2020/816
22/10/2020
- Sektör: Teknoloji
- Kanun Maddesi
Kurum’a iletilen veri ihlal bildiriminde mağazada yapılan bir alışveriş sonrasında adına e-posta düzenlenen müşterinin sistemde kayıtlı e-posta adresine ilgili faturanın gönderilmesi neticesinde bu faturanın aynı ad ve soyada sahip farklı bir müşteriye ulaşması neticesinde gerçekleştiği, CRM sistemi üzerinde adına fatura düzenlenen müşterinin telefon numarasının aynı ad ve saoyada sahip iki farklı müşteri adına oluşturulduğu ve kayıtlarda her ikisinde de yer aldığı, ihlalden etkilenen kişisel verilerin müşterinin adı, soyadı, T.C. Kimlik Numarası, cep telefonu numarası ve fatura bilgileri olduğu, belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde ihlalden 1 kişiye ait kişisel verilerin etkilenmesi, kişiye telefon yoluyla bildirim yapılması, ihlale konu kişisel verilerin ilgili kişi üzerinden olumsuz etki doğurma olasığının düşük olduğu, ihlale konu e-postanın silinmesinin sağlanması ve veri sorumlusunun en kısa sürede müdahale etmesi sebebiyle KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: CRM, E-Fatura, Veri İhlal Bildirimi
2020/787
09/10/2020
- Sektör: Sağlık
- Kanun Maddesi
İhlalin veri sorumlusundan değil bir uygulamadan kaynaklandığı, veri sorumlusunun ihlali kısa zamanda fark ettiği, etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği, veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim gerçekleştireceğini belirttiği, ihlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olduğu, veri sorumlusunun makul teknik ve idari tedbirleri almış olduğu dikkate alındığında; Kanunun md.12 kapsamında yapılacak ilave bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: ISO27001, Veri İhlal Bildirimi, XML
2020/769
08/10/2020
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul tarafından, Kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı KVK Kanunu’nun 07.04.2016 itibariyle yürürlüğe girdiği, söz konusu tarihler itibariyle Kanun’un yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5. maddesinde yer alan ‘kanunlarda açıkça öngörülme’ ve ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine, igili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna, ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak somut delile rastlanılamadığından Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/766
08/10/2020
- Sektör: Bankacılık
- Kanun Maddesi
İlgili kişi tarafından veri sorumlusu banka hakkında; internet sayfasında aydınlatma metni yerine veri sorumlusunun Kişisel Verilerin İşlenmesi ve Korunması Politikasına link verildiği, aydınlatma yükümlülüğünün gereğince yerine getirilmediği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca KVKK’nın5înci ve 6’incı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak cevap yazısı ile ekinde herhangi bir ifadeye ve tesvik edici belgeye yer verildiğinden bahisle aydınlatma yükümlülüğünün usulüne uygun şekilde yerine getirilmemesi dolayısıyla KVKK’nın 15’inci maddesinin 5 numaralı fıkrasına aykırı hareket edildiğine kanaat edilerek KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının c bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/765
08/10/2020
- Sektör: Bankacılık
- Kanun Maddesi
Kurul tarafından yapılan incelemler sonucunda, aydınlatma metninin kategorik şekilde ve her bir işleme faaliyeti özelinde olacak şekilde yenilenmesine yönelik veri sorumlusunun talimatlandırılmış olmasına karşın, veri sorumlusu tarafından talimatlandırma kapsamında gerekli işlemlerin yapılmamış olması sebebiyle ve aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyuacak USul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmemesi sebebiyle KVKK’nın 15’inci maddesinin 5 numaralı fıkrası ve 18’inci maddesinin 1 numaralı fıkrasına aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Aydınlatma Yükümlülüğü, Banka, Kredi Kartı
2020/744
29/09/2020
- Sektör: Bankacılık
- Kanun Maddesi
Kurum’a iletilen veri ihlal bildiriminde veri ihlalinin bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği, çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten e-postalara ilişkin kayıtların incelenmesi neticesinden çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanu e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği, söz konusu müşterilerinin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilemem kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu, veri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde ihlalden 346 banka müşterisinin etkilendiği, çalışana verilen “Kişisel Verilerin Korunması Kanunu” eğitiminin yeterli olmadığının anlaşıldığı, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden ola e-postanın DLP sistemleri tarafından engelllenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirebilmesi sebebiyle veri aktarımının önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz olduğu, banka tarafından alınan teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğuna karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/755
29/09/2020
- Sektör: Site yönetimi
- Kanun Maddesi
Kurul tarafından yapılan incelemeler neticesinde, ilgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat Mülkiyeti Kanunu’nun 22. maddesinde yer alan hüküm uyarınca gerçekleştirildiği dikkate alınarak, veri sorumlusu site yönetimi tarafından ilgili kişiye iletilen cevap metninde yer verilen açıklamaların ilgili kişinin iddiasına konu hususları açıklayıcı nitelikte olduğuna, bu çerçevede, söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/746
29/09/2020
- Sektör: Telekomünikasyon
