Norveç

NORVEÇ VERİ KORUMA KURULU GRINDR LLC’YE 7 MİLYON DOLARLIK İDARİ PARA CEZASI UYGULADI

4 Haziran 2022 /

 

DAVANIN TARAFLARI

Grindr LLC, 2009’da Amerika Birleşik Devletleri’nde kurulmuş olan ve LGBTQ+ bireylere yönelik dünyanın en büyük flört uygulamasıdır[1].

Norveç Veri Koruma Kurulu, Grindr LLC şirketi aleyhine, Genel Veri Koruma Tüzüğü’nün (“GVKT”) 58(2)(i) maddesine dayanarak yapmış olduğu soruşturmada yaklaşık 7 milyon dolarlık idari para cezasına hükmetmiştir. Karar, GVKT’nin veri işleme faaliyetinin hukuka uygunluğu başlıklı 6. maddesinin ve özel kategorideki kişisel verilerin işlenmesi başlıklı 9. maddenin ihlal edilmesi sonucunda verilmiştir.

Söz konusu karar, Norveç Veri Koruma Kurulu’nun GVKT’nin yürürlüğe girdiği tarihten bu yana Norveç’te verilen en yüksek idari para cezası olması sebebiyle oldukça önemlidir[2].

SÜREÇ

14 Ocak 2020’de Norveç Veri Koruma Kurulu, (“Norveç VKK” ya da “Kurul”), Norveç Tüketici Konseyi’nden (“NTK”) Avrupa Dijital Haklar Merkezi (“noyb”) ile iş birliği içerisinde yapılmış olan üç şikâyet almıştır. Şikâyetler, Grindr LLC ile reklam ortakları arasında Grindr uygulamasının ücretsiz versiyonundaki veri paylaşımının hukuki dayanaktan yoksun olduğu iddiasına dayanmaktadır. Bu iddialar üzerine Norveç VKK, 24 Şubat 2020’de Grindr LLC’den konuyla ilgili bilgi vermesini istemiştir. Grindr LLC’nin vermiş olduğu cevapla tatmin olmayan Norveç VKK, hukuki bir dayanak olmadan üçüncü kişilerle veri paylaşılmasının, özellikle de cinsel yönelim verilerinin, 6. ve 9. maddeyi ihlal ettiğini düşünerek soruşturma sürecini başlatmıştır.

KARARDAKİ GEREKÇELER

Norveç VKK, yapmış olduğu soruşturmayı, Grindr LLC’nin 8 Nisan 2020’den önce uyguladığı rıza mekanizmasına ilişkin olarak sınırlamış ve ilk olarak olay özelinde kendisinin yetkili olup olmadığını değerlendirmiştir. Grindr LLC, Amerika Birleşik Devletleri’nde kurulmuş olan bir şirkettir ve Avrupa Ekonomik Topluluğu’nda bir şubesi ya da genel merkezi bulunmamaktadır ancak GVKT’nin 27. maddesi[3] [4] uyarınca İrlanda’da bulunan bir temsilci atamıştır. GVKT’nin 4(16) maddesi[5] bağlamında Grindr LLC’nin topluluk sınırları içerisinde bir asıl kuruluşu bulunmadığı ve söz konusu veri işlemenin sınır ötesi bir işleme olmadığı nedenleriyle kendisinin GVKT’nin 55(1) maddesi[6] anlamında yetkili olduğu sonucuna varılmıştır.

Daha sonrasında GVKT anlamında bir kişisel veri söz konusu olup olmadığı ve bu verilerin yine GVKT bağlamında işlemeye tabi tutulup tutulmadığı ele alınmıştır. Söz konusu olayda üçüncü kişilerle paylaşıldığı iddia edilen veriler; IP adresi, yaş, cinsiyet ve konum gibi bilgilerdir. Norveç VKK, bunların GVKT’nin 4(1) maddesi anlamında gerçek kişiye ilişkin tanımlanabilir verilerin ve IP adresi gibi çevrimiçi tanımlayıcıların kişisel veri olduğunu ve üçüncü kişilerle bu kişisel verilerin paylaşılmasının GVKT’nin 4(2) maddesi bağlamında bir işleme faaliyeti olduğunu belirtmiş ve Grindr LLC’nin veri sorumlusu olduğuna hükmetmiştir.

