgili kişiyi yani büyük bir grubu kapsamaktadır. İlgili bağlamda verileri hassas nitelikte olan çocuk ve/veya savunmasız kişiler ise yaklaşık 24 kişidir. Temsil süreçlerinde verileri hassas nitelikte olan çocuk ve/veya savunmasız kişilere ait yaklaşık 24 kişiden, 15‘ine ait özel nitelikli kişisel verilerinin erişilebilir olduğu teyit edilmiştir. Üçüncü kişiler tarafından erişilebilen verilerin hassas doğası, özel nitelikli veri kategorisinde olsun ya da olmasın, ihlallerin ilgili kişi için mutlaka büyük bir zarar ve/veya üzüntüye neden olacağı anlamına gelmektedir. Komiser, 15 Ağustos 2016 (yani, e-posta grubunun oluşturulduğu tarih) ile 25 Mayıs 2018 [GDPR’ın yürürlüğe girdiği tarih] arasında meydana gelmiş olabilecek herhangi bir aykırılığı dikkate almamış ancak ihlalin ilk olarak nasıl ortaya çıktığını ve devam ettiğini de göz önünde bulundurmuştur. Komiser, ihlallerin ihmalden kaynaklandığını düşünmektedir.

Niyet Bildirimi

  1. 19 Mart 2021 tarihinde Komiser, 2018 Tarihli Veri Koruma Yasası’nın 155(5). Maddesi ile 16 No’lu Çizelgenin 2. ve 3. Maddeleri doğrultusunda ceza vermek amacıyla Mermaids’e bir niyet bildirimi gönderdi. Niyet bildiriminde söz konusu kişisel verilerin koşullarını ve mahiyeti ile önerilen cezaya dair Komiser’in gerekçelerini açıklanmış olup, Mermaids’in yazılı beyanı talep edilmiştir.
  2. 20 Nisan 2021 tarihinde Mermaids, dayanak belgelerle birlikte bildirime karşı yazılı açıklamalarını sunmuştur.
  3. 17 Mayıs 2021 tarihinde Komiser, Mermaids tarafından yapılan açıklamaları değerlendirmek üzere “temsil toplantısı” düzenlemiştir.

Cezanın ölçülü olup olmadığına dair faktörler, ölçülü ise para cezası miktarı

  1. Komiser, para cezası verip vermeyeceğine karar verirken GDPR’ın 83(2) maddesinde belirtilen faktörleri göz önünde bulundurmuştur. Aşağıda belirtilen nedenlerle Komiser, (i) düzeltici yetkilerini kullanmasının yanı sıra ihlallerin, bir para cezası verilmesini haklı kılacak kadar ciddi olduğuna ve (ii) önemli bir para cezasına hükmedilmesini haklı çıkaracak kadar da ciddiyetini koruduğuna kanaat getirmiştir.
  2. Komiser, para cezası miktarında aşağıdaki unsurları dikkate almıştır: Mermaids’in toplam geliri, 31 Mart 2018[1] tarihinde 317.580 Sterlin’den 31 Mart 2019 tarihinde 715.330 Sterlin’e, 31 Mart 2020 tarihinde ise 902.440 Sterlin’e yükselmiştir. Komiser, cezanın etkili, orantılı ve caydırıcı olması gerektiğinin farkındadır.

(a) İlgili veri işlemenin niteliği, kapsamı veya amacının yanı sıra etkilenen ilgili kişi sayısı ve bu kişilerin maruz kaldığı zarar düzeyi dikkate alınarak ihlalin mahiyeti, ciddiyeti ve süresi

