• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2020/32

16/01/2020
Konu: İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi, kredi kartını kendi rızası dışında 3. kişilere teslim ederek kişisel verilerinin açığa çıkmasına sebep olan bankayı Kurul’a şikayet eder. Olayda esasen kredi kartının ilk adrese teslim için geldiği ancak kimse olmadığı için geri döndüğü ve SMS bilgilendirmesi yapıldığı, ancak buna rağmen servis dışı tel numarasına mesaj gitmediği, bunun üzerine sistemde kayıtlı ikinci adrese gidildiği ve orada birine teslim edildiği, ancak sisteme kartın ilk adreste birine teslim edildiğinin işlendiği, bu kişinin taınmıyor olduğunun beyanı üzerine kartın bloke edildiği anlaşılmıştır. Kurul, bankanın bilgilerin güncelliğini sağlamak adına yeterli çabayı göstermediğini, kuryenin/kargonun de teslim sırasında yeterli özeni göstermediği, ancak kuryenin kredi kartı verisinden sorumlusu olmadığı, ancak kuryenin mevzuat gereği gönderici ve alıcılara ilişkin isim, unvan, kimlik gibi bilgileri doğru girmekle ilgili sorumluluğu olduğunu, ancak bunun kuryenin sözleşmeye aykırılıktan borçlar kanunu konusu olduğu, mevcut olayla ilgili bankanın veri güvenliği açısından yeterli idari ve teknik tedbirleri almadığına karar verildi. Kurul idari para cezası uygulamıştır.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2020/20

14/01/2020
Konu: Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişiye ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kurum’a başvuruda bulunmuştur. Kurul tarafından yapılan incelemeler soncunda herhangi bir veri işleme şartı bulunmaksızın veri işleme faaliyetinin gerçekleştirilmiş olması nedeniyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2020/13

14/01/2020
Konu: Sermaye piyasası mevzuatı çerçevesinde, veri sorumlusu şirket ile ilgili kişi arasında imzalanan aracılık sözleşmesine ilişkin işlemlerle bağlantılı olarak ilgili kişiyle yapılmış olan telefon görüşmesi kayıtlarına erişim talebinin reddedilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a yapılan şikayet başvurusunda sermaye piyasası mevzuatı çerçevesinde alım-satıma aracılık faaliyeti kapsamında, veri sorumlusu ile imzalanan sözleşme uyarınca işlenen kişisel verilerinden, ilgili kişi ile yapılan telefon görüşmesi kayıtlarının iletilmesi talebinde bulunmuştur. Kurul tarafından yapılan değerlendirmeler sonucunda, KVKK’nın 11’inci maddesi kapsamında ilgili kişilere tanınan bilgi talep etme hakkının söz konusu veriye erişim hakkını da kapsadığı belirtilmiştir. Bununla birlikte, bu hakkın kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimi, bu kayıt ortamının kendisinin ilgili kişiye teslimi veya doğrudan verinin kendisinin elde edilmesini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkanların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkan tanınmasını kapsadığına karar verilmiştir. Bu kapsamda, veri sorumlusu tarafından telefon görüşmesi kayıtlarına ilişkin dökümün, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülükler de dikkate alınarak, ilgili kişiye gönderilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/26

14/01/2020
Konu: Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle KVKK’nın 12’nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2019/393

26/12/2019
Konu: 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlara “Personel Gizlilik Sözleşmesi” imzalatılması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, kamu kurumu nezdinde 657 sayılı Kanun kapsamına çalışan ve kişisel veri işleyen personele kişisel verilerin korunmasına yönelik ayrıca bir gizlilik sözleşmesinin imzalatılmasına gerek olmadığı belirtilmiştir.

Ceza: İşlem tesis edilmemiştir.