Ardından Norveç VKK, esas ile ilgili olarak inceleme yapmaya başlamıştır.

  • Rıza Mekanizması’nın GVKT ile Uyumu Sorunu

Grindr LLC, kişisel verileri reklam partneriyle paylaşmasındaki hukuki temelinde ilgili kişinin rızası olduğunu savunmuştur. Norveç VKK, bu konuda Madde 29 Çalışma Grubu’na yaptığı atıfla, üçüncü kişilere reklam faaliyetleri kapsamında yapılan veri aktarımının temelinin “meşru menfaat” ya da “sözleşmenin ifası” olamayacağını belirterek Grindr LLC’ye bu konuda hak vermiş ve ilgili kişilerden alınan rızanın hukuki geçerliliğine yönelik bir inceleme yapmıştır. Devamında, GVKT’nin 4(11) maddesine atıfla, rızanın spesifik bir konuda bilinçli, açık ve özgür bir şekilde verilmiş olması gerektiğini belirterek Grindr LLC’nin rıza mekanizmasının bunları karşılayıp karşılamadığını değerlendirmiştir.

Grindr LLC, ilgili kişi olan kullanıcılara sunduğu uygulamada, kayıt esnasında tüm gizlilik politikalarını göstermekte ve sonra kullanıcı “ilerle” butonuna tıklamaktadır. İlerle butonuna tıklandıktan sonra bir pop-up açılmakta ve kullanıcıya kabul veya ret seçenekleri sunulmaktadır. Gizlilik politikası reddedildiği takdirde kullanıcı uygulamayı ücretsiz olarak kullanmaya devam edememekte, ancak ücretli versiyonunu kullanabilmektedir.

Bu mekanizmada rızanın özgürce verilmesi gerekliliğine ilişkin olarak Norveç VKK üç hususta ihlal tespit etmiştir: İlk olarak Grindr LLC, farklı işleme amaçları için ayrı ayrı rıza gösterilmesine imkân tanımamış ve tüm işleme amaçları için tek bir metinde tek seferde rıza almıştır. Norveç VKK, burada Avrupa Veri Koruma Kurulu’nun (European Data Protection Board, “AVKK”) rehberlerine atıf yaparak veri sorumlusunun birden fazla amaç için veri topladığı ve her bir amaç için ayrı ayrı (“granularity”) rıza almadığı durumlarda rızanın özgürce verilmiş olamayacağını vurgulamaktadır.

