• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2020/213

12/03/2020
Konu: Bir internet servis sağlayıcısının veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabilecekleri bir Online İşlem Merkezi bulunduğu, müşterinin ödeme yaptığı sırada ekranda fatura seçilmesi gerektiği uyarısının belirdiği, sorun giderilmek üzere çalışma yaparken açığa çıkan bir güvenlik açığı sebebiyle müşteri kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği, 69 kişiye ait kart bilgisinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksiliği olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde idari para cezası yaptırımı uygulanmasına karar verilmiştir.

Ceza: 300.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/201

03/03/2020
Konu: Bir bankanın veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu banka hakkında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik tedbirleri almadığından KVKK’nın 18’nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına ve ihlalin tespit edildiğinden 72 saat içerisinde bildirim gönderildiği nedeniyle ve veri sorumlusu tarafından ilgili kişilere bildirim yapılmış olduğundan KVKK’nın 12’nci maddesinin (5) numaralı fıkrası uyarınca ayrıca yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 75.000 TL idari para cezası kesilmiştir.

2020/191, 2020/192, 2020/193, 2020/194

03/03/2020
Konu: Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarda sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamarın kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde KVKK’nın 4’üncü madesinde sayılan genel ilkelere riayet edilmediği, söz konusu faalieytelerin KVKK’nın 12’nci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel veriler hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muahfazasını sağlamak yükümlülüklerine aykırılık teşkil ettiğinin tespit edildiği ve veri ihlali süresi, veri ihalalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak veri sorumlusu 4 şirket hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlanmaması sebebiyle 950.000,00-TL ve Kurum’a ve ilgili kişilere bildirim yapılmadığından bahisle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde 450.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/196

03/03/2020
Konu: İlgili kişiye ait kişisel verinin denetim faaliyeti kapsamında bir kamu kurumuna aktarılmasına ilişkin şikayet başvurusu hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen şikayette bir veri sorumlusuna ait internet sitesinin ana sayfasında yayımlanan haberin altına yapılan yorumlarla ilgili olarak başlatılan idari soruşturma kapsamında veri sorumlusu tarafından yorum tamamı ve yorum yapan kullanıcı IP adreslerinin ilgili kişinin çalıştığı kamu kurumuyla paylaşıldığı be bu sebeple ilgili kişinin çalıştığı kamu kurumunda idari soruşturmaya maruz kaldığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, denetim için gerekli olan tüm bilgi ve belgelerin talep edilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin KVKK’nın 5’nci maddesinin 2 numaralı fıkrasının a bendinden ” kanunlarda açıkça öngörülme ” hükme kapsamında olduğu, ancak idari soruşturmanın konusu olmayan üçüncü kişilerin kişisel verilerinin de veri sorumlusu şirket tarafından ilgili veri sorumlusuna aktarıldığı dikkate alındığında, idari soruşturma konusu olmayan kişisel verilerin aktarılmasının KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının ç bendinden yer alan “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğuna karar verilerek veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirmediğine karar verilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2020/187

27/02/2020
Konu: İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin TCK hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/172

27/02/2020
Konu: İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet başvurusunda, ilgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, bu işlemenin KVKK’nın 5’inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmadığı, KVKK’da öngörülen yükümlülüğünün yerine getirilmediği kanaatine varılarak veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

2020/166

27/02/2020
Konu: İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanıldığı belirtilmiştir, Kurul tarafından ilgili kişinin kredi kartı bilgilerinin veri sorumlusu tarafından haksız şart niteliğindeki sözleşme hükmüne dayanarak, sistemde saklanarak,kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanıldığı belirtilerek kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanmadığı ve KVKK’nın 4’üncü maddesine aykırılık teşkil etmesi sebebiyle KVKK madde 12 uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

2020/173

27/02/2020
Konu: Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Amazon Turkey hakkında ilgili kişilerin bilgilerini işlemek suretiyle ticari elektonik ileti göndermek hususunda ilgili kişilerin açık rızasının usulüne uygun olarak alınmadığı, açık rıza dışında da bir işleme dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızaları olmaksızın işlendiği, açık rızanın usulüne uygun alınmadığı, yurtdışına aktarıma ilişkin açık rıza alınmadığı belirtilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.100.000,00-TL idari para cezası uygulanmıştır.