2019/389

26/12/2019
Konu: Öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanmasının Kanuna uygun olup olmadığı hakkında görüş talebinin incelenmesi.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda, öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanması hakkında kurula iletilen görüş talebine istinaden; ilgili kişiler ve sınav değerlendirme sonuçları arasındaki bağlantının ilgili verilerin maskeleme yönetimiyle saklanmasına ve değerlendirme sonuçlarının yalnızca adayların erişiminin olacağı kimlik doğrulaması yoluyla erişilebilecek bir alanda yayınlanmasının uygun olduğuna karar verilmiştir. Ayrıca bu kişisel veri işleme faaliyetine ilişkin adayların aydınlatılması gerektiğine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/372

09/12/2019
Konu: Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapılması.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen şikayette, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verdiğine ilişkin bir habere yer verilmesi dolayısıyla ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, özel nitelikli sağlık verisi niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda kamu yararı bulunmadığı, bu itibarla çatışan haklar bakımından kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varılarak KVKK’nın 28’inci maddesinin 1 numaralı fıkrasının c bendi çerçevesinde değerlendirilemeyeceği ve bu kapsamda KVKK’nın 12’inci maddesinin 1 numaralı fıkrasının a bendine aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 125.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/352

26/11/2019
Konu: Bir banka nezdinde gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de aynı personel tarafından mesnetsiz olarak görüntülendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 70.000,00-TL idari para cezası uyulanmasına karar verilmiştir.

2019/353

26/11/2019
Konu: Vakıf ve derneklerin Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamıyla ilgili bilgi talebi hakkında başvuru.

Kararı Paylaşın

Karar Özeti:

Kuruma Vakıf ve derneklerin Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamıyla ilgili bilgi talebi hakkında başvuruda bulunulmuştur. İlgili mevzuat çerçevesinde kurulan ve yalnızca kendi amaçlarıyla sınırlı veri işleyen dernek, vakıf ve sendikalar amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve (faaliyet alanıyla sınırlı olarak kendisine bağış yapanlar) bağışçılarına yönelik kişisel veri işleyenler sicile kayıt yükümlülüğünden muaf olduğu belirtilmiştir.

Ceza: Herhangi bir işlem tesis edilmemiştir.

2019/333

07/11/2019
Konu: Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında Kurum’a başvurulmuştur.

Kararı Paylaşın

Karar Özeti:

Şikayetçiye, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırı olduğu kanaatine varılmasından ötürü, Kanun’un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50 000 TL idari para cezası kesilmiştir.

2019/332

07/11/2019
Konu: Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişiye ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kurum’a başvuruda bulunulmuştur. Kurul tarafından yapılan incelemeler sonucunda doktor tarafından herhangi bir işleme şartı mevcut olmaksızın reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin işlenmesi nedeniyle veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2019/331

07/11/2019
Konu: İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu sigorta şirketi tarafından açık rıza almadan sigortacılık faaliyetleri konusunda aranması hususunda Kurum’a şikayette bulunmuştur. Kurul tarafından yapılan incelemeler sonucunda ilgili kişinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi veri sorumlusu tarafından ilgili kişinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı anlaşıldığından KVKK’nın 5’inci maddesinin 2 numaralı fıkrasının d bendi çerçevesinde değerlendirilemeyeceği sebebiyle KVKK’nın 12’nci maddesinin 2 numaralı fıkrasının a bendine aykırı davranılması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/316

30/10/2019
Konu: Bir doktor, Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkında Kuruma ihbarda bulunur.

Kararı Paylaşın

Karar Özeti:

Kurulun yaptığı inceleme sonucunda Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği, KVKK 28 uyarınca bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

2019/297

01/10/2019
Konu: Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında.

Kararı Paylaşın

Karar Özeti:

Kurula intikal eden olayda, Otomotiv sanayi sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin numarasına reklam içerikli SMS gönderildiği, kendisinin bu şekilde yapılan reklamlardan rahatsızlık duyduğu ve kişisel verilerinin açık rızası olmaksızın işlendiğini düşünmesi sebebiyle kuruma başvurmuştur. Kurulun yapmış olduğu inceleme sonucunda veri sorumlusu tarafından ilgili kişiye verilen cevapta belirtildiği üzere ilgili kişinin kişisel verilerinin, 2012 yılında Firma Merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep etmesi ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin vermesi, ayrıca ilgili kişinin 2013 yılında motosikleti için Firmadan yedek parça ve servis hizmeti satın almasına binaen işlendiğinin beyan edilmesi ve başvuru sahibince aksinin iddia edilmemesi sebebiyle, bahsi geçen satın alma işleminin KVKK’nın yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin KVKK kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/296

01/10/2019
Konu: Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kurulun yapmış olduğu inceleme sonucunda; Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.