2018/87
19/07/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından verilen 02.04.2018 tarihli ve 2018/32 sayılı Karar ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2018/75
05/07/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan inceleme neticesinde, arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Arabulucu, Sicile Kayıt Yükümlülüğü, VERBİS, Veri Sorumluları Sicili
2018/68
28/06/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan incelemeler sonucunda, 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımında Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Sicile Kayıt Yükümlülüğü, VERBİS, Veri Sorumluları Sicili
2018/63
31/05/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından verilen ilke kararı sonucunda; veri sorumlusu nezdinde bulundukları pozisyon ve/veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil edeceğine karar verilmiştir. Bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik her türkü teknik ve idari tedbirin alınması hususunda veri sorumluları bilgilendirilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2018/32
02/04/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumluları belirlenmiş olup bu doğrultuda; Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler, 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar ve 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler kayıt yükümlülüğünden istisna tutulmuştur.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Sicile Kayıt Yükümlülüğü, VERBİS, Veri Sorumluları Sicili
2018/10
31/01/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde, Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında, veri sorumlularınca alınması gereken yeterli önlemler belirlenmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: İdari Tedbir, Özel Nitelikli Kişisel Veri, Teknik Tedbir
2017/62
21/12/2017
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan incelemede, bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, KVKK’nın 12’nci maddesi uyarınca kişisel; banko/gişe/ masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: İdari Tedbir, Teknik Tedbir
2017/61
21/12/2017
- Sektör: Rehberlik Servisi
- Kanun Maddesi
Kurul tarafından yapılan incelemede, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olduğunu öğrenme gibi konularda hizmet veren birçok uygulama ve internet sitesi bulunduğu tespit edilmiştir. Bu kapsamda, kişisel verilerin işlenmesi eylemlerinden birinin gerçekleştirilebilmesi için öncelikle KVKK’nın 5 ve 6’ıncı maddelerinde sayılan işleme şartlarından birinin bulunması ve ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerektiği belirtilerek ilgili internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen işleme faaliyetlerin Kanun’un 15’inci maddesinin 7 numaralı fıkrası uyarınca derhal durdurulmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/962
21/09/2021
- Sektör: Sağlık
- Kanun Maddesi
Kurul tarafından yapılan incelemede, özel bir hastane çalışanı doktorunun ilgili kişiye ait Sağlık Bakanlığı’nın e-nabız uygulamasına girdiğinin tespit edildiği, bununla birlikte yapılan araştırma sonucunda hekimin sekreteri tarafından ilgili kişinin bilgilerini elde ettiği anlaşılmıştır. Bu kapsamda, e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğuna karar verilmiştir. Bu doğrultuda KVKK’nın 12’inci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2019/165
31/05/2019
- Sektör: Spor
- Kanun Maddesi
Kurulun vermiş olduğu kararda, veri sorumlusu spor salonlarında özel nitelikli kişisel veri işlendiğini (biyometrik veriler), üye doğrulama işleminin biyometrik veri işlemeksizin başka yöntemlerle de gerçekleştirilebileceğini vurgulamıştır. Ayrıca Özel Nitelikli Kişisel Veri işlenmesi için kanunda açıkça hüküm bulunmaması halinde açık rıza gerektiği ve açık rızanın da servis/hizmet alımına bağlı olmaması gerektiğini dile getirmiştir. Bunun sonucunda Kurul, KVKK’nın 4’üncü maddesi gereği Kişisel Veri işleme ilkelerine aykırılık bulunduğuna ve 12’nci maddesinin 1 numaralı fıkrası gereği açık rızanın alınmadığı tespitiyle idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7’nci Maddesi gereği ivedilikle yok edilmesi, eğer ilgili özel nitelikteki verilerin üçüncü kişilere aktarılması söz konusu ise, yok edilmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/511-512-513
20/05/2021
- Sektör: Kamu Sektörü
- Kanun Maddesi
Kurul tarafından Avukatlık Kanununun 46’ncı maddesi uyarınca ve KVKK’nın 5’inci maddesinin (a) bendinde düzenlenen ‘’kanunlarda açıkça öngörülmesi’’ şartına dayanılarak alacaklı vekili tarafından borçlunun alacaklı olduğu icra dosyalarına ilişkin olarak kişisel veri işleme faaliyeti yürütebileceğinden avukatların vekaletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka aykırı olarak erişim iddiası bakımından KVKK kapsamında yapılacak bir işlem bulunmadığına; ayrıca KVKK’nın 8’inci maddesinin (3) fıkrası ‘’kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.’’ Uyarınca icra tevzi bürosunda görevli personel eliyle borçlunun alacaklı olduğu icra dosyaları hakkında görevlerini yerine getirebilmeleri için kişisel veri aktarımı yapabileceğinden, KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Avukat, Haciz, İcra Takibi, Özlük Dosyası, Veri Aktarımı
2021/470
06/05/2021
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan incelemede, ilgili kişi tarafından yemek kartına ait hesap hareketlerinin tarafına iletilmesine ilişkin veri sorumlusuna yaptığı başvuruda, veri sorumlusuna gmail hesabından ilettiği kişisel verilerine ek olarak kimlik doğruluğunun tespiti amacıyla telefon numarasının aranmasının hukuka aykılığına ilişkin hususlar değerlendirilmiştir. Bu kapsamda, Kurul tarafından KVKK’nın 11’inci maddesinin 1 numaralı fıkrasının b bendindeki hükmü kapsamında ilgili kişilnin kendisiyle ilgli kişisel veriler işlenmişse bilgi talep etme hakkının, söz konusu veriye erişim hakkkını da kapsadığı belirtilmiştir. Bununla birlikte, KVKK’nın 12’inci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğu beliritlmiştir. Bu doğrultuda, veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyaların şifrelenmesinin ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin derhal kişiyle paylaşılacağının belirtilmesinin kişisel verilere erişim hakkının engellenmediği, aksine KVKK’nın 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edilmesine yönelik uygun bir tedbir olduğuna karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2021 / 427
27/04/2021
- Sektör: E-ticaret
- Kanun Maddesi
Kurul tarafından yapılan incelemede, veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkilerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda taraflar arasında imzalanan “Gizlilik Sözleşmesi” öncesinde ” veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişim meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı belirtilmiştir. Bununla birlikte ihlalin veri sorumlusu tarafından tedarikçi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda, veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal ettiğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/426
27/04/2021
- Sektör: E-ticaret
- Kanun Maddesi
Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: E-Posta, E-Ticaret, SQL, Veri İhlal Bildirimi
Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.