  1. İhlalin Mahiyeti: CEO, üçüncü bir kişi tarafından denetlenen Amerika Birleşik Devletleri (ABD) merkezli https://groups.io adresin üzerinden internet tabanlı bir e-posta grubu kurmuştur. CEO, e-postaların bilhassa CEO ve 12 mütevelli heyeti üyesi arasında paylaşılabilmesi amacıyla Generalinfo@Groups’u oluşturmuştur. Grubun kurulmasına dair kayıtların bulunmaması ve o sırada göz önünde bulundurulan kontroller, grubun nasıl kurulduğu ve dolayısıyla olayın nasıl ortaya çıktığını tam olarak belirlemenin imkansız olduğu anlamına gelmektedir. CEO, e-postaların genel bir tartışmayı kolaylaştırmak için kasıtlı olarak mı erişilebilir şekilde bırakıldığını yoksa bir dikkatsizlik sonucunda mı daha güvenli bir seçenek tercih edilmeyip varsayılan güvenlik ayarları ile devam edildiğini hatırlayamamaktadır. Ancak Mermaids, e-postaların erişilebilir olduğu fark ettikten sonra internet tabanlı hizmet sağlayıcısı olan Groups.IO’da varsayılan güvenlik ve gizlilik ayarlarını değiştirmiştir ki bu ayar “Dizinde listelenen grup, mesajlar herkes tarafından görüntülenebilir” şeklinde güvenli ve uygun olmayan bir ayardır. E-posta hizmeti tarafından kullanıcılara sunulan alternatif ayarlar ise “Dizinde listelenmeyen grup, mesajlar herkes tarafından görüntülenebilir”, “dizinde listelenen grup, özel mesajlar” ve “dizinde listelenmeyen grup, özel mesajlar” şeklindedir ki bunların seçilmesi halinde daha uygun güvenlik ayarları sağlanmış olacaktı.
  2. İnternet tabanlı e-posta grup hizmeti olan Groups.IO, 15 Ağustos 2016 tarihinden 21 Temmuz 2017 tarihine kadar Mermaids tarafından aktif olarak kullanılmıştır. Bu e-posta grubunun kullanılması bırakılmasına rağmen e-postalar saklanmaya devam edilmiştir. Mermaids’in uygun güvenlik ayarlarını yapmaktaki başarısızlığı e-posta grubunun, Groups. IO arama dizininde listelenmesi ve Google gibi büyük arama motorlarında indekslenmesi anlamına gelmiştir. Yöneticiler arasındaki haberleşmeye ilaveten e-postalar arasında Mermaids hizmeti kullanıcılarından gelen bazı e-postaların iletildiği e-postalar da bulunmaktadır. Mermaids, dahili e-posta sistemlerinin uygun seviyede güvenliğini sağlayacak önlemleri almakta başarısız olmuştur ki bu da çocuklarla ilgili ve/veya bazı durumlarda özel nitelikli veriler de dahil olmak üzere kişisel veri içeren belge veya e-postaların, internet arama motoru aracılığıyla üçüncü şahıslar tarafından çevrimiçi olarak aranabilir ve görüntülenebilir olmasına neden olmuştur. [O sıralarda] Mermaids, uygun düzeyde güvenlik seviyesi uygulamadığından veya hizmet kullanıcılarının kişisel verilerinin üçüncü kişiler tarafından çevrimiçi olarak aranabilir ve görüntülenebilir olduğundan habersizdi.
  3. IO hizmetindeki son e-posta, 21 Temmuz 2017’de gönderilmiştir. Ancak Haziran 2019’da düzeltici önlemler alınıncaya değin, e-posta grubu Groups.IO web sitesinde varlığını devam ettirmiş ve e-postalar herkese görünür şekilde kalmıştır.
  4. 14 Haziran 2019’da cinsiyet uyumsuzluğu yaşayan bir çocuğun annesi olan ve dernekten hizmet alan bir kişi, CEO’ya bilgi vermiş ve Sunday Times’tan bir gazeteci tarafından arandığını ve kişisel verilerinin çevrimiçi olarak görüntülenebildiğinin kendisine söylendiğini iletmiştir. Söz konusu gazeteci, yaptığı aramada, çevrimiçi olarak arama yapmak suretiyle çocuğunun mevcut ismi, çocuğun nüfusa kayıtlı önceki ismi, doğum tarihi, annenin kızlık soyadı ve evlilik soyadı, kadının işvereninin adresi ve cep telefonu numarası, çocuğunun zihinsel ve fiziksel sağlığının ayrıntılarının bulunduğu gizli e-postaların görülebileceği konusunda ebeveynleri bilgilendirmiştir. Aynı gün Mermaids, e-postaların çevrimiçi olarak erişilebilir olduğu ve gazetenin olayla ilgili bir yazı yayımlayacağı hususunda Sunday Times’tan yayın öncesi bildirim almıştır. Mermaids’in olayla ilgili gazete haberi yayımlanmadan evvel e-posta sitesine erişimi engellemek için acil önlemler aldığı anlaşılmaktadır.