İkinci olarak Grindr LLC’nin sunduğu hizmetle ilgili olmamasına rağmen, üçüncü kişilerle veri paylaşımına izin verilmemesi durumunda, kullanıcılar uygulamanın ücretsiz versiyonunu kullanamamaktadır. Yine burada 43 numaralı Gerekçe’ye (Recital) atıfta bulunulmuş ve “bir hizmetin sağlanması da dâhil olmak üzere bir sözleşmenin ifasının, bu tür bir hizmet için gerekli olmamasına rağmen, rızaya bağlı olması durumunda[7]” rızanın serbestçe verilmiş olmayacağını açıklamıştır. Bu bağlamda reklamcılık faaliyetlerinin Grindr LLC’nin sunduğu hizmetin gerektirdiği bir husus olmaması üzerinde önemle durulmuş ve hizmetin gerektirdiklerinin neler olduğu yorumlanırken bunun geniş yorumlanmaması gerektiği belirtilmiştir. Grindr LLC’ye göre bu değerlendirme yanlıştır. Zira kullanıcılar başlangıçta vermiş olduğu rızayı kendi mobil cihazları üzerinden geri alabilmektedir. Bu nedenle de uygulamanın kullanılması, bu konuda rıza verilmesi şartına bağlı değildir. Bu savunmaya karşılık, NTK, rızanın geri alınmasının üçüncü kişilere aktarılan veriler üzerinde çok sınırlı bir etkisi olduğunu savunmaktadır. Kullanıcının rızasını geri alması durumunda Grindr LLC ya üçüncü kişilere rızanın geri alındığını bildirmekte ya kullanıcıya ilişkin reklam verilerini üçüncü kişilere iletim kanallarından silmekte ya da bunların her ikisini birlikte yerine getirmektedir. Ancak, Grindr LLC’nin uygulamasına bakıldığında genellikle üçüncü kişilere bildirim yapılmaktadır ve bu bildirimler üçüncü kişiler tarafından potansiyel olarak göz ardı edilebilir durumdadır. Bu durum, aynı zamanda GVKT’nin 5(2) maddesindeki şeffaflık prensibine de aykırılık teşkil etmektedir. Ayrıca, rıza sonrasında geri alınabiliyor olsa bile, uygulamaya kayıt esnasında kullanıcının özgürce rıza vermiş olduğundan bahsedilemeyecektir. Rızanın geri alınmasıyla ilgili detaylı tartışmalara aşağıda ayrıca yer verilmiştir. Devamında Grindr LLC, uygulamanın ücretli versiyonu ile kullanıcılara bir seçim hakkı tanındığı savunmasını yapsa da bu imkân Norveç VKK tarafından ücretsiz versiyon ile gerçekten eş değerde bulunmamıştır.

Üçüncü olarak da kullanıcılar herhangi bir zarara uğramadan rıza vermeyi reddedememekte veya rızalarını geri alamamaktadır. Bu bağlamda rızanın geri alınması halinde, ilgili kişi olumsuz bir durumla karşılaşıyorsa rıza özgürce verilmiş olmayacaktır.  Grindr LLC’ye göre, kullanıcılar gizlilik politikalarını kabul etmediği zaman, uygulamayı kullanmaktan tamamen mahrum kalmamakta, ücretli bir şekilde uygulamayı kullanmaya devam edebilmektedir. Bu noktada, ilk olarak kullanıcıların rıza vermedikleri aşamada hemen ücretli uygulamaya geçemedikleri ele alınmıştır. Kullanıcıların ücretli versiyonu kullanabilmeleri için öncelikle gizlilik politikalarını kabul etmeleri gerekmektedir. Dolayısıyla, rıza istendiği anda kullanıcılar bu rızayı vermemek konusunda özgür değillerdir. Sonrasında, AVKK rehberleri hatırlatılmış ve rızanın geri alınmasının herhangi bir ücrete mal olmaması gerektiği vurgulanmıştır[8] ve aynı standardın rıza verilmemesi halinde de uygulanabileceği belirtilmiştir. Bu nedenle, ücretli versiyonun bir alternatif olarak sunulması da kabul edilmemiştir.

Yukarıda detaylı olarak açıklanan nedenlerden ötürü, Norveç VKK’ya göre özgürce verilmiş bir rızadan bahsetmek mümkün değildir.

Verilen rızanın spesifik olup olmadığıyla ilgili olarak yapılan değerlendirmede Norveç VKK, yukarıda belirtilen ayrı ayrı rıza alma (“granularity”) gerekliliğine değinmiştir. Spesifik olma kriterinin aynı zamanda GVKT’nin 6(1)(a) maddesiyle olan ilişkisi de belirtilmiş ve rızanın spesifik olabilmesi için, bir ya da daha fazla spesifik amaç için verilmesi gerektiği ortaya konmuştur. Grindr LLC, reklam faaliyetleri de dahil olmak üzere tek bir metinde 25 farklı veri işleme amacı için kullanıcılardan rıza almaktadır ve bu şekilde reklam faaliyetleri ile diğer veri işleme amaçları arasında bir ayrım yapılmaksızın verilen rızalar Norveç VKK’ya göre spesifik olarak bir amaç için verilmediğinden spesifik olma kriteri de karşılanmamıştır.

