Kişisel Verilerin Korunması Bülteni - 2024 4. Çeyrek

Türkiye’den Güncel Gelişmeler 

Kişisel Verileri Koruma Kurumu (Kurum), Kişisel Verilerin Yurt Dışına Aktarılması Rehberini Yayımladı

Kurum, uzun süredir beklenen Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ni 2 Ocak 2025 tarihinde yayımladı. Rehber ile kişisel verilerin yurt dışına aktarılmasını düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 9’da yapılan kapsamlı değişikliklerin uygulanmasına dair esaslar ve prosedürler detaylandırılmaktadır. Rehber, kişisel verilerin yurt dışına aktarılmasına ilişkin mekanizmaları ele almakta ve spesifik örnekler ile öngörülen gerekliliklere uyumun sağlanması için aktarımın taraflarına yol göstermektedir.

Rehber’e buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Türkiye dışına kişisel veri aktaran ya da global bir şirketin grup şirketi olarak faaliyet gösteren Türkiye’de yerleşik veri sorumluları, Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ni ve rehberdeki örnekleri dikkatle incelemeli; yurt dışına kişisel veri aktarım süreçlerini güncel mevzuatla uyumlu hale getirmek için uygun aktarım mekanizmalarını ivedilikle uygulamaya almalıdır.

Kurum, Kabahatlerin Zaman Bakımından Uygulanması Hakkında Bilgi Notunu Yayımladı

Kurum tarafından 19 Aralık 2024 tarihinde yayınlanan Kabahatlerin Zaman Bakımından Uygulanması Hakkında Bilgi Notu, KVKK değişiklikleri ile özel nitelikli kişisel verilerin işlenmesi ve kişisel verilerin yurt dışına aktarılması süreçlerine getirilen yeni düzenlemelerin zaman bakımından uygulanması hakkında kapsamlı açıklamalar içermektedir. Bilgi notunda, kabahat niteliğindeki fiillerin gerçekleşme zamanı, veri sahibi şikayetlerinin tarihi ve Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilecek kararlar arasında zaman bakımından uygulanan farklılıklar göz önünde bulundurularak uygulanacak hükümlerin belirlenmesinde dikkate alınması gereken kriterleri içeren yol gösterici bir tablo sunulmuştur.

Bilgi notuna buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Kurum, ChatGPT ve Benzeri Sohbet Robotları Hakkında Bilgi Notunu Yayımladı

8 Kasım 2024 tarihinde yayımlanan Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu, yapay zekâ destekli sohbet robotlarının kişisel veri işleme süreçlerine dair önemli açıklamalar içermektedir. Bilgi notu uyarınca sohbet robotları, kullanıcılarla insan konuşmasını simüle eden yazılımlar olup, kullanıcı verilerini hizmet sağlamak, deneyimi iyileştirmek ve yasal yükümlülükleri yerine getirmek amacıyla işleyebilmektedir. Bu kapsamda kullanıcıların kişisel verilerinin nasıl işleneceği, kimlerle paylaşılacağı ve saklama süresi gibi konularda açık bilgilendirme yapılması gerektiği belirtilmiştir. Ayrıca, yapay zekâ sohbet robotları için yaş doğrulama, kullanıcı farkındalığını artırma, risk değerlendirmesi, veri güvenliği önlemleri ve KVKK’ya uyum gibi konuların kritik öneme sahip olduğu vurgulanmaktadır.

Bilgi notuna buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Kurum, Standart Sözleşme Bildirim Modülü Hakkında Kamuoyu Duyurusu Yayımladı

KVKK değişiklikleri kapsamında standart sözleşmeler, kişisel verilerin yurt dışına aktarımında uygun güvence olarak tanımlanmış olup, taraflara standart sözleşmelerin imzalanmasından itibaren 5 iş günü içinde Kurum’a bildirim yükümlülüğü getirilmiştir. Bildirimin fiziki olarak, Kayıtlı Elektronik Posta (KEP) üzerinden veya Kurul’ca belirlenen diğer yöntemlerle gerçekleştirilmesi mümkündür. Bu doğrultuda Kurul’un 17 Ekim 2024 tarihli kararıyla, standart sözleşme bildirimlerinin hızlı ve etkin yapılabilmesi için “Standart Sözleşme Bildirim Modülü”nün kullanıma sunulduğu duyuruldu.