  5. İhlalin Ağırlığı: Cinsiyet uyumsuzluğu konusu, hala birçok eleştirmen ve toplum üyesi tarafından tartışılmaktadır. Bir çocuğun veya yetişkinin cinsiyet uyumsuzluğu yaşayabileceği gerçeği, kırılganlığının artmasına yol açabilecek hassas bir konudur. Komiser, ilgili kişinin kırılganlığındaki olası bir artışın, bir kişinin cinsiyet uyumsuzluğuna dair destek veya bilgi aradığını ortaya döken herhangi bir veri ihlali yaşanması halinde, ilgili kişinin zarara uğrama ve sıkıntı yaşama riskini daha da arttırdığı görüşündedir. Komiser bu kapsamda, cinsiyet uyumsuzluğunun hassas veri olduğu görüşündedir. Hükümet, 2018 Temmuz ve Ekim ayları arasında cinsiyet uyumsuzluğu hususunda kamuoyunun büyük kısmının ilgisi çeken ve tartışmalara neden olan 2004 Tarihli Cinsiyet Tanıma Yasası reformuna dair müzakere yürütmüştür. Cinsiyet değiştiren kişilerin haklarını destekleyen gruplar ve cinsiyet uyumsuzluğu yaşayan kişilerin, önyargı, taciz, fiziksel istismar veya nefret suçu yaşama riski [diğer kişilere göre] daha yüksek olabilir. 15 Ekim 2019’da yayımlanan İçişleri Bakanlığı Nefret Suçu raporuna göre[2], her ne kadar transseksüel kimliğe karşı işlenen suçlar nefret suçları arasında en az işlenenler olsa da, bu oran 2018 yılında [bir önceki yıla göre] %37 artmıştır. 2018-2019 yılları arasında gerçekleşen [diğer nefret suçları ile karşılaştırıldığında] görece az sayıdaki 2,333 adet transseksül kimliğe karşı nefret suçundaki bu önemli artışın polisin bu türden suçları tespit etme ve kayıt altına almak konusunda gösterdiği gelişmelere bağlı olarak daha fazla insanın suçları ihbar etmesi ve transseksüel nefret suçlarındaki gerçek bir artıştan kaynaklanıyor olabilir. Komiser, etkilenen ilgili kişilere verilebilecek olası zararları değerlendirirken bu tür riskleri de göz önünde bulundurmuştur.
  6. E-postalar, 15 kişiye yönelik olarak zihinsel ve fiziksel sağlığının ve/veya cinsel yaşamının ve/veya cinsel yöneliminin detayları gibi özel nitelikli kişisel verileri içermektedir. Buna ek olarak 9 kişiye ait veriler de bu bağlamda hassas veri kategorisinde sınıflandırılabilmektedir. Bahse konu 24 kişiden 4’ü, Haziran 2019’da 13 yaşında veya altında olduğuna göre bu kişilerin, 25 Mayıs 2018 ile 14 Haziran 2019 arasındaki dönemde 12 yaşında veya daha küçük olması gerekmektedir.
  7. (Bu kısım orijinal karar metinde karartılmıştır.)
  8. İhlalin Süresi: Komiser, kesin bir ihlal süresi tespit edememiştir. Buna rağmen verilerin bazılarının eskiliği dikkate alındığında, ihlalin en azından 25 Mayıs 2018 tarihinden bu yana cereyan ettiğine kanaat getirmiştir. Bu tarihten önce, önceki veri koruma rejimi kapsamında değerlendirilebilecek herhangi bir aykırılığı dikkate almamıştır. Komiser, Mermaids’in ilgili ihlali, GDPR’ın yürürlüğe girdiği 25 Mayıs 2018 tarihinden, sorunların giderildiği 14 Haziran 2019 tarihine kadar gerçekleştirdiğine karar vermiştir.
  9. Etkilenen ilgili kişi sayısı: Komiser, 550 kişiye ait ad, e-posta adresi, unvan, işveren unvanı gibi kişisel veriler ile cinsiyet uyumsuzluğuna ilişkin hassas veriler içeren yaklaşık 780 sayfa gizli e-postanın çevrimiçi olarak [herkese] görünür olduğunu tespit etmiştir.
  10. Zarar: İnternet üzerinden ifşa edilen verilere, Sunday Times’ta çalışan gazeteci dışında üçüncü kişilerin erişip erişmediği tespit edilememiştir. Bir anne ve bir çocuk olmak üzere iki ilgili kişi, ihlale dair Mermaids hakkında şikâyette bulunmuştur. Komiser ayrıca iki şikâyet daha almıştır.
  11. Şikayette Ağustos 2016’dan 14 Haziran 2019’a kadar 550 adet e-postanın çevrimiçi olarak erişilebilir olduğu ve görüntülenebildiği bildirilmiştir. Söz konusu e-postalar; isim, e-posta adresi, iş unvanı, işverenin adı gibi bireyleri tanımlayan ve onların transseksüel hayır kurumuyla olan bağlantılarını ortaya koyan kişisel verileri içermektedir. Buradan, grupta e-posta adresleri bulunan kişilerin, transseksüel bir hayır kurumu olan Mermaids kullanıcısı olduğu, verilerinin bağlam açısından hassas veri olacağı çıkarımı yapılabilmektedir. E-posta ileti dizilerinin çoğu, örneğin bağış toplama, konferanslara katılım ayarlama ve zorbalıkla mücadele hakkında tavsiyeler gibi genel tartışmaları içermektedir ve ilgili kişiler, [yazışmalarda] Mermaids ile olan bağlantılarını gizlememiştir. Mermaids tarafından; CEO, paydaşlar ve Mermaids hizmet kullanıcıları arasında, transseksüellerin sorunları, nasıl hissettikleri ve deneyimleriyle ne şekilde başa çıktıkları hakkında gerçekleştirdikleri tartışmalar gibi hassas ayrıntılar içeren 24 adet e-postanın daha yüksek riskli olduğu belirlenmiştir. Bu e-postalardan 4’ü, Haziran 2019 itibariyle 13 yaş ve altı olan ilgili kişilere ilişkindir. [Bilindiği gibi] GDPR’ın yürürlüğe girmesiyle, çocuklara, kendi verileriyle ilgili daha fazla koruma sağlanmalıdır.