Rızanın bilinçli olarak verilmesi gerektiği kararda incelenen bir diğer kriterdir. Bir rızanın bilinçli olarak verildiğinden bahsedebilmek için ilgili kişi, rıza gösterilmesi istenen veri işleme prosedürünü anlamalı ve bilinçli bir karar alabilmesini sağlamak için gereken bilgileri veri işleme sürecinden önce almış olmalıdır. Rızanın bilinçli olarak verilmesi GVKT’nin 5(1)(a) maddesinde bulunan şeffaflık ilkesiyle birlikte ele alınmalıdır. Bu noktada, Norveç VKK, Avrupa Birliği Adalet Divanı içtihatlarına da atıfta bulunarak ilgili kişiye önceden yapılan bilgilendirmenin açık ve sade bir dil kullanılarak; işlenecek veri türü, veri sorumlusunun kimliği, bu işleme için süre ve prosedürler ve amaçlar hakkında bilgi sahibi olmasını sağlaması gerektiğini açıklamıştır. Norveç VKK’ya göre rızanın bilinçli olarak alınabilmesi için ilgili kişiye ne tür bilgilerin önceden verilmesi gerektiği işleme prosedürünün doğasına bağlı olarak belirlenebilir. Ancak verilen bilgiler ilgili kişinin, veri işleme süreci ve bunun sonuçları hakkında karar verebilmesini sağlayacak düzeyde olmalıdır. Bu kapsamda olay özelinde değerlendirme yapılmıştır. Kişisel verilerin reklam amaçlı olarak üçüncü kişilerle paylaşılması konusunda alınan rıza, diğer veri işleme prosedürleriyle birlikte alınmış toplu bir rızadır. Rızanın bu şekilde alınması, ilgili kişinin veri işleme sürecine dair önemli bilgilere erişimini zorlaştırmaktadır. Yine Grindr LLC’nin gizlilik politikaları oldukça uzun olup ilgili kişi olan kullanıcılardan bu politikalar aracılığıyla rıza talep edilmektedir. Böyle bir durumda ilgili kişi olan kullanıcılar, veri işleme süreci hakkında gerekli bilgi alamadan rıza göstermiş olabilecek ve böyle bir rızanın bilinçli olarak verildiğinden bahsedilemeyecektir. Ayrıca, gizlilik politikalarında reklam amaçlı olarak kimlere veri aktarıldığına da yer verilmemiştir. Veri aktarılan üçüncü kişiler, sahip oldukları verileri diğer iş ortaklarıyla paylaşabilir durumdadır. Dolayısıyla ilgili kişi olan kullanıcılar, vermiş oldukları rızanın sonuçları hakkında yeteri kadar bilinçli değillerdir. Bu nedenlerden ötürü, Norveç VKK, verilen rızanın bilinçli olmadığı sonucuna ulaşmıştır.

Kararda rıza mekanizması, “açık olma” kriteri bakımından da değerlendirilmiştir. AVKK tarafından rehberlerde de belirtildiği üzere açık olma kriteri, verilen rızanın belirli bir işleme veri prosedürüne yönelik olmasını ve ilgili kişinin beyanının açık veya olumlu bir eylemi gerektirdiğini anlatmaktadır[9]. Grindr LLC, bu noktada rıza mekanizmasına ilişkin olarak önceki savunmalarını yinelemiş ve sektördeki diğer uygulamalardan farklı olarak kendisinin gizlilik politikaları için genel hüküm ve koşullardan ayrı olarak rıza aldığını ve bu nedenle rızanın açık olma kriterine de uygun olduğunu savunmuştur. Ancak bu savunmalar Kurul nezdinde kabul görmemiştir. Zira yukarıda açıklandığı üzere reklam ortaklarıyla veri paylaşımı dahil tüm veri işleme amaçları için kullanıcılardan toplu bir şekilde rıza alınmaktadır. Ayrıca, uygulamada kullanıcılara tanınan vazgeçme (“opt-out”) imkânı olumlu bir eylem olmayıp, 32 numaralı Gerekçe’de belirtildiği gibi rıza teşkil etmez. Sonuç olarak, Grindr LLC’nin kullanıcılardan aldığı rıza “açık olma” kriterini karşılamamaktadır.