Kamuoyu Duyurusuna buradan ve daha detaylı bilgi için müvekkil duyurumuza buradan ulaşabilirsiniz.

Kurum’un 2024 Yılı Faaliyet Bilgi Notu Yayımlandı

Kurum, amaç ve hedefleri ile faaliyetlerine ilişkin detaylı açıklamalar içeren 2024 Yılı Faaliyet Bilgi Notunu yayımladı. Bilgi notu uyarınca, 2024 yılında Kurum’a 281 adet kişisel veri ihlali intikal etti, 1.345 adet standart sözleşme bildirildi, Kurum tarafından 8.186 ihbar ve şikâyet başvurusundan 6.958’i sonuçlandırıldı, yurt dışı aktarımına ilişkin 3 taahhütname onaylandı, KVKK kapsamında 552.668.000,00 TL para cezası uygulandı ve Kurum’un görev alanına giren konularda 110 hukuki görüş verildi.

Faaliyet Bilgi Notuna buradan ulaşabilirsiniz.

Türkiye Büyük Millet Meclisi’nde (TBMM) Yapay Zekâ Hakkında Meclis Araştırma Komisyonu Kurulmasına Karar Verildi

5 Ekim 2024 tarihli ve 32683 sayılı Resmî Gazetede, TBMM tarafından “Yapay Zekânın Kazanımlarına Yönelik Atılacak Adımların Belirlenmesi, Bu Alanda Hukuki Altyapının Oluşturulması ve Yapay Zekâ Kullanımının Barındırdığı Risklerin Önlenmesine İlişkin Tedbirlerin Belirlenmesi Amacıyla Bir Meclis Araştırması Komisyonu Kurulmasına Dair Karar” yayımlandı.

Karar uyarınca, 22 üyeden oluşan komisyon, Başkan, Başkanvekili, Sözcü ve Kâtip seçiminden itibaren 3 ay süreyle ve gerektiğinde Ankara dışında da çalışmalarını sürdürecektir. Bu doğrultuda, üye seçimine dair karar 16 Ocak 2025 tarihli ve 32784 sayılı Resmî Gazetede yayımlandı. 

İlgili Karar’a buradan ve üye seçimine dair Karar’a buradan ulaşabilirsiniz.

Anayasa Mahkemesi (AYM), Özlük Dosyasına Erişim Talebinin Reddedilmesini Anayasa’ya Aykırı Buldu

AYM’nin 17 Temmuz 2024 tarihli kararına konu olayda, başvurucunun özlük dosyasındaki sicil ve değerlendirme notlarına erişim talebinin reddedilmesi özel hayata saygı hakkının ve kişisel verilerin korunmasını isteme hakkının ihlali olarak değerlendirildi. Karar’da, kişisel verilerin korunmasını isteme hakkının Anayasa güvencesinde olduğu, bu hakkın “gizlilik” gerekçesi ile yalnızca yasal bir dayanak ile sınırlandırılabileceği vurgulanmış ve başvurucu lehine 30.000,00 TL manevi tazminata hükmedilmiştir.

AYM Kararı’na buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Kişisel verilere erişim taleplerinde, erişim talebinin reddi yalnızca bu konuda açık bir yasal düzenleme mevcutsa değerlendirilmelidir. Veri sorumluları, erişim taleplerinin reddi durumunda, redde dayanak yasal gerekçeleri veri sahiplerine açık ve net bir şekilde bildirmelidir.

Kurul Karar Özetleri

Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi Hakkında Kurul Kararı

Karara konu olayda, ilgili kişi internet aboneliğine ilişkin taahhüt yenileme sürecinde yanlışlıkla sahte bir siteye girip kişisel bilgilerini paylaşarak başka bir markanın (X markası) abonesi olmuş; ilgili internet sitesinin abonesi bulunduğu markaya ait siteye çok benzediği için yanıltıldığını ve verilerinin hukuka aykırı işlendiğini iddia etmiştir. Şikâyet edilen B şirketi (X markası sahibi), kişisel verilerin bayisi C şirketi tarafından hukuka aykırı olarak toplanarak sisteme eklendiğini, bu nedenle sorumluluğun C şirketine ait olduğunu savunmuştur.