Herhangi birisi e-posta grubuna çevrimiçi olarak erişmiş olsaydı, kişinin seçim hakkını ortadan kaldırarak ve dolayısıyla da mahremiyetini ihlal ederek ilgili kişinin cinsel tercihinin herkes tarafından öğrenilmesi bakımından yeterli miktarda tanımlayıcı veriye erişmiş olacaktı.

  1. Trans bireylere destek sunan bir kuruluş olan Mermaids tarafından verilen hizmetlerin doğası gereği, ICO onlardan hizmet kullanıcılarını ve bu kişilerin kişisel verilerini korumaları için sıkı güvenlik önlemleri almalarını beklemiştir. Mermaids; mütevelli heyeti eski üyelerinden iki tane, hizmet kullanıcılarından da iki tane olmak üzere toplam dört şikâyet almıştır. Tüm şikayetler çözüme kavuşturumuştur. (Bu kısım orijinal metinde karartılmıştır.)

(b) İhlalin ihmalen veya kasten gerçekleştirilmesi

  1. 25 Mayıs 2018 itibariyle, Mermaids köklü bir hayır kuruluşudur ve özellikle bazı hallerde savunmasız çocuklar ve/veya savunmasız yetişkinlerle ilgili ve/veya özel kategori verileri ve/veya verilerin önemli bir bölümünü içermesi bağlamında ele alındığında bu hassas kişisel verilerin korunmasını sağlamak için uygun önlemleri almış olmalıdır 25 Mayıs 2018 ve 14 Haziran 2019 tarihleri arasındaki dönemde, Mermaids’in kişisel verilere yaklaşımında ihmali bir yaklaşım söz konusudur, veri koruma politikaları yetersizdir ve kişisel verilerin korunmasına dair yüz yüze eğitim eksikliği dahil olmak üzere bir eğitim eksikliği vardır. GDPR’ın yürürlüğe girmesinden sonra, uyumu sağlamak adına Mermaids’in veri koruma politikaları güncellenmemiştir. Özellikle Mermaids tarafından kontrol edilen veya işlenen kişisel verilerin özel kategori verilerini ve / veya bağlamında hassas olan kişisel verileri içerme olasılığı da göz önüne alındığında, bu hayır kurumunun hizmetlerini kullanmış olan veya kullanmakta olan genç ve / veya savunmasız ilgili kişileri korumak için tedbirler almış olması gerekmektedir.
  2. Komiser, CEO’nun e-posta grubunu sehven en düşük güvenlik ayarlarıyla kurması, bir ihmal unsuru teşkil etmesine rağmen gerçekleşen ihlallerin kasıtlı olmadığı görüşündedir. Bunu destekleyen bulgu ise hayır kuruluşu ile bağlantısı olan herhangi bir kişinin değil de CEO’nun e-posta grubunu doğru şekilde kapatmaması ve böylece atıl da olsa erişilebilir durumda bırakmış olmasıdır.

(c) Veri sorumlusu veya veri işleyen tarafından ilgili kişilerin maruz kaldığı zararın azaltılmasına yönelik alınan tedbirler

  1. Mermaids, bir hizmet kullanıcısından e-posta grubunun erişilebilir olduğuna dair bildirimini alır almaz derhal, bu e-posta grubunu kapatmıştır ve toplanan verilerin herhangi bir arşiv/web sitesinden de kaldırıldığından emin olmak için orantılı tedbirler almıştır.
  2. (Bu kısım orijinal metinde karartılmıştır.)

(d) 25 ve 32. maddeler uyarınca uygulanan idari ve teknik önlemler doğrultusunda veri sorumlusunun veya işleyicinin sorumluluk derecesi

  1. Tüm Mermaids personeli ve gönüllüleri, Aralık 2018’de yıllık olarak güncellenen zorunlu veri koruma eğitimini olmasına rağmen e-posta sisteminin güvenli olmayan bir şekilde çalıştığı süre boyunca devam eden ihlaller Mermaids’teki kimse tarafından tespit edilmemiştir. Bu da söz konusu eğitimin yetersiz ve/veya etkisiz olduğunu göstermektedir.
  2. Mermaids’in CEO’su, e-posta grubunu en düşük güvenlik ayarlarıyla oluşturmuştur. E-posta grubu 2016 yılında, 1998 tarihli Veri Koruma Yasası kapsamında olacak şekilde oluşturulmuş olsa da 2016 yılında oluşturulurken kullanılan ayarlarla Haziran 2019 tarihine kadar canlı ve erişilebilir durumda kalmıştır. Ayarların güvenlik düzeyi en düşük seviyededir, e-posta grubuna erişim izni vermektedir ve e-postaların içeriği çevrimiçi olarak görüntülenebilir durumdadır. E-posta grubunun kullanımı sona erdiğinde, grubun nasıl oluşturulduğunu veya kullanımdan kaldırıldığını gösteren net bir belge bulunmamaktadır. E-posta grubu atıl kaldığı halde erişilebilir durumda ve unutulmuş görünmektedir.
  3. Oysa GDPR’ın yürürlüğe girmesi ile veri koruma mevzuatındaki değişikliklere ek olarak, 2004 Tarihli Cinsiyet Tanıma Yasası’na (GRA) ilişkin hükümet istişareleri ve cinsiyet uyumsuzluğu konusundaki kamuoyu tartışmaları, Mermaids’i, bireylerin mahremiyet haklarını koruyan uygun tedbirlerin alındığından emin olmak adına politikalarını ve prosedürlerini yeniden gözden geçirmeye teşvik etmeliydi.