Rıza mekanizmasına ilişkin olarak Kurul tarafından yapılan son değerlendirme rızanın geri alınmasıyla ilgilidir. GVKT’nin 7(3) maddesinde de belirtildiği üzere rızanın geri alınması, rızanın verilmesi kadar kolay olmalıdır. Grindr LLC, bu konu özelinde, kullanıcıların vermiş oldukları rızayı kendi cihazları üzerinden geri alabileceği veya uygulamanın ücretli versiyonunu kullanabileceğini ve bu nedenle de rıza mekanizmalarının bu şartı karşıladığını savunmaktadır. Norveç VKO, başlangıçta iki kez tıklanarak rıza verilirken sonrasında rızanın alınabilmesi için daha fazla efor harcanması gerektiğine ve kullanıcıların bu hakkını öğrenebilmesi için uzun bir gizlilik politikası okumak zorunda olduğuna dikkat çekerek Grindr LLC’nin savunmalarını kabul etmemiştir. Bu nedenle, rıza mekanizmasında rızanın geri alınmasının rıza vermek kadar kolay olmadığı sonucuna ulaşılmıştır.

  • Özel Kategorideki Verilerin İşlenmesi

Veri işlemenin rızaya dayalı olarak gerçekleştirildiğini belirten Kurul, alınan rızanın GVKT bağlamında geçerli olmadığını belirtse bile Grindr LLC’nin özel kategorideki verileri hukuka uygun olarak işleyip işlemediğini ayrıca değerlendirmiştir. Kurula göre, özel kategorideki veriler işlenirken GVKT’nin 6. maddesindeki şartlara ek olarak 9(2) maddesindeki istisnalardan birinin de bulunması gerekmektedir.

Bu doğrultuda ilk olarak GVKT’nin 9. maddesi kapsamında özel kategoride bir veri işlenip işlenmediği tartışılmıştır. Grindr LLC, NTK’nin iddialarına karşılık herhangi bir kullanıcının cinsel yönelim bilgisinin paylaşılmadığını, uygulamayı kullanan kullanıcıların doğrudan LGBTQ+ üyesi varsayılmasının yanlış olduğunu savunmuştur. Ancak mahkemeye göre, GVKT’nin 9. maddesinin uygulanabilmesi için özel kategorideki verilerin üçüncü kişilerle paylaşılmasına gerek yoktur. Grindr LLC, uygulamanın kullanımı bakımından bariz bir biçimde cinsel azınlıkları hedeflemektedir. Bu nedenle, spesifik olarak kullanıcıların cinsel yönelimleri paylaşılmasa bile, bir kişinin Grindr uygulaması kullanıcısı olduğu verisinin paylaşılması, o kişinin cinsel yönelimi yönünden bir azınlık dahilinde olduğu bilgisinin de paylaşılması anlamına gelmektedir. Grindr LLC, reklam partnerlerine aktarılan veriler yüzünden kullanıcıların gerçek hayatta herhangi bir ayrımcılığa veya zarara uğrama risklerinin olmadığından bahsetse de bu savunma Kurul nezdinde kabul görmemiştir. Zira reklam partnerleriyle paylaşılan veriler, Grindr LLC’nin kontrolü dışında üçüncü kişilerle paylaşılabilir ve bu durum da kullanıcıların temel hak ve özgürlükleri bakımından tehdit oluşturmaktadır. Kurul bu nedenle, GVKT’nin 9.maddesi kapsamında özel kategoride veri işlendiğini düşünmekte ve bu maddenin 2. fıkrasındaki istisnaları değerlendirmektedir.

