EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2022/137

2022/137

17/02/2022

Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

Kuruma intikal ettirilen ihbar dilekçesinde; veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satın alma başvurusu yapıldığı esnada ilgili kişilerden e-Devlet şifrelerinin istenildiği, bu durumun 6698 sayılı Kanuna aykırılık teşkil ettiği belirtilerek gereğinin yapılması talep edilmiştir. İhbar dilekçesinde ayrıca; veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır. şeklinde bilgilerin yer aldığı ekran görüntüsüne yer verildiği görülmüştür.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

 • Veri sorumlusunun gerek yerleşik olduğu iş yerlerinde gerekse de web sitesinde perakende satış hizmeti sunduğu ve bu hizmete ilişkin müşteri/ziyaretçi/üyelerden kanundan kaynaklanan veya satış sözleşmesinin gereklerinden kaynaklanan kişisel verileri satış sözleşmesini gereği gibi ifa etmek amacıyla otomatik olan yahut otomatik olmayan yollarla bir veri kayıt sisteminin parçası olmak üzere uhdesinde bulundurduğu,
 • Ayrıca kredilendirmeye esas olarak senetle yapılan alışverişler için sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan ilgili kişilere ait kişisel, mali ve ekonomik verilerin işlendiği, ilgili kişilerden istenen bu verilerin işleme ilkelerine tam olarak uyumlu olduğu,
 • Veri sorumlusu tarafından verilerin; kredilendirmeye esas teşkil etme, ilgili kişilerin kimlik bilgilerini, mali gücünü ve iletişim bilgilerini doğrulama, mal/hizmet satış süreçlerinin yürütülmesi, müşteri ilişkileri süreçlerinin yönetilmesi, sözleşme süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, hukuk işlerinin takibi ve yürütülmesi amaçlarıyla işlendiği, saklandığı ve gerektiğinde imha edildiği,
 • İnternet sitelerine üye olan kişilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri bilgilerinin işlendiği, bu bilgilerin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği, üye olmayıp yalnızca ziyaretçi olan kişilerin; IP adresi, site üzerinde gezinme bilgilerinin tanıtım yapmak, promosyonlar ve pazarlama teklifleri sunmak, sitenin içeriğini kullanıcılara göre iyileştirmek ve/veya tercihlerini belirlemek amacıyla işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri, otomatik ödeme bilgilerinin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği,
 • Firmalarının mağaza satışlarının büyük kısmını oluşturan “Sözleşmeli Alışveriş”ler için internet üzerinden uygun bir ekran oluşturulmak istendiği, sözleşme ile alışverişin Türk Borçlar Kanununun (TBK) 8 inci maddesinde yer alan icaba davet niteliğinde bir faaliyet olduğu, bu alışveriş bakımından firmanın kendi iç bünyesinde kredilendirme çalışması yapıldığı, ilk olarak muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği, internet sitesinde bulunan sözleşmeli satış ile ilgili olarak alınan verilerin yalnızca yukarıda belirtilen veriler olduğu, bunun haricinde e-Devlet şifresinin taraflarınca istenmediği ve ilgili alanın başkaca bir görselin parçası olduğu, format olarak dahi girilip doldurabilen bir alan olmadığı, jpg formatında olan bir alan olduğu ve taraflarınca fark edilmesiyle ivedilikle kaldırıldığı, bu alanda yer alan e-Devlet şifresi girişi için internet sitelerinde teknik donanım dahi bulunmadığı, bu hususla ilgili kurumun yapacağı her türlü denetime firmalarının açık olduğu, site üzerinde yer alan yazılımda ve veri tabanlarında bu hususa ilişkin hiçbir veri bulunmadığı, hiç kimsenin bu şekilde oldukça hassas ve kişiye özel olan verisinin işlenmediği, yalnızca icaba davet niteliğinde olacak şekilde genel nitelikli verilerin taraflarınca işlendiği ve kredilendirme yapma ve ödeme gücünün tespiti için iletişim numarasından kişi ile iletişime geçilerek bu şekilde kimlik doğrulaması yapıldığı, taraflarının e-Devlet şifresi alma gibi bir uygulaması bulunmadığından bu verilerle başkaca hiçbir verinin de elde edilmediği

belirtilerek kişisel verilerin korunmasına ilişkin taraflarınca alınan idari ve teknik tedbirlerle ilgili başkaca bilgilere ve açıklamalara yer verilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 17/02/2022 tarih ve 2022/137 sayılı Kararı ile;

 • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
 • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
 • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
 • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında da “Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği, mezkur maddenin (5) numaralı fıkrasında kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceğinin hüküm altına alındığı,
 • Somut olayda veri sorumlusu tarafından internet sitesinde e-Devlet şifresinin talep edildiği alanın jpg formatında olduğu iddia edilmekle birlikte söz konusu internet sitesine ilişkin ekran görüntüsü incelendiğinde; Kasaya Git sekmesi altındaki sayfada kırmızı renk ile yazılmış “Dikkat Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi Onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” bilgilendirmesinin yer aldığı ve e-Devlet şifresinin girilebildiği bir kutucuk ile SİPARİŞİ ONAYLIYORUM başlıklı bir bölüm olduğu, dolayısıyla, ihbar dilekçesi ekinde yer verilen ekran görüntüsünden yazı içeriğinde butona basılması ile otomatik olarak doğrulama yapılacağının belirtilmesi ve e-Devlet şifresinin girildiği bir alan olduğunun anlaşılması noktasından hareketle e-Devlet şifresi girileceği belirtilen alanın jpg formatında olmasının herhangi bir amaca hizmet etmeyeceği, nitekim veri sorumlusu da her ne kadar e-Devlet şifresinin taraflarınca istenmediğini, ilgili alanın başkaca bir görselin parçası olduğunu, doldurulamayacak ve jpg formatında bir alan olduğunu iddia etse de bu durumu tevsik edici bir belge sunmadığı, hatta ihbara konu ekran görüntüsünün taraflarınca fark edilmesiyle ivedilikle kaldırıldığını beyan ettiği,
 • Bu kapsamda, ihbara konu ekran görüntüsünde yer alan sayfanın, veri sorumlusunun e-mağaza uygulamasında kontrolleri dışında görüntülenebilir olmasının mümkün olamayacağı, söz konusu olay bu şekilde vuku bulmuş olsa dahi bu durumun veri sorumlusunun kendi internet sitesinde gerçekleştirilmesi muhtemel kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına işaret ettiği, senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle, ilgili kişilerin e-Devlet kapısında kendileriyle ilgili yer alan her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları,
 • Öte yandan, söz konusu e-Devlet şifresinin bir anlam ifade edebilmesi için müşteriler tarafından öncelikle T.C. kimlik numarasının veri sorumlusuna sağlanmış olması gerektiği, veri sorumlusu tarafından üye olan kişilerin ad-soyadı, iletişim, adres, parola, alışveriş ve ödeme yöntemleri bilgilerinin işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin ise ad-soyadı, iletişim, adres, parola, alışveriş, ödeme yöntemleri ve otomatik ödeme bilgilerinin işlendiği belirtilmekle birlikte Kuruma iletilen aydınlatma metinlerinde taraflarınca T.C. kimlik numarasının da alındığının beyan edildiği, bu hususa ilişkin olarak internet sitesinde yapılan incelemede Hesap Oluştur sayfasında üyelik için T.C. kimlik no, ad, soyadı, e-posta, telefon, adres (il, ilçe, mahalle, cadde, sokak, açık adres) ve parola bilgilerinin talep edildiği ve “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.” ifadelerine yer verildiği,
 • Ayrıca, internet sitesine rastgele bir T.C. kimlik numarası ile üye olunmak istendiğinde “Girdiğiniz Tc kimlik numarası geçersizdir.” uyarısı ile karşılaşıldığı, söz konusu T.C. kimlik numaralarının geçerli ya da geçersiz olduğuna ilişkin doğrulamanın nasıl bir veri tabanı ile sağlandığının anlaşılamadığı,
 • Üyelik oluşturma sayfasında T.C. kimlik numarası girilmesi gereken alanlara rastgele numaralar girilerek deneme yapıldığı, bu denemede *********** şeklinde bir numara girilmesi sonrasında aktifleşen alanlarda otomatik olarak A*** A*** İ*** Cad. S*** Sok. No:** bilgilerinin görüntülendiği, bu şekilde birkaç tane daha deneme yapıldığı ve farklı kişilerin ad, soyadı ve adres bilgilerinin ekrana otomatik olarak yansıdığı, söz konusu T.C. kimlik numaralarının geçersiz olabileceği kanaatine varılmakla birlikte bu üyeliklerin veri sorumlusu tarafından doğrulama sistemi getirilmesi öncesinde müşteriler tarafından oluşturulan gerçek hesaplar veya veri sorumlusu tarafından deneme amaçlı oluşturulan hesaplar olabileceği,