(e) Veri sorumlusu veya veri işleyen tarafından gerçekleştirilen ilgili önceki ihlaller

  1. ICO, Mermaids tarafından önceden gerçekleştirilmiş herhangi bir veri koruma ihlalinden haberdar değildir.

(f) İhlalin giderilmesi ve ihlalin olası olumsuz etkilerin hafifletilmesi için denetim makamı ile yapılan işbirliği derecesi

  1. Mermaids işbirlikçiydi ve soruları derhal yanıtladı. Olayı gözden geçirmek ve herhangi bir düzeltici faaliyeti denetlemek adına bir avukatı, bir de veri koruması danışmanı işe aldı. Mermaids ayrıca 14 Haziran 2019 tarihinde medya hukuku uzmanı bir hukuk bürosuna talimat verdi. Önceki mütevelli heyeti üyelerinden iki adet, hizmet kullanıcılarından da iki olmak üzere toplamda dört şikayet aldı ki şikayetlerin tamamı sonuçlandırıldı.
  2. Mermaids derhal Groups.IQ web sitesindeki ayarları, verilere artık üçüncü şahısların erişemeyeceği şekilde değiştirdi. Mermaids personeli, üçüncü şahıslar tarafından görüntülenebilir olan tüm e-postaları incelemeye başladı. Mermaids ayrıca 14 Haziran 2019’da ICO’ya kendini ihbar etti.
  3. 15 Haziran 2019 tarihinde (Bu kısım orijinal metinde karartılmıştır). Aynı gün Sunday Times, 2016-2017 yılları arasında aktif olan ve çevrimiçi olarak görüntülenebilen IO platformunda, Mermaids’e ait 1.000 sayfalık gizli e-postanın mevcut olduğunu ve çevrimiçi olarak görüntülenebildiğini ileri süren çevrimiçi bir haber yayımladı. Aynı gün Mermaids, “hassas ilgili kişi” olarak kabul ettiği ve iletişim bilgilerine sahip olduğu bir dizi ilgili kişiye olayla ilgili bildirim yaptı. Ayrıca 15 Haziran 2019 tarihinde, Mermaids web sitesinde özür içeren bir basın açıklaması yayımladı. Aynı tarihte Mermaids, Yardım Komiserliğine ciddi risk teşkil eden bir olayın meydana geldiği konusunda bildirimde bulundu. Yine 15 Haziran 2019’da Mermaids, ilgili verilere üçüncü şahıslar tarafından ne zaman erişildiğini belirlemek amacıyla meta verileri almak için Groups.IO ile bağlantı kurdu. Groups.IO ise söz konusu meta verileri toplamadıklarını söyledi.
  4. 16 Haziran 2019’da Sunday Times bu konuya dikkat çeken bir haber yayınladı. Aynı tarihte, Mermaids tüm eski mütevelli heyeti üyelerini ve büyük fon sağlayıcılarını bilgilendirdi ve e-posta hizmetini daha güvenli bir e-posta platformuna taşımak için ilk adımları attı.
  5. Mermaids, 17 Haziran 2019 tarihinde bir veri koruması danışmanını görevlendirdi. Ayrıca aynı tarihte olayla ilgili Yardım Komiserliği’ne güncel bilgileri iletti.
  6. Mermaids, 18 Haziran 2019 tarihinde, verilerin arşivlenmiş veya önbelleğe alınmış çeşitli sürümlerinin çevrimiçi ortamda kaldığını öğrendi ve bu nedenle, yardım kuruluşunun avukatları Google’dan bunları kaldırmasını talep etti ve veriler derhal kaldırıldı. Verilerin Archive.Ii.’den kaldırılması yönünde de benzer adımlar atıldı. Aynı gün, Mermaids ICO’ya bir güncelleme yazısı yolladı.
  7. 19 Haziran 2019’da Mermaids, hizmet kullanıcıları tarafından talep edilen grup arşivleriyle ilgili bilgileri talep etmek için Groups.IQ ile bağlantı kurdu. Üç ilgili kişi daha Mermaids tarafından “hassas ilgili kişi” olarak tanımlandı. Mermaids Archive.Ii üzerinden verilere erişimin kaldırılması için çabalarını sürdürdü.
  8. 20 Haziran 2019’da bu ek üç “hassas ilgili kişi” olaydan haberdar edildi. Mermaids’in hukuk danışmanları, personel ile birlikte Mermaids’in mevcut veri sistemlerinde daha başka güvenlik açığı olup olmadığını inceledi. Aynı gün Mermaids, avukatlarına “hassas ilgili kişiler” ile bağlantı kurmaya başlamaları yönünde talimat verdi.
  9. 21 Haziran 2019’da Groups.IQ, loglarında konu ile alakalı herhangi bir bilgiyi tutmadıklarını doğruladı. Aynı gün, Mermaids, 27 Haziran 2019 tarihinde olayı incelemeye başlaması için bir bilgi teknolojisi güvenlik denetçisini görevlendirdi. (Bu kısım orijinal metinde karartılmıştır).
  10. 22 Haziran 2019’da (Bu kısım orijinal metinde karartılmıştır) Verilerin kaldırıldığını doğruladı. Mermaids’in avukatları atılan düzeltici adımları açıklamak ve etkilenen verilerinin birer kopyalarını vermek üzere tüm “hassas ilgili kişilerle” temasa geçti. Ayrıca Archive.li’ye verileri yüklenen ilgili kişilerden, onlar adına Archive.li’den verilerinin kaldırılması talebinde bulunabilmek amacıyla izin istendi. (Bu kısım orijinal metinde karartılmıştır).
  11. 24 Haziran 2019 ile 25 Haziran 2019 tarihleri arasında hukuk bürosu, Archive.li’den verileri kaldırmak için gereken tüm izinleri ilgili kişilerden topladı ve Archive.li’ye ve onun yer sağlayıcısına bir uyum ihtarnamesi yolladı ve bu rızaların bir kopyasını yerel veri koruma otoritelerine verdi. Mermaids, ihlalleri düzeltmek adına atılan adımları açıklamak ve mütevelli heyetini güncel gelişmelerden haberdar etmek için bir mütevelli toplantısı düzenledi, bu toplantıya dış hukuk danışmanları da katıldı.
  12. 26 Haziran 2019’da Mermaids, web sitesi mesajını Archive.li’ye atıfta bulunacak şekilde güncelledi.
  13. 27 Haziran 2019’da Mermaids tarafından iki ek “hassas ilgili kişi” daha belirlendi ve bu kişiler de atılan düzeltici adımların güncel durumu hakkında bilgilendirildi. Buna ek olarak ifşa olan kişisel verilerinin kopyaları kendilerine gönderildi. Aynı gün Mermaids, daha büyük bir ilgili kişi grubunun olaydan etkilendiğine dair uyarıldı. Daha sonra Mermaids’in talimatı üzerine, avukatlar çözüm için tüm adımların atıldığından emin olmak için çevrimiçi olarak erişilebilir hale gelen verileri inceledi. Mermaids, avukatları aracılığıyla ICO’ya durumu bildirdi ve ayrıca 21 Haziran 2019 tarihli mektubuna esaslı bir yanıt vermek adına Sunday Times’ın peşine düştü.
  14. 28 Haziran 2019’da Mermaids’in avukatları, ilgili web sayfalarının kaldırıldığını teyit etmek için verileri Archive.li’ye yüklenen “hassas ilgili kişileri” bilgilendirdi. Ayrıca Groups.IQ’dan verilere herhangi bir üçüncü kişi tarafından erişimin olup olmadığını ve varsa da bunun kapsamı hakkında bilgi verilmesini talep etti, aynı zamanda verileri incelemeye de devam etti. Bu konuda atılan düzeltici adımları hakkında ICO’ya güncel bilgilendirmeler yaptı.
  15. 25 Temmuz 2019 tarihinde CEO, ihlallere yanıt olarak harici bir eğitmenden yarım günlük bir veri koruma eğitimi aldı.
  16. ICO, GDPR ile uyumlu olduklarından emin olmak için Mermaids tarafından atanan uzman veri danışmanının, Mermaids’in tüm veri sistemlerini ve politikalarını gözden geçirdiğini ve Mermaids’in atadığı danışmanın vereceği tüm tavsiyelerini uygulamayı taahhüt ettiğini anlamaktadır. ICO, ihlalin münferit bir olay olarak tanımlandığını ve inceleme sırasında daha geniş bir sorun tespit edilmediğini de anlamaktadır. Ayrıca, Mermaids’in tüm politikalarının artık GDPR’ye uyacak şekilde güncellendiği ve yine Mermaids’in tüm veri koruma politikalarını, tüm personel ve gönüllüler tarafından kolayca erişilebilecekleri tek bir yer olarak intranet üzerine koymayı taahhüt ettiği de görülmektedir. Dahası, uzman bir danışman tarafından Haziran -Temmuz 2019 arasında üç haftalık bir süre boyunca, Mermaids’teki güvenlik ve erişim kontrollerini gözden geçirmek adına tüm sistemlerin ve süreçlerin gözden geçirilmesini içeren bir güvenlik değerlendirmesi yapılmış, önerilerde bulunulmuş, uygulama kararlaştırılmış ve daha sonra da bu tavsiyeler Mermaids tarafından güvenliği ve mahremiyeti güçlendirmek için uygulanmıştır.