- Kanun Maddesi
Kurul tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesi kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına, ilgili kişilerin KVKK kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Abonelik, Açık Rıza, KEP, Müşteri Hizmetleri, Veri İşleme Şartı
2020/715
17/09/2020
- Sektör: E-ticaret
- Kanun Maddesi
Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına ve ihlalden etkilenen kişilere en kısa sürede bildirimin gerçekleştirilmiş olması sebebiyle ayrıca bir işlem yapılmasına gerek bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: E-Ticaret, İfşa, Özel Nitelikli Kişisel Veri, Veri İhlal Bildirimi
2020/710
17/09/2020
- Sektör: Kamu Sektörü
- Kanun Maddesi
Karara konu olayda, bir icra dosyasının tarafı olan ilgili kişinin akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi iddiası ile ilgili kişinin kurula yaptığı başvuruya istinaden kurulun yapmış olduğu inceleme sonucunda; İcra ve İflas Kanunu madde 89 kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, bu veri işleme faaliyetinin KVKK’nın 5’inci maddesinin 2 numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Haciz, İcra Takibi, Üçüncü Kişi, Veri Aktarımı, Veri İşleme Şartı
2020/691
10/09/2020
- Sektör: Dernek
- Kanun Maddesi
Karar konu olayda, ilgili kişinin cep telefon numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, ancak ilgili kişinin açık rızası olmadığından bahisle Kurum’a şikayette bulunulmuştur. Kurul tarafından yapılan inceleme neticesinde, KVKK’nın 5’inci maddesinde belirtilen işleme şartlarının mevcut olmaması sebebiyle veri işleme faaliyetinin KVKK’ya aykırılık teşkil ettiği, bu kapsamda veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Bilgi Talebi, Mesaj, Reklam, Veri İşleme Şartı
2020/667
03/09/2020
- Sektör: Sigorta
- Kanun Maddesi
Kurul’a iletilen şikayet dilekçesi kapsamında yapılan incelemeler sonucunda, ilgili kişi tarafından ailesi adına düzenlettiği sağlık poliçesini yenilemek amacıyla veri sorumlusu sigorta şirketine yaptığı başvurunun sağlık verilerinin işlenmesine ilişkin ilgili kişinin açık rızasının istenmesine ilişkin olarak, sağlık poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği ve poliçede yer alan sağlık verilerinin KVKK’nın 6’ncı maddesinin 3 numaralı fıkrası kapsamında işlenemeyeceği ve ancak açık rıza alınması yoluyla ileme faaliyetinin gerçekleştirilebileceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Özel Nitelikli Kişisel Veri, Poliçe, Veri İşleme Şartı
2020/649
27/08/2020
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Kurul’a iletilen başvuru ile, 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) sözleşme şekillerini düzenleyen hükümleri çerçevesinde imzaların yalnızca el ile atılması zorunluluğu kapsamında biyometrik imzaların KVKK’nın 6’ncı maddesinin üçüncü fıkrası uyarınca istisna kabul edilip edilmeyeceğine ilişkin olarak, ıslak imza ve biyometrik imzanın benzer yönleri bulunmakla birlikte, farklı kavramlar olduğu belirtilmiştir. Bu kapsamda, ıslak imzadan farklı olarak biyometrik imzanın biyometrik veri niteliğini haiz olması sebebiyle TBK’nın 15’inci maddesinde yer alan hükmün KVKK’nın 6’ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği bu sebeple ancak açık rıza ile temin edilebileceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Biyometrik İmza, Biyometrik Veri , eIDAS, Özel Nitelikli Kişisel Veri
2020/608
11/08/2020
- Sektör: Havayolu
- Kanun Maddesi
Kurul’a iletilen şikayette, ilgili kişi tarafından veri sorumlusu havayolu şirketinden bilet satın almamasına rağmen uçak bileti satın aldığına dair uçuş bilgilerinin de yer aldığı SMS alması dolayısıyla veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusunun sistemlerinde kişilere manuel olarak ilgili kişi dışında farklı kişilerin telefon bilgilerinin girilerek bilet bilgilerinin iletilmesine yönelik sistem sağlandığı ve telefon numaralarının sisteme numarayı ekleyen kişiye ait olup olmadığını sorgulayacak bir alt yapının bulunmaması sebebiyle KVKK madde 12 kapsamında gerekli teknik ve idari tedbirlerin alınması ilişkin herhangi bir ihlalin bulunmadığına, bununla birlikte veri sorumlusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde süresi içerisinde ilgili kişinin yanıtlanması hakkında talimatlandırılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/622
11/08/2020
- Sektör: Sağlık
- Kanun Maddesi
Karara konu olayda, gerçeğe aykırı olarak düzenlendiği iddia edilen 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik ilgili kişinin babası tarafından başvuruda bulunulan veri sorumlusunun söz konusu talebe cevap vermemesi üzerine, ilgili kişinin kendisinin Kişisel Verileri Koruma Kuruluna (Kurul) yaptığı şikayetin Kurulca incelenmesi neticesinde alınan kararda, ilgili kişinin 18 yaşını doldurmadığı dikkate alındığında öncelikli olarak Kurula şikayette bulunulmasına dair hakkın ilgili kişi tarafından kullanılıp kullanılmayacağı ile veri sorumlusuna başvuran ile Kurula şikayette bulunan kişilerin farklı olması nedeniyle söz konusu şikayetin mevzuatta yer alan usul şartlarını taşıyıp taşımadığı hususunun incelenmesine karar verilmiştir. Kurulun yapmış olduğu inceleme sonucunda, küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği değerlendirildiğinden somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varılmış ve KVKK’nın 15’inci maddesinin 1’inci fıkrası kapsamında Kurula intikal eden dilekçe ile ilgili olarak inceleme başlatılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Başvuru Usulü, Biyometrik Veri , e-Nabız, Sağlık Verisi, Veri Sorumlusuna Başvuru