Karara göre, C şirketi, X markasıyla arasındaki sözleşmeye göre veri işleyen statüsünde ve ana şirketin emir ve talimatları ile sözleşme hükümleri çerçevesinde hareket etmesi gerektiği halde başka bir firmaya ait görseller kullanarak potansiyel müşterileri yanıltmış ve kişisel verileri hukuka aykırı şekilde işleyerek veri sorumlusu sıfatını kazanmıştır. İlgili kişinin rızası, aldatılma nedeniyle geçerli bulunmamış ve işleme faaliyetinin yasal bir dayanağı olmadığı tespit edilmiştir. C Şirketi’ne, veri güvenliği yükümlülüklerini yerine getirmediği gerekçesiyle 450.000,00 TL idari para cezası verilmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.  

Bir E-Ticaret Platformuna Gerçekleştirilen Siber Saldırı Hakkında Kurul Kararı

Kararda, bir e-ticaret platformunun satıcı portalına yetkisiz kişilerin, başka platformlardan elde ettikleri kullanıcı adı ve şifrelerle erişim sağladığı, bu süreçte 673 satıcı ve 7.202 müşterinin kimlik, iletişim, finans ve işlem verilerinin etkilendiği belirtilmiştir. İncelemede, siber saldırganların platformdaki bir zafiyeti kullanılarak hedefli saldırılar gerçekleştirdiği, “Bot” trafiğini önleme sisteminin yetersiz kaldığı ve tek seferlik parola gibi kritik güvenlik önlemlerin ihlalin ardından devreye alındığı tespit edilmiştir. Aynı IP adresinden yapılan yoğun giriş denemelerine rağmen ihlalin zamanında tespit edilememesi ve çift faktörlü kimlik doğrulama gibi etkili tedbirlerin önceden alınmamış olması, veri sorumlusunun ihmalleri arasında sayılmıştır. Bu eksiklikler nedeniyle veri sorumlusuna 3.250.000,00 TL idari para cezası verilmiştir.

Kurul Karar Özeti’ne buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Çevrimiçi platformlarda, kullanıcı adı ve şifre güvenliği için güçlü kimlik doğrulama yöntemleri uygulanmalı; mevcut zafiyetler belirlenmeli ve siber saldırılara karşı etkili önlemler alınmalıdır. Sisteme olağan dışı girişler izlenmeli ve ihlaller zamanında tespit edilmelidir.
• Veri sorumluları, güvenlik açıklarına karşı hızlı müdahale protokolleri oluşturmalı; düzenli olarak güvenlik denetimleri ve risk analizleri gerçekleştirmelidir.
• Kişisel veri güvenliği tedbirleri belirlenirken mutlaka teknik destek alınmalıdır.

Dünya’dan Güncel Gelişmeler

Avrupa Konseyi Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Hakkında Çerçeve Sözleşmesi'nin (Çerçeve Sözleşme) Türkçe Broşürü Yayımlandı

Bir önceki bültenimizde detaylarına yer verdiğimiz üzere, 5 Eylül 2024 tarihinde imzaya açılan ve yapay zekâ sistemlerinin insan hakları, demokrasi ve hukukun üstünlüğü ile uyumunu sağlamaya amaçlayan uluslararası düzeyde ilk anlaşma olan Çerçeve Sözleşme, en az 3 Avrupa Konseyi üye devleti de dahil olmak üzere 5 imzacının onayladığı tarihten itibaren 3 aylık sürenin sonunda yürürlüğe girecektir. 

Çerçeve Sözleşme’nin Türkçe broşürü Avrupa Konseyi tarafından yayımlandı. Broşür, kamu otoriteleri ve özel sektörün sözleşmeye uyum sağlaması için gerekli tedbirler, risk ve etki değerlendirmeleri ile insan hakları ve demokrasi ile uyumlu kullanım ilkelerine dair kısa, anlaşılır bir rehber niteliğindedir.

Avrupa Konseyi tarafından yayımlanan broşüre buradan ulaşabilirsiniz.

Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), Yapay Zekâ Destekli İşe Alım Araçlarına İlişkin Bir Rapor Yayımladı

6 Kasım 2024’te ICO, işe alım süreçlerinde yapay zekâ destekli araçlarının kullanımına ilişkin yürüttüğü bir dizi ihtiyari denetimin sonuçlarını yayımladı. Gerçekleştirilen denetimlerde, bazı yapay zekâ araçlarının doğruluk ve önyargı testlerini yapmadığı, ölçüsüz veri topladığı ve veri koruma sorumluluklarını ihlal ettiği tespit edilirken, şeffaflık ve veri minimizasyonu gibi alanlarda başarılı uygulamalara da rastlandı. ICO, adalet, şeffaflık, veri minimizasyonu ve veri koruma etki değerlendirmelerine (DPIA) odaklanan 7 temel tavsiye sundu.

Rapor, iyi uygulama örnekleri ve sorunları özetlerken, ICO ayrıca yapay zekâ araçlarını tedarik eden kuruluşları tarafından dikkate alınması gereken soruların bir listesini yayımladı.

Raporun İngilizce metnine buradan ve soru listesinin İngilizce metnine buradan ulaşabilirsiniz. 

Hamburg Veri Koruma ve Bilgi Özgürlüğü Komiseri İmha Yükümlülüğünü Yerine Getirmeyen Bir Borç Yönetim Şirketine 900.000,00 Avro Para Cezası Uyguladı

Hamburg Veri Koruma ve Bilgi Özgürlüğü Komiseri, sektörde yaptığı kapsamlı denetimler sırasında bir borç yönetim şirketinin yasal imha süreleri sona ermesine rağmen borçluların kişisel verilerini yaklaşık 5 yıl boyunca sakladığını tespit etti. Şirketin, yasal saklama sürelerini dikkate alarak uygun bir imha politikası geliştirmemesi ve bu politikayı uygulamaması nedeniyle, veri koruma otoritesi, şirkete 900.000,00 Avro idari para cezası uyguladı.

Hamburg veri koruma otoritesi, diğer denetimlerde de benzer eksikliklere rastladı ve veri minimizasyonu ile imha süreçlerine uygunluğu sağlamak için şirketlerin daha etkili politikalar geliştirmesi gerektiğini vurguladı.

İlgili Karara buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Veri sorumluları, yasal saklama ve imha sürelerine uygun olacak şekilde politikalar oluşturmalı veya mevcut politikalarını gözden geçirmeli; saklama süresi sona eren verileri periyodik olarak tespit ederek imha etmelidir.

2024/2847 Sayılı Siber Dayanıklılık Yasası (CRA) Yürürlüğe Girdi

Dijital unsurlar barındıran ürünlerin güvenli bir şekilde piyasaya arz edilebilmeleri için sahip olmaları gereken siber güvenlik gerekliliklerine ilişkin kuralları belirleyen CRA 20 Kasım 2024 tarihli Avrupa Birliği Resmî Gazetesi’nde yayımlandı ve 10 Aralık 2024 tarihinde yürürlüğe girdi. CRA, yazılım ve donanım dâhil dijital unsur barındıran ürünlerin tasarımı, geliştirilmesi, üretimi ve piyasaya arz edilebilmeleri için bulundurmaları zorunlu siber güvenlik gereksinimlerini belirlemektedir.

CRA’nın İngilizce metnine buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Avrupa Komisyonu, Genel Amaçlı Yapay Zekâ (GPAI) İçin Uygulama Kurallarının İlk İki Taslağını Yayımladı

Avrupa Komisyonu, 14 Kasım 2024’te GPAI Uygulama Kuralları Taslağı’nın ilk versiyonunu yayımladı. Taslağın ikinci versiyonu ise, ilk taslak üzerinde alınan geri bildirimler doğrultusunda bağımsız uzmanlar tarafından düzenlendi ve 19 Aralık 2024 tarihinde yayımlandı. Taslak, GPAI sağlayıcılarının şeffaflık, telif hakkı yükümlülükleri ve sistemik risk değerlendirmesi gibi konularda sorumluluklarını detaylandırırken, özellikle 2 Ağustos 2025’ten sonra geçerli olacak yeni kurallara uyum sağlamayı amaçlıyor. Ayrıca, sistemik risk taşıyan en gelişmiş GPAI modelleri için özel önlemler, model değerlendirmeleri ve siber güvenlik yükümlülükleri de ele alınıyor. Taslak, Avrupa Birliği (AB) Yapay Zekâ Yasası’nın yükümlülüklerini daha ayrıntılı bir şekilde belirlemeyi hedefliyor ve esneklik ile net taahhütler arasında bir denge kurmayı amaçlıyor. İkinci taslak üzerinde çalışmalar devam etmekte olup, üçüncü taslağın 17 Şubat 2025’te yayımlanması beklenmektedir.