2020/167

27/02/2020
Konu: Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun Kararı.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda spor salonu hizmeti sunan veri sorumlusu tarafından, üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesinde biyometrik verileri içeren bazı özel nitelikli kişisel verilerin işlenmesine ilişkin olarak Kurum’a başvuruda bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda, spor salonuna giriş ve için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri atelp etme ilkesi ile uyumlu olmadığına karar verilmiştir. Bu kapsamda, avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının KVKK’nın “Genel İlkeler” başlıklı 4’üncü maddesinin 2 numaralı fıkrasının ç bendindeki ölçülülük ilkesine aykırı olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 225.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/145

18/02/2020
Konu: Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kruul’a iletilen şikayette, veri sorumlusuna ilettiği ihtarnamenin veri sorumlusu tarafından fotoğrafı çekilerek T.C. Kimlik numarası, nüfus kayıtları, anne- baba ismi ve adres bilgisi gibi kişisel veri içerecek şekilde yayımlandığı, ilgili kişi tarafından tekrardan başvuru yapılıncaya kadar 10 gün boyunca ilgili haberin yayınlandığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun tekzip ihtarnamesini yayınlamasının KVKK’nın 5’inci maddesinin 2 numaralı fıkrasının ç bendi uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu ancak ihtarnamenin kişisel veri içeren bölümünün olduğu gibi yayınlanmasının KVKK’nın 4’üncü maddesinin “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı belirtilerek veri sorumlusu hakkında KVKK madde 12’de belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2020/138

18/02/2020
Konu: Özlük dosyasında yer alan sağlık raporunun veri sorumlusu tarafından dava savunmasında kullanılmak üzere mahkemeye sunulması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu eski çalıştığı şirket hakkında Kurul’a yaptığı şikayette, veri sorumlusu aleyhine ikame edilen işe iade davasında veri sorumlusu tarafından özlük dosyasında yer alan özel nitelikli kişisel verilerini de içeren belgelerin mahkemeye sunulduğu belirtilmiştir. Veri sorumlusu tarafından yapılan savunmada, uyuşmazlık kapsamında özlük dosyasının tüm içeriğinin gnderilmesinin mahkeme tarafından talep edildiği belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nın 28’inci maddesinin 1 numaralı fıkrasının d bendi uyarınca konuya ilişkin olarak Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/124

13/02/2020
Konu: Veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmeleri.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu havayolu şirketi hakkında Kurul’a gerçekleştirilen şikayette, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, aralarındaki husumet nedeniyle her uçuşu sonraı aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumu veri sorumlusuna iletmesine karşın çalışan hakkında herhangi bri işlem yapılmadığı belirtilmiştir. Kurul tarafındna yapılan inceleme sonucunda, veri sorumlusu çalışanının kişisel verilere erişimine ilişkin herhangi bir sınırlama getirilmemesi ve çalışanlara verilen eğitimlerin yeterisz olması nedeniyle KVKK madde 12 kapsamında veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: 100.000,00-TL idari para cezası uygulanmıştır.

2020/118

13/02/2020
Konu: İlgili kişinin veri sorumlusu bir banka nezdindeki kişisel verileri olan kiralık kasa bilgilerinin aktarılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a yapılan şikayette, borçlu olduğu icra dosyasına ilişkin kişisel verisi olan banka hesap ve kiralık kasa bilgisinin hukuka aykırı şekilde aktarıldığı ve işlendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, veri sorumlusu olarak şikayet edilen bankanın, İcra Dairesince ödeme emrinin tebliğ edilmesi ve kiralık kasaya haciz konulması işlemleri nedeniyle kişisel verilerin korunması mevzuatından kaynaklanan bir sorumluluğunun bulunmadığı ve icra ve ifalas hukuku bakımından üçüncü kişi konumunda olduğu, kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı, iligli kişisel verilerin İcra İflas Kanunu’nun ilgili hükümleri çerçevesinde KVKK’nın 5’inci maddesinin 2 numaralı fıkrasının ç bendinde yer alan hukuki yükümlülüğün yerine getirilmesi şartına dayalı olarak KVKK’nın 8’inci maddesine uygun olarak icra iflas mevzuatı çerçevesinde aktarıldığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/120

13/02/2020
Konu: İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a yapılan şikayette, ilgili kişinin çalışmakta olduğu mükellef kurum hakkında vergi müfettiş yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenenlenen “Veergi Tekniği Raporu”nda kendileri ile ilgili bir verhi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, Vergi Usul Kanunu ve sair mevzuat hükümleri uyarınca şikayete konu veri işleme faaliyetinin vergi mevzuatı kapsamında mükallefle ilgil kimselerin hesap durumlarının elde edilebileceğinin düzenlendiği, iligli kişinin şirketi temsile yetkili kişi olması sebebiyle, mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerin işlenmesinin ölçülülük ilkesine uygun olduğuna karar verilerek şikayete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/113

11/02/2020
Konu: Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan ihlal bildiriminde, veri sorumlusunun internet sitesinden ve mobil uygulamasına ilişkin olarak veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlenmesinin bu sırada gerçekleşmiş olabileceği, azami 257.000 kişinin etkilenme ihtimalinin bulunduğu, ihlalden etkilenen kişisel verilerin kimlik, kriptolanmış kullanıcı hesabı şifreleri olduğu beliritlmiştir. Kurul tarafından veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir ksıt bulunmaksızın erişldiği, sızma testlerinin ihlal öncesi yapılmadığı, mobil uygulama içerisinde SSL Sertifika olmaması, politika ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulması, kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmemesi sebebiyle veri sorumlusu hakkında veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezası uygulanmıştır.