• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2020/404

20/05/2020
Konu: İşverenin, işçisine ait kişisel verileri ile özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a yapılan şikayet sonucu yapılan değerlendirmeler neticesinde, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi sebebiyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin birinci fıkrasının a bendi uyarınca idari para cezası uygulanmasına, veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından KVKK’nın 4’üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktarması sebebiyle, KVKK’nın 12’nci maddesinin birinci fıkrasında yer alan gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırılık sebebiyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/396

20/05/2020
Konu: İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi.

Kararı Paylaşın

Karar Özeti:

Veri sahibi ilgili kişi tarafından Kurul’a işe girişte özlük dosyasına eklenmek üzere ceza mahkumiyeti bilgilerini içerir adli sicil kaydının veri sorumlusu işverene verdiği ancak denetim süresinin sona erdiği, sicil kaydından ilgili kaydın silindiği ve veri sorumlusundan nezdinde bulunan adli sicil kaydının imhasını talep ettiğini bildirdiği başvuruda, Kurul tarafından yapılan değerlendirme sonucunda KVKK kapsamında özel nitelikli kişisel verilerin işlenmesine ilişkin kanunilik unsurunun öğretide ifade edilen maddi kanun olarak değerlendirilmesi gerektiği belirtilerek Devlet Personeli Başkanlığı’ndan alınan görüş ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri kapsamında sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/407

20/05/2020
Konu: İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda İlgili kişinin hastanın tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde e-posta yoluyla üçüncü kişiyle paylaşılması sonucu, ilgili kişi veri sorumlusu olan hastaneye başvurmuş, veri sorumlusu hastaneden hatanın kabul edildiğini içeren bir cevap almıştır. Hastanenin cevabına istinaden ilgili kişinin kurula yapmış olduğu başvuruda Kurulun yapmış olduğu inceleme sonucunda, Hastanenin veri sorumlusu olarak mesul müdürü göstermesi üzerine KVKK’nın 3. Maddesi gereği tüzel kişilerin veri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin sorumlu olduğu, hukuki sorumluluğu tüzel kişiliğin şahsında doğacağı ve kamu-özel tüzel kişisi ayrımı yapılmaksızın Hastane’nin bizatihi veri sorumlusu olduğunun hastaneye hatırlatılmasına, ilgili kişinin özel nitelikteki verisinin kişinin açık rızası ve KVKK’nın 6’ncı Maddesinde düzenlenen işleme şartları olmaksızın üçüncü kişiye aktarmak suretiyle hukuka aykırı şekilde işlenmesi suretiyle “Veri Güvenliğine İlişkin Yükümlülükler ”in ihlali nedeniyle veri sorumlusu hakkında idari para cezası verilmesine karar verilmiştir.

Ceza: 100.000-TL idari para cezası verilmiştir.

2020/379

14/05/2020
Konu: İlgili kişi; iş akdinin son bulmasına rağmen veri sorumlusu Tıp Merkezi’nin internet sitesinde yer alan pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisindeki görsel ve işitsel verilerinin işlenmesinin durdurulması ve verilerin kaldırılması talebine cevap verilmemesi üzerine Kurum’a başvurmuştur.

Kararı Paylaşın

Karar Özeti:

Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası uayrınca gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir; Veri sorumlusu Md. 13 kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda talimatlandırılmıştır.

Ceza: 75 000 TL idari para cezası kesilmiştir.

2020/357

07/05/2020
Konu: Bir sigorta şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 90.000 TL idari para cezası uygulanmasına; veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurum’a bildirimde bulunması sebebiyle KVKK’nın 12’nci maddesinin (5) numaralı fıkrası gereğince ayrıca yapılacak işlem bulunmadığına karar verilmiştir.

Ceza: 90.000 TL idari para cezası kesilmiştir.

2020/355

07/05/2020
Konu: İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması suretiyle İl Sağlık Müdürlüğüne dilekçe sunulması hususunda Kuruma intikal eden ihbar başvurusu.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda veri sorumlusu eczacının eşinin İl Sağlık Müdürlüğü’ne yaptığı başvurudan, eczacı eşinin Medula Eczane sistemine giriş yaotığının anlaşıldığı ancak söz konusu sistemin özel nitelikli kişisel veri içermesi sebebiyle, yetkisiz üçüncü kişi olan eşinin Medula sistemine erişimine izin veren Eczane hakkında üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla KVKK’nın 12’nci maddesinin 1 numaralı fıkraı uyarınca idari para cezası uygulanmasına karar verilmiştir. Bununl abirlikte, yetkisiz şekilde Medula sistemine giriş yaparak ilgli kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanunu’nun 136’ncı maddesi kapsamında savcılığa suç duyurusunda bulunulmuştur.

Ceza: 60.000,00-TL idari para cezası uygulanmıştır.

2020/335

05/05/2020
Konu: İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması hakkında Kurum’a şikayette bulunmuştur.

Kararı Paylaşın

Karar Özeti:

Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanun’un 5. maddesinde yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun Kanunun 12. maddesinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18. maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50 000 TL idari para cezası kesilmiştir.

