• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2021/671

06/07/2021
Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

2021/549

04/06/2021
Konu: İlgili kişinin işletmeye girerken rızası dışında ateş ölçümü yapılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette konu olan işletmeye giriş yaparken kendisinden rızası olmaksızın ateş ölçümünün alındığı belirtilmiştir. Kurul tarafından yapılan incelemede ateş ölçümü verisinin biyometrik veri ve sağlık verisi kapsamına girmediği bu sebeple özel nitelikli kişisel veri kapsamına girmeyeceği belirtilmiştir. Ateş ölçümü için ise pandemi koşulları nedeniyle yayınlanan genelge kapsamında ateş ölçümünün zorunlu olduğu belirtip KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2021/608

22/06/2021
Konu: İlgili kişinin eski telefon numarasına kişisel verilerinin yollanması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletin şikayette bankacılık faaliyetini gerçekleştirdiği bankanın telefon numarasını güncelleme talebine uymayıp eski telefon numarasıyla veri paylaştığını belirtmiştir. Kurul tarafından yapılan incelemede KVKK Madde 4 içerisindeki şartların dağlanmadığını tespit etmiştir. Sonuç olarak kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

2022/243

17/03/2022
Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

2022/224

10/03/2022
Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

2022/184

04/03/2022
Konu: Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin alacak devir sözleşmesiyle devredilmiş telekominasyon borçlarının alacağını devralan veri sorumlusu tahsil etmek amacıyla ilgili kişinin açık rızasını almadan firmayla görüşme yaptığı üçüncü kişi numaralarıyla paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almadığı tespit edilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 50.000-TL İdari para cezası uygulanmıştır.

2022/172

24/02/2022
Konu: Yurt dışı merkezli veri sorumlusunun Türkiye’deki irtibat bürosu tarafından iş alımlarda adaylardan özel nitelikli kişisel veri talep etmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin Türkiye’deki irtibat bürosu için işe alım yapan yurt dışı merkezli şirketin işe alım belgelerinde talep ettiği özel nitelikli kişisel verilerin işlenmesi için açık rıza almadığı ve ilgili kişinin bu verilerin imhasına yönelik başvurusuna veri sorumlusu tarafından yasal sürede yanıt verilmediği belirtilmiştir. Kurul tarafından yapılan incelemede, irtibat bürosunun yaptığı iş sözleşmesinin veri sorumlusunun kendisine akdedilmesi ile ilgili veri işleme faaliyetinin halihazırda taabi olduğu yabancı mevzuat sebebiyle ile yurt dışında işlemesinin zorunlu olması nedeniyle veri işleme faaliyetinin bir hukuka aykırılık taşımadığını ama açık rızanın alınmasının gerekliliğini belirtmiştir. Veri sorumlusuna ilgili kişi tarafından yapılan başvurunun geçerli olduğu ve bahse konu olan veri işleme faaliyetinin gerektirdiği yegane yolun açık rıza alınması gerekmesi sebebiyle Kurum, veri sorumlusunun başvuruları konusunda azami dikkat ve özeni göstermesi, buna ek olarak ilgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösteren bir belge ile Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2022/103

10/02/2022
Konu: Unvanında ilgili kişinin adının geçtiği şirket hakkındaki hukuki dokümanın sosyal medyada paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette bir tüzel kişinin unvanında ilgili kişinin adının geçtiği ve şirket hakkındaki icra takibinin sosyal medyada paylaşılmasından ötürü KVKK’nın 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişi kavramı üzerinden gerçek kişi tüzel kişi ayrımı tanımlanmış olup her ne kadar şirketin adında ilgili kişinin adı geçse de sosyal medyadaki paylaşım tüzel kişiliğe yönelik olup KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2022/31

18/01/2022
Konu: Sağlık sektöründe ilgili kişinin açık rızası alınmaksızın veri sorumlusu tarafından ticari elektronik ileti gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin açık rızası olmaksızın kendisine ticari elektronik ileti gönderildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgli kişiye KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında ilgili kişiye veya hasta yakınlarına tıbbi bilginin iletilmesi amacıyla ileti gönderilebilinir lakin somut olayda gönderilen e-posta içeriğinin tıbbi amaçla değil ticari amaçla atıldığı tespit edilmiştir. Sonuç olarak söz konusu kişisel verinin elde edilme amacı dışında kullanılmasından ötürü veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası verilmiştir.

