2023/845
18/05/2023
- Sektör: Kargo
- Kanun Maddesi
Kuruma iletilen şikayette özetle; bir online alışveriş platformu üzerinden gerçekleştirilen bir alışverişin ardından, siparişin bir gün sonra veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği ifade edilmektedir. Ancak, teslimatın ardından kurye tarafından gönderilen taciz içerikli mesajın alıcıya ulaştığı ve mesajın kurye tarafından gönderildiğinin kargo şirketi (veri sorumlusu) tarafından doğrulandığı belirtilmektedir. Bu durumda, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının müşteriyi rahatsız ettiği ifade edilerek, gerekli önlemlerin alınması talep edilmektedir. Veri sorumlusu, ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasını, Kanun’un öngördüğü kişisel veri işleme şartlarına uyulmaksızın hukuka aykırı olarak paylaşmıştır. Bu nedenle, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığı sonucuna varılarak, Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/570
11/04/2023
- Sektör: Bankacılık
- Kanun Maddesi
Bir kripto para alım satım uygulaması üzerinde belli limitlerin üzerinde işlem yapılması için “ileri seviye” üyelik gerektiği, bu üyeliğin ise kullanıcın kimiliğinin ön ve arka yüzünün fotoğrafını kendi yüzü ile beraber çekilmiş fotoğrafının talep edilmesinin Kanunun 5. maddesine gereğinden fazla kişisel veri talep edilmesi olduğu gerekçesiyle Kuruma başvurmuştur. Kurum yaptığı incelemede 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere çeşitli kanunlardaki ve MASAK tarafından yayınlanan tebliğler uyarınca bu bilgilerin gerektiğine ve kullanıcıların temel seviye üyelikte asgari işlemler olan kripto para alıp satmak, para çekip yatırmak işlemlerini yapabildikleri, ileri seviye üyeliğin anonim bir işlem olan kripto para gönderimi için gerekli olmasının kişisel veri talepleri açısından dengeli bir yaklaşım olduğuna karar vermiştir. İdari para cezası verilmemiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Kimlik Doğrulama, kripto, müşterini tanı
2023/1465
24/08/2023
- Sektör: Araç Kiralama
- Kanun Maddesi
Bir araç kiralama internet sitesindeki hesabına giriş yapan ilgili kişi, kendi giriş bilgilerini girmesine rağmen başka bir kişinin hesabına giriş yapmış ve kişiye ait isim, adres ve TC kimlik numarasını görmüştür. İhlali veri sorumlusuna bildiren başvuran, ihlalin düzeltildiğini görmüş ama herhangi bir cevap alamamıştır. Bunun üzerine Kuruma başvurmuştur. Kurum veri sorumlusundan savunma istemiştir. Savunmada; algoritmalarında kısa süreli bir hata olduğu ve toplam 4 kişinin bu sorunu yaşadığı tespit edilmiş ve düzeltildiği söylenmiştir. Ancak veri ihlali Kuruma bildirilmemiştir. Kurum veri 12/5 uyarınca ihlal bildiriminin yapılmaması sebebiyle ceza uygulamıştır.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Algoritma, Araç Kiralama, hata
2023/1430
17/08/2023
- Sektör: Özel Sektör
- Kanun Maddesi
Yemek kartı hizmeti veren bir şirketin mobil uygulamasında fiziki yemek kartını kaydetmek istediğinde TC kimlik no ile doğrulama yapılması zorunlu tutulması üzerine Kuruma bir şikayet iletilmiştir. Yapılan inceleme üzerine veri sorumlusundan cevap istenmiş. Cevapta; mobil kartlar için telefon numarası ile doğrulama yapılabildiğini ancak fiziki kartların uygulamaya eklenmesi gerektiği zaman müşterilerin güvenliği ve müşteri tanıma protokollerinin işletilebilmesi için TC kimlik no istendiği belirtilmiştir. Kurum incelemesinde her ne kadar genel nitelikli kişisel verilerinden olsa da TCKN telefon numarası ve diğer doğrulama bilgilerinden daha olduğu için bu işlemin daha düşük seviye veriler ile de yapılabileceğine karar vermiştir. 5 maddedeki hükümlere aykırılık tespit ederek 12. madde hükümlerince veri güvenliğinin tehlikeye düştüğünü söylemiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: TC, TCKN, Veri Minimizasyonu, Yemek kartı