Uygulama Kurallarına ilişkin detaylı bilgiye buradan ulaşabilirsiniz.

Avrupa Veri Koruma Kurulu (EDPB), Meşru Menfaat İşleme Şartının Uygulanmasına Yönelik Taslak Bir Kılavuz Yayımladı

EDPB, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) uyarınca meşru menfaat işleme şartının uygulanabileceği durumlara dair 1/2024 sayılı Taslak Kılavuzu yayımladı. Kılavuz, GDPR ve Avrupa Adalet Divanı kararları ışığında, daha önce yayımlanan 06/2014 sayılı Çalışma Grubu Görüşünü güncelleyerek meşru menfaat işleme şartının nasıl değerlendirilmesi gerektiğine dair pratik bilgiler sunmaktadır. Özellikle dolandırıcılığın önlenmesi, doğrudan pazarlama ve bilgi güvenliği gibi durumlarda, meşru menfaatin geçerli bir yasal dayanak olarak kabul edilip edilemeyeceği ele alınmaktadır.

Kılavuz ayrıca, veri sorumlusu veya üçüncü kişinin meşru menfaati ile gerçekleştirilecek veri işleme faaliyeti nedeniyle veri sahibinin etkilenmesi muhtemel temel hak ve özgürlükleri arasında bir denge testi gerçekleştirmek amacıyla üç aşamalı bir değerlendirme süreci önermekte; her adımda uygun hesap verebilirlik belgelerinin hazırlanması gerektiğini vurgulamaktadır.

Taslak Kılavuzun İngilizce versiyonuna buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Veri sorumluları meşru menfaat veri işleme şartına dayanmadan önce üç aşamalı denge testini gerçekleştirmelidir. Bireylerin temel hak ve özgürlüklerinin veri sorumlusunun meşru menfaati karşısında üstün geldiği sonucuna varılırsa, kişisel veriler meşru menfaate dayanarak işlenmemeli veya uygun başka bir hukuka uygunluk nedeni değerlendirilmelidir.

Avrupa Komisyonu, Temu Hakkında Dijital Hizmetler Yasası (DSA) Kapsamında Soruşturma Başlattı

Avrupa Komisyonu, büyük ölçekli çevrimiçi platform (VLOP) olarak belirlenen Temu’nun DSA’yı ihlal edip etmediğini değerlendirmek üzere resmi bir soruşturma başlattı. İnceleme, yasa dışı ürünlerin satışı, bağımlılık riski yaratan tasarımlar, içerik ve ürün öneri sistemleri ile araştırmacılara veri erişim sağlanması gibi konulara odaklanacak. Temu’nun Eylül 2024’te sunduğu risk analizi raporu ve ulusal otoritelerden alınan bilgiler doğrultusunda alınan karar uyarınca, Temu’nun eski ihlalleri önleme mekanizmaları ve DSA şeffaflık yükümlülüklerine uyumu değerlendirilecek.

Avrupa Komisyonu’nun duyurusuna buradan ulaşabilirsiniz.

Avrupa Komisyonu, Youtube, Snapchat ve TikTok’un Öneri Sistemlerini DSA Kapsamında İnceliyor

Avrupa Komisyonu, DSA kapsamında YouTube, Snapchat ve TikTok’tan öneri sistemlerinin işleyişi hakkında bilgi talep etti. DSA gereği platformlar, öneri sistemlerinin, kullanıcı ruh sağlığı, zararlı içerik yayılımı, bağımlılık yaratıcı etkiler ve reşit olmayanların korunması açısından risk teşkil edip etmediğini değerlendirmek ve -şayet var ise- bu riskleri azaltmak zorundadır. YouTube ve Snapchat’ten içerik önerme algoritmalarının parametreleri ve yasa dışı içerik yayılımını önleme tedbirleri hakkında bilgi istenirken, TikTok’tan kötü niyetli manipülasyonları engelleme ve seçim süreçlerine ilişkin riskleri azaltma önlemlerini açıklaması istendi. Yanıtların ardından, gerekirse resmi soruşturma başlatılabilecek; eksik veya yanlış bilgi verilmesi durumunda idari para cezası uygulanabilecektir.