 • Söz konusu ihtimallere karşı geçerli bir T.C. kimlik numarası ile üyelik oluşturulduğu, sonrasında aynı T.C. kimlik numarasının hesap oluşturma sayfasına girildiği ve oluşturulan hesap bilgilerinin üyelik sayfasında otomatik olarak yer aldığı, buradan hareketle, yalnızca bir kişinin T.C. kimlik numarasını ve söz konusu sayfaya üye olduğunu bilen bir kişinin ilgili kişinin adres bilgilerine ulaşmasının olası olduğu,
 • Bununla birlikte söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği,
 • Resen inceleme konusu çerçevesinde internette yapılan araştırmada; veri sorumlusunun internet sitesinden yaptıkları alışverişlerle ilgili yaşadıkları sorunları paylaşan farklı kişilerin olduğu, bu kişilerin şikâyetlerinde e-Devlet şifresini de veri sorumlusu ile paylaştıklarını ifade ettikleri ve bu durumdan endişe duyduklarının görüldüğü,
 • Bu çerçevede resen incelemeye konu ihbar başvurusu, veri sorumlusu hakkında internet sayfalarında yer verilen şikâyetler ile veri sorumlusundan alınan bilgiler ışığında, veri sorumlusu tarafından ilgili kişilerden senetli alışveriş yapabilmek için e-Devlet şifresi, internet sayfasında üyelik oluşturabilmek için de T.C. kimlik numarası bilgisinin temin edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
 • Bununla birlikte, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; açık rızanın Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerektiği, rızanın özgür iradeyle verilmiş olmasının kişilerin verileri üzerinde kontrol hakkına sahip olması ve bireylere gerçek bir seçim hakkının tanınmış olması ile sağlandığı, birey rıza vermemenin sonucunda hizmetten yararlanamıyor ise yani reddin bir yaptırımı var ise bu bireyin karar verme mekanizmasını etkileyecek bir duruma sebebiyet verebileceği, somut olayda online bir alışveriş sitesine üye olmak ve senetli alışveriş yapmak için alınan kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa (Veri Sorumlusunun hesap oluşturma sayfasında yer alan bilgi: “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.”, veri sorumlusunun Kasaya Git sekmesinde yer alan bilgi: Dikkat Senetli alışverişte onay süreciniz başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz.), bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede, ilgili kişilerden senetli alışverişlerde e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarasının paylaşılmasının zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarına dayanılmaksızın gerçekleştirildiği,
 • Öte yandan, veri sorumlusu tarafından kredilendirmeye esas olarak senetle yapılan alışveriş için ilgili kişilere ait sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan kişisel, mali ve ekonomik verilerin işlendiği, verilerin ilgili kişilerin mali gücünü doğrulama amacıyla işlendiği, veri sorumlusu tarafından işlenen verilerin kanundan ve işin gereklerinden kaynaklanan veriler olduğu, muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği gibi genel nitelikte ve muğlak ifadelere yer verildiği görülmekte olup bu kapsamda ilgili kişilerin hangi verilerinin, Kanunda yer alan hangi veri işleme şartına dayalı olarak işlendiğinin anlaşılamadığı, bu kapsamda, veri sorumlusu her ne kadar sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan veriler olduğunu iddia etse de ödeme gücü tespit edilmeksizin de sözleşmenin kurulmasının mümkün olabileceği ile söz konusu ödemenin aksaması/yapılmaması halinde hukuki yollara başvurulması suretiyle ödemenin yapılmasının sağlanabileceği kanaatine varıldığı, diğer bir deyişle, veri sorumlusu tarafından ilgili kişilerin ekonomik durumuna ilişkin kişisel verilerin işlendiği ve söz konusu verilerin işlenmesinin hukuka uygunluğu noktasında belirsizlik bulunduğu

tespit ve değerlendirmelerinden hareketle;

 • Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmakta olup bu hususların Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
 • Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını Kanunun 7 nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına,
 • Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
 • Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği dikkate alındığında, konuya ilişkin olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme başlatılmasına karar verilmiştir.
Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?