2023/767
11/05/2023
- Sektör: Basın
- Kanun Maddesi
İlgili kişi özel sağlık hizmeti aldığı bir hastanede yaşadığı olumsuzluğu savcılığa ve noter ihbarnamesi ile sağlık kuruluşuna bildirmiştir. Bir süre sonrasında ihtarnamedeki kendi ve eşine ait özel nitelikli sağlık verilerinin bir gazetede habere konu olduğunu görür. Kurum gelen şikayet üzerine hastaneden ve gazete şirketinden savunma ister. Hastanenin verileri basın özgürlüğü kapsamında haber yapmak isteyen gazete ile paylaştığını bu durumun 28. maddedeki istisna kapasamında değerlendirileceğini söyler. Gazete ise ihlali kabul etmeyerek basın ve ifade özgürlüğünü kullandığını, ilgili kişinin milletvekili adayı olduğu için bu haberi kamunun menfaati için duyurdukları söyler. Kurum değerlendirmesinde, haberin kamu yararı içerdiği ancak haberdeki özel nitelikli kişisel verilerin paylaşılmadan da kamuyu bilgilendirme görevi yerine getirilebileceğini söylerek 100.000 TL idari para cezası vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Basın Özgürlüğü, gazetecilik, kişilik hakkı
2023/928
01/06/2023
- Sektör: Üniversite
- Kanun Maddesi
Bir üniversitede çalışan personelin kendisi ve diğer pek çok personelin isim, e-posta, telefon ve PCR test sonuçlarını içeren Excel dosyası rektör tarafından bir kısım personele e-posta aracılığıyla iletilmiş. Şikayet üzerine Kurum inceleme başlatmıştır. İncelemede, e-postayı alan personellerin bilgisi paylaşan kişilerin amirleri olmadığı dolayısıyla herhangi bir kontrol amaçlı gönderilmediği, tamamen ilgisiz kişilerle verilerin paylaşıldığı ortaya çıkmıştır. Üniversite tarafından yapılan savunmada dosyanın sehven gönderildiği söylense de şikayet eklerindeki ekran görüntüleri incelendiğinde dosyanın sehven değil, bilinçli olarak eklendiği görülmüştür. Kanunun 5 ve 6. maddeleri işleme şartlarına uyulmadan ihlal edilmiştir. Kamu kurumu olması sebebiyle ceza verilmemiş, sorumlu kişiler adına disiplin soruşturması başlatılması talep edilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/1321
03/08/2023
- Sektör: Özel Sektör
- Kanun Maddesi
Kuruma intikal eden şikâyete göre, ilgili kişi, eski ortağı olduğu veri sorumlusu Şirketten ayrılarak yeni bir şirket kurmuş, ancak eski ortağı olduğu döneme ait e-posta adresinin hala aktif olduğunu ve bu adres üzerinden gönderilen e-postaların okunduğunu tespit etmiştir. Bu durumun kendisi için haksız rekabet ve maddi zarara yol açtığını düşünen kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemlerin yapılmasını talep etmiştir. Yapılan inceleme sonucunda veri sorumlusundan alınan savunmada, ilgili kişinin ortaklıktan ayrılmasıyla e-posta adresinin kapatıldığı ve teknik olarak kullanılamaz hale getirildiği belirtilmiştir. Ayrıca, söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği ve iddialara rağmen bu e-postalarda kişisel veri bulunmadığı ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun değerlendirmeleri ışığında, ilgili kişinin eski e-posta adresine, şu anda pasif durumda olmasına rağmen, hala ileti gönderildiği tespit edilmiştir. Bu e-posta adresindeki veriler kişisel veri niteliğinde olup, ilgili kişinin işten ayrılmasına rağmen e-posta gönderiminin engellenmemesi sebebiyle tanımsız e-posta üzerinden iletiler görüntülenmeye devam edilmektedir. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi kapsamında bir dayanağa sahip olmadığı için, Kanun’un 18. maddesi uyarınca veri sorumlusuna idari para cezası uygulanması yönünde karar verilmiştir. Ayrıca, söz konusu sistemde işten ayrılan kişilere ilişkin kişisel veri işleme faaliyetinin sonlandırılması için düzenlemeler yapılması ve bu düzeltmelerin Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir. Şikayet konusu kişisel verilerin imha edilmesi de talep edilmiş ve bu yönde veri sorumlusuna talimatlandırma yapılmıştır.