Komisyon’un duyurusuna buradan ve ek sorulara ilişkin duyurusuna buradan ulaşabilirsiniz.

Hollanda Veri Koruma Otoritesi, Aydınlatma Yükümlülüğünü İhlal Eden Netflix’e 4.750.000,00 Avro İdari Para Cezası Uyguladı

Hollanda veri koruma otoritesi, Netflix’in 2018 ve 2020 yılları arasında kullanıcılarına kişisel verilerinin nasıl işlendiğine dair yeterli bilgi sağlamadığını ve verilen bilgilerin bazı noktalar açısından net olmadığını tespit etmiştir. Bu nedenle, yayın platformuna 4.750.000,00 Avro tutarında idari para cezası uygulanmıştır. Karara itiraz eden Netflix, bu süreçten sonra gizlilik politikasını güncelleyerek veri sahiplerinin aydınlatılmasına yönelik uygulamalarını iyileştirdi.

Flemenkçe karara buradan ulaşabilirsiniz.

İrlanda Veri Koruma Komisyonu (DPC), Meta Aleyhine 251.000.000,00 Avro İdari Para Cezasına Hükmettiğini Duyurdu

DPC, Meta Platforms Ireland Limited hakkında yürüttüğü soruşturmalar sonucunda toplamda 251.000.000,00 Avro para cezası uygulanmasına karar verdi. Temmuz 2017’de Facebook’un yeni video yükleme özelliğindeki güvenlik açığı, kullanıcı profillerinin yetkisiz erişime açık hale gelmesine yol açtı. Dünya çapında 29 milyon, Avrupa Birliği ve Avrupa Ekonomik Alanında ise 3 milyon hesap bu güvenlik açığından etkilendi ve kullanıcıların hassas kişisel verileri dahil olmak üzere birçok verisi açığa çıktı. DPC, veri ihlali bildirimindeki eksiklikler, düzeltici adımların belgelenmemesi, veri koruma ilkelerinin tasarıma entegre edilmemesi ve varsayılan veri koruma yükümlülüğüne uyulmaması nedeniyle Meta’ya çeşitli cezalar uyguladı.

DPC’nin duyurusuna buradan ulaşabilirsiniz.

AB Adalet Divanı’na Göre (ABAD) Rakipler GDPR İhlallerine Karşı Dava Açabilir

ABAD’ın C-21/23 sayılı kararına konu olayda, yalnızca eczanelerde satılabilen tıbbi ilaçları Amazon üzerinden pazarlayan ve bu esnada da müşterilere ait kişisel verileri elde eden Alman Lindenapotheke Eczanesi aleyhine, rakip bir işletme tarafından Alman rekabet hukuku mevzuatının ihlal edildiği gerekçesiyle dava açılmıştır. Davacı rakip işletme, müşterilerin sağlık verilerinin işlenmesine önceden onay verdikleri garanti edilmediği sürece, bu satışların durdurulmasını talep etmiş ve bu durumun haksız ticari uygulama olduğunu ileri sürmüştür.  

ABAD, GDPR ihlallerine karşı rakipler tarafından haksız ticari uygulamalar kapsamında dava açılabileceğini değerlendirmiş ve GDPR’ın yürütme mekanizmalarının yalnızca tüketici şikayetleri ve denetleyici otoritelerle sınırlı olmadığını vurgulamıştır. ABAD, rakip işletmelerin GDPR ihlalleri nedeniyle dava açmasının her zaman veri koruma amaçlı olmayabileceğini, ancak adil rekabeti sağlama hedefi taşıyabileceğini kabul etmiş ve bu tür davaların GDPR uyumuna katkı sağlayabileceğini ifade etmiştir.

ABAD, daha önce Meta ve Bundeskartellamt davasında üye devletlerin rekabet otoritelerinin veri koruma kurallarına uyumu inceleyebileceğini belirtmişti. Lindenapotheke davasında da adil rekabetin sağlanmasında veri koruma kurallarına uyumun öneminin vurgulandığı görülmektedir. Bu nedenle söz konusu karar, rekabet hukuku ve veri koruma hukuku arasındaki etkileşimin giderek arttığını gösteren bir örnek olarak değerlendirilmektedir.

ABAD’ın kararına buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.