• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle
Arama sonuçlarınla ilgili GDPR kararlarını görmek ister misin?

2020/567

22/07/2020

Konu: Bir oyuncak şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan veri ihlalinde, kötü niyetli kullanıcılar tarafından başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan üye girişi sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle, 29 müşteriye ait ad, soyadı, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisindeki kişisel verilerinin elde belirtilmiştir. Kurul tarafından, veri sorumlusu tarafından veri güvenliğinin sağlanması amacıyla iki faktörlü kimlik doğrulama yönetimi kullanılmaması, yeni hesap açarken müşterilerin güçlü şifre oluşturması hususunda zorlanmadığı, veri sorumlusunun web uygulama güvenlik duvarının yetkisiz erişim işlemini tespit edememesi sebebiyle veri sorumlusunun uygulama güvenliğini sağlayamadığı sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/560

22/07/2020

Konu: Kurumun önüne gelen şikayet kapsamında site yönetiminin veri sorumlusu sayılıp sayılamayacağının incelenmiştir.

Kararı Paylaşın

Karar Özeti:

Site yönetimi her ne kadar kat malikleri kuruluna bağlı olsa da kimi zaman ayrı bir tüzel kişilik tarafından yönetilmesinin mümkün olduğu; bu sebeple istisnai durumların oluşabileceği; dolayısıyla her somut olay açısından ayrı değerlendirmek suretiyle site yönetiminin veri kayıt sistemini kurması, verilerin ne sebeple ve hangi koşullarda işleneceği kararını vermesi halinde veri sorumlusu olarak değerlendirilebileceği belirtilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/559

22/07/2020

Konu: Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, otomotiv sektöründe faaliyet gösteren veri sorumlusu firmanın yurtdışına yapmış olduğu veri aktarımının hangi hukuki sebebe dayandığı belirtilmesinin talep edilmesi üzerine firmanın “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine (108 sayılı sözleşme) dayandığı anlaşılmıştır. Bunun üzerine Kurum 108 sayılı sözleşmeye dayanarak yurtdışına veri aktarımının mümkün olup olmadığını resen incelemiştir. Kurulun yapmış olduğu inceleme sonucunda, 108 sayılı sözleşmeye taraf olmanın tek başına ülkeyi güvenli ülke statüsüne sokmayacağını; dolayısıyla kanuna aykırı biçimde yurtdışına kişisel veri aktarımı yapıldığı gerekçesiyle idari para cezası uygulanmasına karar verilmiştir. Ayrıca yurtdışına aktarılan verilerin silinmesi/yok edilmesi konusunda şirketin talimatlandırılmasına karar verilmiştir.

Ceza: 900.000-TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/542

16/07/2020

Konu: Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması hakkındaki görüş talebi ile ilgili.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu incelemeler sonucunda; Bir gerçek kişinin, yurt içinde yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun olmadığına, bir gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun bulunduğuna karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/530

09/07/2020

Konu: Bir bankanın kişisel veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde, bir banka personelinin 23 adet banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (“KBB”) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasından Whatsapp uygulaması aracılığıyla bir tanıdığı (3.kişi) ile paylaştığının tespit edildiği, ihlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, kişi sayısı göz önüne alındığından 23 kişiden fazla kişinin etkilenmiş olabileceği, veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı ve çalışana verilen eğitimlerin yeterli olmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik yeterli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezasının uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/511

30/06/2020

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla oluşturulan excel dosyasının kimlik ve ilaç kullanım bilgilerini içerdiği, sisteme kişi bazlı giriş yapılması sırasında excel dokümanın sehven bütün halinde yüklendiği belirtilmiştir. ihlalden 683 kişi etkilenirken, kayıt sayısının ise 2413 olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi’ne ilişkin yükümlülüklere uyulmadığına, özel nitelikli kişisel verilerin işlenmesinde “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in göz önünde bulundurulmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: KVKK’nın 18’nci maddesinin 1 numaralı fırkasının b bendi uarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/504