İlgili GDPR kararlarını görmek ister misin?
2023/1309
03/08/2023
- Sektör: Havayolu
- Kanun Maddesi
Kurula iletilen şikayette, ilgili kişi ailesi ile birlikte bir seyahat acentesinden bir tur satın almıştır. tur firması tarafından şikayete konu olan veri sorumlusu havayolu firması ile seyahatin panlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulaması üzerinden Check-in işlemi yapmak için Yolcu İsim Kaydını-passenger Name İnformation(PNR) ve soyadını girdiğinde tanımadığı başka yolcu bilgilerini gördüğü, ayrıca uçuşlarını iptal etmek ve değiştirmek gibi birçok işlem hakkının da tanındığı görülmektedir. Şikayet dilekçesine göre, havayolu şirketi tarafından tutulan kişisel verilerin, tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihmal ihtimali söz konusudur. Bu nedenle, kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi çerçevesinde hakları doğrultusunda, veri sorumlusu olarak yaşanan ihlal hakkında bilgi almak, mevcut ihlalin giderilmesini sağlamak, gerekli bildirimlerin yapılmasını talep etmektedir. Veri sorumlusundan gelen yanıtta, kişisel verilerinin hukuka aykırı olarak üçüncü kişilere aktarıldığının kabul edildiği ancak diğer talepleriyle ilgili herhangi bir cevap alamadığı belirtilmiştir. Bu bağlamda, kişi, şahsi verilerinin korunması adına alınan teknik ve idari tedbirler, verilerin işlenme amacı, üçüncü kişilere aktarılan bilgiler ve hukuka aykırı veri işleme faaliyetine son verilmesi hususlarında bilgi talep etmektedir. Kurul tarafından, İlgili kişinin şikayeti üzerine, havayolu şirketi tarafından yapılan bir PNR (Yolcu İsim Kaydı) sistemi incelemesinde, kişisel verilerin hukuka aykırı olarak paylaşıldığına dair bir ihlal tespit edilmiştir. Veri sorumlusunun iddia ettiği PNR + SOYADI kombinasyonuyla giriş işlemi sırasında sadece aynı soyada sahip kişilerin verilerinin görüntüleyebileceği açıklamasına rağmen, ilgili kişinin ekran görüntülerinde farklı soyadına sahip kişilerin verilerinin görüldüğü belirlenmiştir. Bu durum, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını ve Kanun’un 12. maddesi uyarınca kişisel verilerin güvenliğini sağlama yükümlülüğünü yerine getirmediğini göstermektedir. Bu nedenle, Kanun’un 18. maddesi çerçevesinde veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlanabilmesi konusundaki açıklamaları üzerine, veri sorumlusunun ilave teknik tedbirleri alması ve bu değişiklikleri Kurula bildirmesi için talimatlandırılmasına karar verilmiştir. Ancak, ilgili kişinin diğer sorularına veri sorumlusu tarafından yeterli yanıt verildiği belirlendiğinden, bu konuda ayrı bir işlem yapılmasına gerek olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/932
01/06/2023
- Sektör: Bankacılık
- Kanun Maddesi