(g) İhlalden etkilenen kişisel veri kategorileri

  1. Bu veri kategorileri, çocuklar da dahil olmak üzere, bireylerin kimliklerinin belirlenmesine olanak sağlayan bilgileri içermektedir. Bu kategoriler duruma göre değişkenlik göstermektedir. Örneğin bireylerin cinsiyet uyuşmazlığı bağlamında hassas veri olarak tanımlanırken, sağlığa ilişkin verileri ise özel nitelikli veri kapsamındadır.
  2. E-posta adresleri, tamamı Mermaids ile bir şekilde temas halinde olan 550 kişinin kimliğini ortaya koymuştur. Mermaids tarafından verilen hizmetlerin doğası gereği, bu bireylere ait bazı veriler özel nitelikli veri olarak tanımlanabilir. Mermaids tarafından; CEO, paydaşlar ve Mermaids’ten hizmet alanlar arasında, transseksüellerin sorunları ve ilgili kişilerin nasıl hissettikleri, deneyimleriyle nasıl başa çıktıkları hakkında gerçekleştirdikleri tartışmalar gibi hassas ayrıntılar içeren 24 e-postanın daha yüksek riskli olduğu belirlenmiştir. Bu 24 kişinin 15’inin verileri özel veri kategorisi kapsamındadır ve erişime açıktır. Bazı e-postalar bir cinsiyet kimliği kliniği işleten Tavistock ve Portman NHS Foundation Trust ile bilgi alışverişini göstermektedir. Bu e-postalar gizli sağlık bilgileri içeriyordu. Bu 24 adet ilgili kişisinden 4’ü ise Haziran 2019 itibarıyla 13 yaş ve altı olan kişilerdir.