2022/6

06/01/2022
Konu: İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin eski ortağı olduğu ve herhangi bir hukuki veya idari bağının olmadığı şirkete ait sicil bilgilerinin eski ortaklar başlığı altında yayınladığı ve veri sorumlusu Ticaret odasının ilgili kişinin kişisel verilerin üçüncü kişilerle izinsiz paylaşılmaması için yaptığı başvurunun reddedildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişinin işlenen verilerinin 5174 sayılı kanunda öngörülen yükümlülük kapsamında değerlendirileceği belirtilip söz konusu kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan hukuki yükümlülüğü yerine getirilmesi için zorunlu olması şartlarına dayandırılacağı kararlaştırılmıştır. İlgili kişinin talebine yönelik KVKK’nın 7’nci maddesi kapsamında işleme şartlarının ortadan kalkmaması sebebiyle ilgili kişinin talebi ile ilgili KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2021/1303

23/12/2021
Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bu hizmetin verilişi esnasında alınan konum bilgileri ve depolanabilir diğer bilgilerle ilgili kişilerin profillenebileceğinin bu profilleme işleminin meşru menfaat kıstasları altında yapılması gerektiği belirtilip tanımlanmıştır. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/1262

16/12/2021
Konu: Sigorta şirketinin banka verilerini hukuka aykırı şekilde işlemesi ve kişisel verilerinin yok edilmesi talebinin cevaplanmaması konulu kurul kararı.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette sigorta şirketinin hukuka aykırı olarak banka verilerini işlediği ve vekil aracılığıyla yaptığı kişisel verilerinin yok edilmesi başvurusunun yanıtsız bırakıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sigorta şirketinin işlediği banka verilerinin KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında kanuni yükümlülükten ötürü işlediğine karar verilmiştir. Veri sorumlusunun ilgili kişinin vekilinin vekaletnamesinde “özel yetki” şartı aranması dolayısıyla başvurusunu cevapsız bırakması noktasında ise vekaletnamede “özel yetki” şartının aranamayacağını belirterek Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi kapsamında red işleminin gerekçesinin açıklanarak yapılması konusunda veri sorumlusunu talimatlandırmıştır.

Ceza: İdari para cezası verilmemiştir.

2021/1258

16/12/2021
Konu: İş akdi sona eren çalışanın özel nitelikli verisinin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, veri sorumlusunun ilgili kişiyi açık rıza vermeye zorladığı, açık rızaya dayanmayan şekilde biyometrik verinin işlendiği ve gizlilik politikasının olmadığı belirtilmiştir. Kurul tarafından yapılan incelemede tarafların eşit konumda olmaması dolayısıyla iş sözleşmesi içerisinde bulunan rıza metnine verilen onayın özgür irade kapsamında değerlendirilemeyeceği, şirkete girerken parmak izi ve yüz tarama verilerini güvenliğin sağlanması amacıyla işlenmesi savunması orantısız bulunmuş ve ölçülülük ilkesine aykırı olduğu değerlendirmiştir. Bununla birlikte, gizlilik politikasının ise kanuni bir yükümlülük olmadığı belirtilmiştir. Sonuç olarak, biyometrik veri işleme faaliyetinin ölçülülük ilkesine aykırılığı kapsamında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

2019/198

05/07/2019
Konu: İlgili kişinin sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı.

Kararı Paylaşın

Karar Özeti:

Kurul ilgili kişi tarafından veri sorumlusu mağazanın özel indirimler ve kampanyalar için sadakat programı kapsamında üyelik ve kart alımı için kişisel veri talep etmesi ve açık rızaya zorlaması ihbarını incelemeye almıştır. Yapılan incelemede öncelikle kullanılan sadakat programı usulünün herhangi bir şekilde ürün veya hizmet sunulmasının ya da ürün veya hizmetten yararlandırılmasında ön şart olamayacağı belirtilmiştir. İlgili olayda ise açık rızanın sadece indirim kapsamında bir ek menfaat sağlanması amacıyla koşul olarak dayatıldığına karar verilerek bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olmadığı belirtilerek KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2021/1153

11/11/2021
Konu: Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Kuruma iletilen şikâyetinde kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir. Kurul tarafından yapılan inceleme sonucunda ilgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında KVKK kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.