ilgili kişi, cep telefonu numarası üzerinden online olarak veri sorumlusu Banka’ya müşteri olduğunu bildirmiş ve aynı gün bireysel kredi başvurusunda bulunmuştur. Ancak aynı gün içinde, hem ilgili Banka’ya verdiği telefon numarasına hem de adına kayıtlı ancak Banka işlemlerinde kullanılmayan başka bir telefon numarasına kredi başvurusuyla ilgili farklı içerikte kısa mesajlar gönderildiği belirtilmektedir. İlgili kişi tarafından yapılan ilk başvuruya verilen cevapta, Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığı belirtilmiştir. Ancak ikinci başvuruya verilen cevapta ise, şikayet konusu numaranın diğer bankalardan alındığı ifade edilmiştir. KKB’nin internet sitesinde yapılan araştırmada ise ilgili kuruluşta kayıtlı telefon numarasının, Banka’ya verilen telefon numarası ile aynı olduğu, yani şikayet konusu numaranın Banka’ya ait olmadığı belirtilmiştir. Veri sorumlusu, ilgili kişinin bildirmediği iletişim numarasını kredi işlemleriyle ilgili bilgilendirme yapmak amacıyla işlemiştir. Bu işlemin Kanun’un 5. maddesinin 2. fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/1563
07/09/2023
- Sektör: Finans
- Kanun Maddesi
“İlgili kişi, Borsa İstanbul’da satılamaz durumda olan hisselerini satılabilir hale getirmek amacıyla aracı kuruma başvuruda bulunmuştur. Başvuru, Merkezi Kayıt Kuruluşu AŞ (MKK) tarafından Kamuyu Aydınlatma Platformu (KAP) üzerinden duyurulmuş, ilanın içeriği adı-soyadı bilgisi dahil olmak üzere hangi hisseden ne kadarının satılabilir hale getirildiğini içermiştir. İlgili kişi, ad-soyadı bilgisinin ilandan çıkarılması talebiyle MKK’ye başvuruda bulunsa da talebinin kabul edilmediğini ifade etmiştir. MKK’nin cevabında ise payların borsada işlem gören niteliğe dönüştürülmesi işleminin Pay Tebliği’nin 15. maddesinin 3. fıkrasına dayanarak gerçekleştirildiği belirtilmiştir. Şikayetin Kanun kapsamında değerlendirilerek gerekli işlemlerin yapılması talep edilmektedir. Kurul tarafından değerlendirilmesi neticesinde; tebliğin ilgili maddesi kapsamında, “”MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.”” ifadesini içermektedir. Bu nedenle, MKK’nın işleminin Pay Tebliği uyarınca Kanun’un 5. maddesinin 2. fıkrasının ç bendi kapsamında hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak yapıldığı ve veri sorumlusu tarafından yeterli açıklamalarda bulunulduğu sonucuna varılmıştır. Bu bağlamda, ilgili kişinin MKK hakkındaki şikayetine ilişkin Kanun kapsamında bir işlem yapılmasına gerek bulunmamaktadır.”
İlgili GDPR kararlarını görmek ister misin?
2023/1578
14/09/2023
- Sektör: Sağlık
- Kanun Maddesi
Şikayet dilekçesine göre, ilgili kişi bir üniversiteye bağlı tıp merkezinde tedavi hizmeti alırken, şahsi terapi ve evlilik terapisi kayıtlarını içeren hasta dosyası, boşanma davası sürecinde görev yapan tıp merkezi mesul müdürü hekim tarafından mahkemeye gönderilmiştir. Bu dosyanın hiçbir önlem alınmadan, herkesin erişebileceği bir şekilde gönderilmesi sonucunda özel hayatına ait mahrem bilgilerin mahkeme tarafından taranarak geniş bir çevre tarafından öğrenildiği ifade edilmektedir. Hastanenin gereksiz detayları içeren notları paylaşmasının, ilgili kişinin özel hayatının açıkça ifşa edilmesine neden olduğu belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Tıp Merkezi hakkında işlem yapılması talep edilmektedir. İlgili kişinin özel nitelikli kişisel verilerinin, üniversitenin bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6. maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğu belirtilmiştir. İlgili kişinin özel nitelikli kişisel verisinin sağlık kayıtları, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221. maddesine dayanarak mahkemeye aktarılmıştır. Bu durumda, söz konusu kişisel veri aktarımının Kanun’un 8. maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğu ifade edilmiştir. Aktarım faaliyetlerinde, 2018/10 sayılı Kurul Kararı’na uygun olarak önlemlerin alınması gerektiği belirtilmiş ve özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilerek seçilmesi gerektiği vurgulanarak, veri sorumlusuna hatırlatma yapılmıştır. İlgili kişinin iddiaları arasında, belgenin UYAP’a yüklenerek üçüncü kişilerin erişimine açıldığına dair bir belirtilme olmasına rağmen, veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28. maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/1050
15/06/2023
- Sektör: Bankacılık
- Kanun Maddesi
Kişi, bankanın müşteri iletişim merkeziyle yaptığı görüşmede sanal kartının kopyalandığını ve kartının kullanıma kapatıldığını öğrenmiştir. Bu durum üzerine, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında, kopyalanan kişisel veriler ve bu verilerin hangi banka işlemiyle ilgili olduğunu öğrenmek amacıyla veri sorumlusuna başvuruda bulunmuştur. Ancak, yapılan başvuru yanıtsız bırakılmıştır. Daha sonra aynı konuda ikinci bir başvuru yaparak kişisel verilerinin işlenip işlenmediğini teyit etmek ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ait ses kaydını veya dökümünü talep etmiştir. Ancak bu başvuru da yanıtsız bırakılmıştır. Bu nedenle, kişi ilgili ses kayıt dökümünün tarafına sağlanmasını talep etmektedir. Kurulun değerlendirmeleri sonucunda; 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer alan “sır saklama yükümlülüğü,” müşteri ile ticari bağlantı nedeniyle elde edilen bilgilerin kanuni düzenlemelerin öngördüğü durumlar dışında üçüncü kişilere açıklanmamasını gerektirir. Aynı zamanda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesinin (1) numaralı fıkrasının (b) bendi, ilgili kişilerin kişisel verilerinin işlenip işlenmediğini öğrenme hakkını içerir. Bu hak, veriye erişim hakkını da kapsar ve ilgili kişilere kişisel verilerinin nasıl işlendiği hakkında bilgi alma imkanı tanır. Bu bağlamda, taraflar arasındaki görüşmeye dair doğrudan ifadeler içeren belgenin, ilgili kişi dışındaki kişisel verilerin çıkarılması veya maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi ve bu işlemler hakkında Bilgi Teknolojileri ve İletişim Kurumu’na bilgi verilmesi için Veri Sorumlusuna talimat verilmesi gerekmektedir. Ayrıca, Kanun kapsamında yapılan başvuruların, Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6. maddesi hükümlerine uygun bir şekilde, etkin, hukuka uygun ve dürüst bir şekilde gerekçe belirtilerek ve süresi içinde sonuçlandırılması gerektiği konusunda Veri Sorumlusuna hatırlatma yapılması kararlaştırılmıştır.
İlgili GDPR kararlarını görmek ister misin?