(h) İhlalin denetim makamınca öğrenilme şekli, bilhassa veri sorumlusunun veya veri işleyenin ihlali bildirip bildirmediği, bildirdiyse hangi kapsamda bildirdiği.

  1. 14 Haziran 2019 tarihinde Mermaids, ihlali ICO’ya bildirdi. (Bu kısım orijinal metinde karartılmıştır). Aynı gün Mermaids ICO’ya kendini de ihbar etti.

(i) Daha önce veri sorumlusu ve veri işleyen aleyhine Madde 58(2)’de belirtilen tedbirler alınmışsa, bu tedbirlere uygunluk;

(j) 40. madde uyarınca onaylanan davranış kurallarına riayet veya 42. madde uyarınca onaylanmış sertifikasyon mekanizmaları;

(k) İhlalden doğrudan veya dolaylı olarak elde edilen mali kazançlar veya kaçınılan kayıplar gibi duruma uygulanabilecek herhangi bir ağırlaştırıcı veya hafifletici unsur;

  1. İhlalin 2017’den 2019’a kadar sürmesi, ağırlaştırıcı bir faktördür.
  2. Mermaids 2016 yılından beri profilini genişletmiş ve son yıllarda Milli Piyango, Muhtaç Çocuklar ve Hükümet dahil olmak üzere çeşitli kaynaklardan fon almıştır. Bu hususlar Mermaids’in kamuoyunun dikkatini üzerine çekmesine ve itibar kazanmasına katkıda bulunmuştur. Mermaids’e karşı yapılacak yasal işlem, GDPR kapsamındaki yükümlülüklere uymayan veya uymama riskini taşıyan diğer tüzel veya gerçek kişiler için önemli ve caydırıcı bir işlev görecektir.
  3. ICO, Mermaids’in olayın farkına varmasının akabinde ilgili kişilerin zararlarını azaltmak üzere attığı adımları ve ICO ile iş birliğini göz önünde bulundurmuştur.
  4. Mermaids’in profili, bir televizyon programına bağlandıktan sonra önemli ölçüde artış göstermiştir. Bu ihlale ulusal gazetede dikkat çekilmesi ise, hayır kuruluşunun itibarının zedelenmesine neden olmuştur. ICO para cezasının kendisini caydırıcı olarak değerlendirmekle birlikte, bu cezanın hayır kuruluşunun hizmet kullanıcılarına hizmet sunmaya devam edebileceği veya halk tarafından yapılan bağışların elinden alınmamasına gayret gösterecek şekilde ölçülü olduğundan emin olmaya önem göstermelidir.

ÖZET VE HÜKMEDİLEN CEZA

  1. Yukarıda belirtilen nedenlerle, ICO, Mermaids aleyhine para cezasına hükmetmiştir. ICO, Yardım Komisyonu web sitesinde mevcut olan finansal bilgileri, hayır kuruluşunun büyüklüğünü ve buna ilaveten Mermaids’in finansal durumuna dair ilettiği beyanları dikkate almıştır. ICO, cezanın etkili, orantılı ve caydırıcı olması gerektiğinin farkındadır.
  2. Yukarıda belirtilen tüm faktörler göz önüne alındığında ICO, Mermaids aleyhine 25.000£ (yirmi beş bin sterlin) para cezasına hükmetmiştir.

CEZANIN ÖDENMESİ

  1. Hükmedilen para cezası, en geç 3 Ağustos 2021 tarihine kadar BACS havalesi veya çek yoluyla ICO’ya ödenmelidir. Para cezası ICO tarafından saklanmamaktadır ancak Konsolide Fon’a yani hükümetin Bank of England üzerindeki banka hesabına ödenecektir.
  2. Aşağıdakilere karşı İlk Derece Mahkemesine (Bilgi Hakları) itiraz yolu bulunmaktadır:

(a) Verilen ceza ve/veya,

(b) Ceza tebligatında belirtilen ceza miktarı

  1. Yapılacak herhangi bir itirazın bildirimi Mahkeme tarafından cezanın bildirildiği tarihten itibaren 28 gün içinde yapılmalıdır,
  2. ICO bir ceza uygulamak için harekete geçmeyecek. Meğer ki:
  • Ödemenin yapılmasına ilişkin bildirimde belirtilen süre sona ermiş ve cezanın tamamı veya bir kısmı henüz ödenmemiş olsun,
  • Ceza ihbarnamesine ve herhangi bir uyarlanmasına karşı tüm itirazlar kararlaştırılmış veya yapılan itirazlar geri çekilmiş olsun,
  • Cezaya ve herhangi bir uyarlanmasına itiraz etme süresi dolmuş olsun.
  1. Ceza; İngiltere, Galler ve Kuzey İrlanda’da Eyalet Mahkemesi veya Yüksek Mahkeme Kararı ile geri alınabilir. İskoçya’da ise bu ceza herhangi bir şerifliğin şerif mahkemesi tarafından icra kararına dayalı ve kaydedilmiş tahkim kararı aynı şekilde uygulanabilir.
  2. Bu ihbarnamenin 1 No’lu ekinde yer alan 2018 Tarihli Veri Koruma Yasası s.162’da yer alan temyiz haklarınızın ayrıntılarına dikkatinizi çekeriz.