GVKT’nin 9(2) maddesi kapsamındaki istisnalarla ilgili olarak Grindr LLC, açık rıza ve verilerin ilgili kişiler tarafından açıkça kamuya açık hale getirildiği istisnalarına dayanmaktadır. Yukarıda açıklandığı üzere, Grindr LLC’nin aldığı rızalar hukuken geçerli olmadığı için Kurul, “açıkça kamuya açık hale getirme” istisnasını bu başlıkta detaylı olarak incelemiştir. Kullanıcıların uygulamayı kullanabilmek için profil oluşturarak bu şekilde kişisel bilgilerini uygulamada açıklamak zorunda olduğunu ve oluşturulan profilin uygulamada yalnızca kısıtlı bir kitle tarafından görüntülenebildiğini belirten Kurul, kullanıcılar tarafından cinsel yönelim bilgilerinin açıkça kamuya açık hale getirilmediği sonucuna ulaşmıştır. Bu kapsamda özel verilerin işlenmesi bakımından da GVKT’nin ihlal edildiğine karar verilmiştir.

  • İdari Para Cezası

Kurul, idari para cezasına ilişkin olarak öncelikle idari para cezası uygulanabilmesi için Norveç Yüksek Mahkemesi’nin kararlarına değinmiş ve bir tüzel kişiliğe idari para cezası uygulanabilmesi için tüzel kişilik adına hareket eden kişi veya kişilerin en azından ihmalinin olması gerektiğini belirtmiştir. GVKT 4 Mayıs 2016’da tanıtılmış, Grindr LLC’nin uyguladığı rıza mekanizması ise bundan iki yıl sonra yürürlüğe girmiştir. GVKT’nin bu rıza mekanizmasından çok daha önce yürürlüğe girmiş olması sebebiyle hukuk kurallarının ihlal edildiğini düşünen Kurul, Grindr LLC adına hareket eden yönetim kurulunun en azından ihmalinin olduğu sonucuna varmış ve sonrasında idari para cezası uygulanıp uygulanmayacağını tartışmıştır.

İdari para cezasının uygulanması ile ilgili olarak Kurul, GVKT’nin 83(2) maddesinin a ve k bentleri arasındaki hükümleri tek tek incelemiştir. Grindr LLC, GVKT’nin temel hükümleri olan 6. ve 9. maddeleri ihlal etmiştir. Bu ihlal sonucunda ilgili kişi olan kullanıcılar, kendi verilerinin, sayısı 160’tan fazla olan üçüncü kişilere aktarılması sırasında verileri üzerindeki kontrolü kaybetmiştir. Grindr uygulamasını Norveç’te kullanan kişi sayısının çok fazla olması ve üçüncü şahıslara aktarılan verilerin niteliği (özellikle özel kategorideki veriler) ihlali ağırlaştıran faktörlerdir. Grindr LLC, yeni rıza mekanizmasını 8 Nisan 2020’de tanıtmıştır. Bu kararın konusunu oluşturan ve GVKT’yi ihlal eden önceki rıza mekanizması 21 aydan uzun bir süre kullanılmıştır. İhlalin uzun süredir devam etmesi ve kasten gerçekleştirilmiş olması ihlali ağırlaştırmıştır. Yeni rıza mekanizmasının sonradan tanıtılmış olması önceki rıza mekanizması sebebiyle oluşan zararı hafifletici nitelikte değildir. Bu sebeple veri sorumlusunun, ilgili kişilerin uğradığı zararı hafifletmek için aksiyona geçtiği söylenemeyecektir. GVKT’nin 83(2) maddesinin d bendi bakımından yapılan incelemede, Grindr LLC’nin GVKT’nin 5(2), 24 ve 25. maddeleri bakımından yeteri kadar sorumluluk almadığı sonucuna varılmıştır. Zira Grindr LLC, paylaşılan verilerin büyüklüğü düşünüldüğünde verilerin üçüncü kişilerle hukuka aykırı olarak paylaşılmaması için gerekli ve yeterli önlemleri almamıştır. Grindr LLC’nin çalışma mekanizmasının merkezinde reklama dayalı kâr elde etme yöntemi bulunmaktadır. Kurul, 29. Madde Çalışma Grubu’na atıfla bu ihlalden ticari kazanç elde edilmesini yine ihlali ağırlaştıran bir faktör olarak görmüş ve yukarıda belirtilenlerin hepsi göz önüne alındığında idari para cezası verilmesi gerektiğine karar vermiştir.