2020/336

05/05/2020
Konu: İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından daha önce personeli olduğu veri sorumlusu üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, bu kapsamda üçüncü kişilerin erişimine açılan kişisel bilgilerinin KVKK kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilmiştir. Kurul tarafından yapılan değerlendirme sonucunda, veri sorumlusu tarafından ilgili kişinin başvurusunun cevaplandırılması hususunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına ve yetkisi olmayan kişiler tarafından iligli kişinin kişisel verilerine erişilmiş olması sebebiyle söz konusu uygulamya yönelik sorumlular hakkında işlem yapılmasına ve işlem sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/344

05/05/2020
Konu: Bir bankanın veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde bankanın uyum ve iç kontrol grubu tarafından düzenlenen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği, banka müşterisi olmayan toplam 7.706 kişinin bireysel nitelikteki kredi bilgilerine hukuka aykırı erişildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden 25.288 kişinin etkilendiğinin tespit edildiği, veri sorumlusu banka tarafından KKB sorgulamaları için zamanında gerekli teknik ve idari tedbirlerin alınmadığına, veri sorumlusu tarafından düzenli kontrollerin sağlanmadığına, veri sorumlusu tarafından çalışanların farkındalığına ilişkin gerekli işlemlerin sağlanmadığından bahisle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası verilmesine karar verilmiştir.

Ceza: 1.000.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/325

30/04/2020
Konu: Bir şahıs tarafından Kurum’a vekaleten intikal ettirilen usulen eksik nitelikteki çok sayıda başvuru hakkında değerlendirme.

Kararı Paylaşın

Karar Özeti:

Aynı kişi tarafından vekaleten ve asil olarak aynı konuya ilişkin Kurum’a tekrarlayarak gerçekleştirilen başvurulara ilişkin olarak Kurul tarafından yapılan değerlendirmeler sonucunda, vekaleten yapılan başvuruların gerekli usuli şartı taşımaması sebebiyle incelenemeyeceği ve başvuruların öncelikle Sosyal Güvenlik Kurumu’na yapılması gerektiğinin daha önce belirtildiği ifade edilerek aynı adres üzerinden gelen muhtelif kişilere ait başvurular ile bundan sonra Kurum’a intikal edecek bu içerikle benzer nitelikteki diğer başvuruların değerlendirmeye alınmayacağına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/307

22/04/2020
Konu: Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan değrlendirme sonucunda, Müdürlükler tarafından tutulan ticaret sicilinin kişisel verileri ierdiği ve sicilde yer alan kişisel veriler bakımından Müdürlüğün kişisel veri işleme faaliyeti gerçekleştirdiği, ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin KVKK hükümlerinden muaf olacağı anlamını taşımadığı, bu kapsamda Müdürlük tarafından kamu kuurm ve kuruluşlarına gerçekleştirilecek aktarımların KVKK’nın 8’inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği, aktarımı talep edilen kişisel verilerin bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmmış kuruluşlardan talep edilmesi, her türlü kişisel veri işleme faaliyetinde özellikle KVKK’nın 4’üncü maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma1 ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması gerektiği belirtilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/286

16/04/2020
Konu: Bir oyun şirketinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde oyun şirketinin oyuncu verilerine yasal olmayan yollarla hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği, hackerların şirketin bulut sistemlerine belirli olmayan kaynaklardan temin ettikleri kimlik bilgileri kullanarak erişmiş olduğu, ihlalden etkilenen kişi sayısının 39,995 olduğu, etkilenen kişisel verilerin isim, soyisim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, oyuncu kullanıcı adı ve şifresi, telefon numarası bilgileri olduğu beliritilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusu tarafından güvenlik ajanının ağ sistemine konuşlandırılması, kötü niyetli IP adreslerinin sistemden engellenmesi, oyuncu hesaplarının yetkisiz erişimlerden korunması gibi tedbirlerin alınmaması sebebiyle KVKK’nın 12’nci maddesinin 1 numarası fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.000.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/226

19/03/2020
Konu: İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu valilikte çalıştığı sırada, veri sorumlusu diğer bir çalışan tarafından hukuka aykırı olarak elde edilen ve veri sorumlusuna dijital ortamda sunulan veriler sebebiyle disiplin ve soruşturma işlemleri uygulandığı belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, kişisel verileri hukuka aykırı olarak elde eden valilik çalışanı açısından iddiaların Türk Ceza Kanunu hükümleri çerçevesinde değerlendirilmesi gerektiği, veri sorumlusunun işlediği kişisel veriler açısından disiplin soruşturma veya kovuşturması kapsamında KVKK’nın 28’inci maddesinin 2 numaralı fıkrasının c bendi kapsamında olduğu ve KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/216

12/03/2020
Konu: Bir bilişim şirketinin kişisel veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafında Kurul’a iletilen veri ihlal bildiriminde veri sorumlusunun sistemlerine siber saldırı sonucunda veri ihlalinin gerçekleştiği belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda saldırganlar tafafından erişilen verilerin veri sorumlusu tarafından tespit edilememesi veri sorumlusu tarfaından kontrol ve uyarı mekanizmalarının etkin şekilde kullanılmadığının göstergesi olduğu, veri sorumlusu nezdinde son kullanma tarihi geçmiş kredi kartı bilgilerinin kayıtlı olmasının KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının b ce ç bentlerine aykırılık teşkil ettiği, bununla birlikte veri sorumlusuna ait internet sitesinde gerçekleştirilen veri işleme faaliyetlerine ilişkin aydınlatma metninin bulunmadığı ve veri güvenliğini sağlanmasına ilişkin gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 450.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/212

12/03/2020
Konu: Bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan değerlendirmeler sonucunda kameralarla görüntü ile birlikte ses kaydı yapılmasının, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabileceğine, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği belirtilerek bu yönde bir uygulamanın hakkın özüne zarar vereceği, ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş şekilde hakkın özüne zarar verecek nitelikte bir istisna oluşması sonucunu doğurabileceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.