5 Temmuz 2021 tarihlidir.

Stephen Eckersley

Soruşturma Direktörü

Information Commissioner’s Office

Wycliffe House

Water Lane

Wilmslow

Cheshire SK9 SAF

EK-1

ICO Kararlarına İtiraz Hakkı

  1. 2018 Tarihli Veri Koruma Yasası’nın 162. Maddesi, aleyhinde ceza bildirimi ya da değişiklik bildirimi düzenlenen kişilere bu bildirimlere karşı, Birinci Derece Mahkemesine (Bilgi Hakları Mahkeme) itiraz hakkı tanır.
  2. İtiraz etmeye karar vermeniz ve şu hallerden birine karar vermesi halinde Mahkeme;
  3. a) Aleyhine itiraz edilen bildirimin kanuna uygun olarak düzenlenmediği; veya
  4. b) ICO’nun ne ölçüde takdir yetkisini kullandığı ve bu takdir yetkisini farklı bir şekilde kullanması gerektiği kanaatine vardığı durumlarda;

İtirazı kabul edecek veya ICO tarafından verilecek başka bir karar, bu kararın yerine geçecektir.

Aksi halde mahkeme itirazı reddedecektir.

  1. Aşağıdaki adreste bulunan Mahkeme’ye bir itiraz bildirimi sunarak itiraz başvurusunda bulunabilirsiniz:

GRC & GRP Tribunals

PO Box 9300

Arnhem House

31 Waterloo Way

Leicester

LEl 8DJ

Telefon: 0203 936 8963

E-posta adresi: grc@justice.gov.uk

  1. a) İtiraz, Mahkeme tarafından cezanın bildirildiği tarihten itibaren 28 gün içinde sunulmalıdır
  2. b) Mahkeme tarafından süre uzatım kabul edilmediği takdirde süresinde yapılmayan itiraz kabul edilmeyecektir.
  3. İtiraz bildiriminizde bulunması gerekenler:
  4. a) adınız ve adresiniz/(varsa) temsilcinizin adı ve adresi;
  5. b) belgelerin size gönderilebileceği veya teslim alabileceğiniz bir adres;
  6. c) Bilgi Komiserinin (ICO) adı ve adresi;
  7. d) yargılama sonucu hükmedilen kararın ayrıntıları;
  8. e) talep edilen netice;
  9. f) dayanılan yasal gerekçeler;
  10. g) itiraz bildirimi ile cezanın veya uyarlanma bildiriminin bir kopyası;
  11. h) Yukarıda belirtilen itiraz bildirimine ilişkin süre sınırını aştıysanız, itiraz süresinin uzatılması talebi ve itiraz bildiriminin zamanında yapılmamasının nedeni.
  12. İtiraz edip etmemeye karar vermeden önce, avukat veya başka bir müşavire danışınız. Temyiz duruşmasında bir taraf, davasını kendisi yürütebilir veya herhangi bir kişi tarafından temsil edilmek amacıyla birini atayabilir.
  13. İlk Derece Mahkemesine (Genel Düzenleyici Daire) yapılan itirazlara ilişkin yasal düzenlemeler 2018 tarihli Veri Koruma Yasası ve Yargılama Usulü’nün (İlk Derece Mahkemesi) 162 ve 163. Maddelerinin 16. Çizelgesi’nde (Yasal Belge 2009 No. 1976 (L.20)) yer almaktadır.

[1] https ://register-of-charities. charitycom mission. gov. uk/charity-search/-/charity-details/5054976/fina ncialhistory

[2] https ://assets. pub I ishi ng. service. gov. uk/g overn ment/uploads/system/uploads/attachment_data/fi le/839172/ hate-crime-1819-hosb2419. pdf

YAZARLARIN AÇIKLAMASI:

“Cinsiyet uyumsuzluğu” ibaresi ICO tarafından, transeksüel, kendini belirli bir cinsiyet içerisinde sınıflandırmayan veya cinsiyet değiştirmiş kişileri tanımlamak için tercih edilmiş olup, metnin aslına bağlı kalmak adına aynen çevirilmiştir.

Bunlara da bakmak isteyebilirsin

İngiliz Veri Koruma Kurumu – Verin Önemlidir – Okullar: Sınav Sonuçları
29 Temmuz 2020
Britanya – Aşılama ve COVID Durum Kontrolleri
25 Temmuz 2021
ICO; inceleme, düzenleme ve yaptırım yetkisini nasıl kullandığı konusunda ilgili kişileri görüş bildirmeye davet ediyor
6 Şubat 2022

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!