2023/1653
28/09/2023
- Sektör: E-ticaret
- Kanun Maddesi
İlgili kişi, veri sorumlusuna ait mağazadan alışveriş yaparken alışveriş kartı talep edilmiş ve bu kart için telefonuna gönderilen onay kodunu görevliye okumuştur. Ancak ilgili kişi, onay kodunu okuyarak “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan ettiğini fark etmiştir. Bu durum, kişisel verilerinin açık rızasının aldatma yoluyla ele geçirilmesi olarak değerlendirilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusundan gelen savunmaya göre; mağazalarda alışveriş kartı adı altında bir kart uygulaması bulunmamakta, ilgili kişinin belirttiği kartın bir “hediye kartı” olduğu, hediye kartının sadece ürün iadesi veya müşterinin isteği doğrultusunda kullanılabildiği belirtilmiştir. Hediye kartları için müşterilerden açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve müşterilere bu metne ulaşma yöntemleri sunulduğu ifade edilmiştir. Kasada yapılan işlemlerde müşterilere, aydınlatma metni ve kişisel veri işleme faaliyetleri hakkında bilgi verildiği ve müşterinin kayıt olup olmadığının sorulduğu, kayıt olmak isteyen müşterinin kendi cep telefonundan izin mesajı göndermesi gerektiği belirtilmiştir. Müşterinin gönderdiği mesaj üzerine şifre gönderildiği ve bu şifre içerisinde aydınlatma metni ve açık rıza beyanı gibi gerekli bilgilerin bulunduğu ifade edilmiştir. Kurulun değerlendirmeleri sonucunda; İlgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirilmiş ancak ilgili kişi rızasını geri çekmiştir. Bu durumda, Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirlenmiştir. Ancak, alışveriş sırasında ticari elektronik ileti gönderilerek kişisel verilerin işlenmesine ilişkin açık rıza alınmasının, ilgili kişilerin bu rızayı alışverişin bir parçası olarak verdiği izlenimi yaratabileceği ve bu durumun açık rızanın özgür irade ile açıklanma unsuruyla çelişebileceği değerlendirilmiştir. Bu çerçevede, ilgili uygulamanın, ilgili kişileri doğru bir şekilde bilgilendirerek alışverişin bir parçası olarak algılanmayacak şekilde revize edilmesine karar verilmiştir. Ayrıca, aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması, yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/1645
28/09/2023
- Sektör: Oyun
- Kanun Maddesi
Oyuncu olan İlgili kişinin Türkiye’de tek dağıtıcısı bulunan global oyun şirketine Kanunun 11. maddesi kapsamındaki haklarını öğrenmek için başvurduğu ancak birçok konuda tatmin edici cevap alamadığı ve oyun oynarken çalışan harici bir yazılımla kişisel verilerinin yurt dışına aktarıldığı iddiasıyla Kuruma başvurmuştur. Kurum hem yazılı hem de yerinde yaptığı işlemler sonucunda; kullanılan harici yazılımın sadece dolandırıcılık önlemekte kullanılan ve bilgi aktarımı gerçekleştirmeyen bir yazılım olduğuna ancak üyelik oluşturulurken sunulan aydınlatma metnindeki muğlak ve açık olmayan ifadeler gerekçesiyle Kanunun 10. maddesine uygun olmadığına, çerez aydınlatma metinlerinin tutarsız bilgiler içeriğine ve tutarlı hale getirilmesi gerektiğine 12. maddede düzenlenen veri güvenliği hükmüne aykırı olmaktan Kanunun 18. maddesi 1. fıkra uyarınca 750.000 TL idari para cezası verilmiştir. Eksikliklerin düzeltilmesi için süre verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/567
11/04/2023
- Sektör: E-ticaret
- Kanun Maddesi
Bir e-ticaret sitesinden alışveriş yapmak isteyen ilgili kişi, satın alma adımına geldiğinde işlemlere devam edebilmek için bilgilerini girdiği banka/kredi kartının siteye kaydedilmesinin zorunlu olduğunu fark eder. Kart bilgilerini kaydetmeden alışverişini tamamlayamayan kişi, açık rızanın hizmet koşuluna bağlanması ve kart bilgilerini kaydetmek için gerekli aydınlatma metinlerinin bulunmaması sebebiyle Kuruma şikayette bulunur. Kurum tarafından istenen savunmaya veri sorumlusu e-ticaret şirketi kişilerin alışveriş yapmak için kart bilgilerinin gerekli olduğu ve kaydedilmesinin de yine sözleşmenin kurulması için bir gereklilik olduğunu söyleyerek diğer iddiaları reddetmiştir. Kurum tarafından anonim bir hesap ile yapılan test alışverişinde ilgili kişinin iddialarındaki olayların gerçek olduğu anlaşılmıştır. Her ne kadar kaydedilen kart bilgileri sonradan silinebilir de bunun kanuna aykırı olduğu açıktır. Yapılan incelemede Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve bu suretle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına karar verilmiştir. İhlale konu özelliklerin değiştirilmesi için e-ticaret sitesine süre verilmiştir.