GVKT’nin 83(1) maddesinde ihlal halinde uygulanacak idari para cezasının etkili, ölçülü ve caydırıcı olması gerektiği hüküm altına alınmıştır. Yine 148 numaralı Gerekçe’ye göre idari para cezaları GVKT’nin yürürlüğünü ve etkisini güçlendirecek nitelikte olmalıdır. Bu doğrultuda, olay özelinde etkili, ölçülü ve caydırıcı bir idari para cezası verilebilmesi için yukarıda belirtilen faktörler kullanılmıştır. Kurul, GVKT’nin 83(5) maddesine göre 6. ve 9. madde ihlallerinde verilebilecek en yüksek para cezasının 20 milyon Euro tutarında olduğunu belirtmiştir. 20 milyon Euro tutarındaki bu maktu üst sınır, Grindr LLC’nin cirosu üzerinden belirlenecek ceza üst limitinden daha yüksek olduğu için olay özelinde baz alınmış, ancak yine de Grindr LLC’nin dünya çapındaki cirosu idari para cezasının miktarının belirlenmesinde göz önünde tutulmuştur. Bu kapsamda değerlendirme yapan Kurul, etkili, ölçülü ve caydırıcı bir ceza olarak 65.000.000 Norveç Kronu (yaklaşık 7.000.000 ABD Doları) tutarında idari para cezasına 13.12.2021 tarihinde hükmetmiştir.

Grindr LLC, 65.000.000 Norveç Kronu tutarındaki bu idari para cezasına kendisine tebliğ edildiği tarihten itibaren üç hafta içerisinde itiraz edebilecektir.

[1] Grindr fined £5.5m for sharing data for ads, https://www.bbc.com/news/technology-59651703, Erişim Tarihi 09.01.2022.

[2] Grindr fined $7.2M for GDPR consent violations. https://www.complianceweek.com/regulatory-enforcement/grindr-fined-72m-for-gdpr-consent-violations/31171.article Erişim Tarihi: 11.01.2022

[3] Düzenleyenin notu: Dipnotlarda Türkçe olarak verilen GVKT maddeleri Avrupa Birliği Bakanlığı çevirisinden alınmıştır.

[4] Madde 27 (1): 3(2) maddesinin uygulandığı hallerde, kontrolör veya işleyici yazılı olarak Birlik içerisinde bir temsilci belirtir.

[5] Madde 4 (16) ‘asıl kuruluş’:

(a) birden fazla üye devlette işletmesi bulunan bir kontrolör ile ilgili olarak, kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemlere yönelik kararların kontrolörün Birlik içerisindeki başka bir işletmesinde alınmaması ve bu işletmenin söz konusu kararları uygulatma yetkisinin bulunmaması durumunda (ki bunların gerçekleşmesi halinde, söz konusu kararları alan işletme asıl kuruluş olarak kabul edilir), Birlik içerisindeki merkezi idare yeridir;

(b) birden fazla üye devlette işletmesi bulunan bir işleyici ile ilgili olarak, Birlik içerisindeki merkezi idare yeri veya, işleyicinin Birlik içerisinde merkezi bir işletmesinin bulunmaması halinde, işleyicinin bir işletmesinin faaliyetleri bağlamındaki temel işleme faaliyetlerinin işleyicinin bu Tüzük kapsamındaki spesifik yükümlülüklere tabi olduğu ölçüde gerçekleştiği Birlik içerisindeki işletmesidir

[6] Madde 55: Yetkinlik

  1. Her denetim makamı, bu Tüzük uyarınca kendisine verilen görevlerin yerine getirilmesi ve yetkilerin kullanımı hususunda kendi üye devletinin topraklarında yetkindir.

[7] GVKT’nın 43 Numaralı Gerekçesi.

[8] Guidelines 05/2020 on consent under Regulation 2016/679, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf, Erişim Tarihi: 14.01.2022

[9] Guidelines 05/2020 on consent under Regulation 2016/679, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf Erişim Tarihi: 18.01.2022

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!