30/06/2020

Konu: Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a yapılan başvuru kapsamında ilgili kişinin havayolu şirketi çağrı merkeziyle yapmış olduğu görüşme kayıtlarının talep etmesi üzerine veri sorumlusu tarafından bunun yalnızca yasal mercilerle paylaşılmasının mümkün olduğunu belirtmiştir. Kurul taraf tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesinde düzenlenen kişinin kendisine ait işlenen veriler üzerinde bilgi talep etme hakkının erişim hakkını da kapsadığını; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını içerdiği belirtilmiştir. Bu kapsamda, veri sorumlusu tarafından görüşme kayıtlarının, transkript şeklinde iletilmesinin KVKK’ya uygun olduğuna karar vererek herhangi bir idari işlem tesis etmemiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/507

30/06/2020

Konu: Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette İigili kişi vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile a babasına ait kayıtlı tüm sağlık verilerinin tarafına iletilmesini ilgili kamu kuruluşundan talep etmiş ancak ilgili kurum tarafından talebinin reddedilmesine ilişkin olarak, Kurul tarafından yapılan inceleme sonucunda ilgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kurum’a yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/508

30/06/2020

Konu: Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvuruları.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, muhtelif avukat sorgulama sitelerinde ilgili kişilere ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği ve yayımlandığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, bahsi geçen internet sitelerinden birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnıza ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı KVKK’nın 4’üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına, bu kapsamda KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: Bir işlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/494

25/06/2020

Konu: İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması” hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, İlgili kişinin kargo şirketine karşı açtığı işe iade davasında kargo şirketinin ilgili kişinin verisi olan kamera görüntülerini mahkemeye sunması üzerine; ilgili kişi bu görüntülerin yalnızca kendisine bildirim yapılarak alındığı, açık rızasının alınmadığı gerekçesine dayanarak Kurum’a başvuruda bulunmuştur. Kurulun yapmış olduğu inceleme sonucunda; Veri sorumlusunun posta gönderilerinin görüntüleme cihazları ile kontrolünü öngören kanun hükmü gereği aydınlatma bildirimde bulunduğu fakat açık rıza alınmayan bu veri işleme faaliyetinin “Kanunlarda açıkça öngörülmesi” hukuki sebebine dayanılarak yapılmasının hukuka uygun olduğuna ve Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/471

23/06/2020

Konu: Ülkemizde temsilciliği bulunan bir yabancı bankanın, verdiği hizmetler kapsamında kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu statüsünü taşıyıp taşımayacağı ve Sicile kayıt yükümlülüğü hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan görüş talebi sonucunda, veri sorumlusu bankanın sağladığı finansman hizmetleri kapsamında Türkiye’de mukim kişilerin kişisel verilerini işlediği, bu kapsamda bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler ile bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinin ayrı tutulamayacağı belirtilerek, bankanın temsilciği vasıtasıyla Türkiye’de sürekli mevcudiyeti bulunduğu belirtilerek kişisel veri işleme faaliyetleri açısından KVKK’nın uygulama alanı bulacağı ve bankanın veri sorumlusu sıfatını haiz olduğu belirtilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/466

16/06/2020

Konu: Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla ihlalin gerçekleştiği, acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği, ihlalden etkilenen kişi sayısının 172 olduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde veri işleyen tarafından anti-virüs yazılımının kullanılmaması, güncel Windows işletim sisteminin kullanılmaması, sızma testlerinin yapılmadığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 172.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/464

16/06/2020

Konu: Bir otoyol işletmesinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildiriminde, kullanılan bordro sistemlerinden kaynaklı bir hata sebebiyle çalışanların diğer çalışanlara ait bordro bilgilerinin görüldüğü ve ihlalden etkilenen kişi sayısının 489 olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda veri güvenliğini sağlamya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 60.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/435

28/05/2020

Konu: Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişi iş akdinin haksız olarak feshedilmesi sonucunda özlük dosyasında yer alan kişisel verilerin birer suretini talep etmiş fakat talebe veri sorumlusu olan kargo firması tarafından yanıt verilmemiştir. Kargo firması tarafından yapılan savunmada KVKK’nın 11’inci maddesinde belge örneği talebinin düzenlenmemiş olduğunu ve bu sebeple işçinin bu maddeye dayanamayacağını, ilgili kişi tarafından verilmiş olan ve talep edilen dilekçelerin Kanun kapsamında “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen veri olmadığını, Anayasa’nın 38’inci maddesi uyarınca susma hakkının kullanıldığını, nitekim aleyhine açılmış davada bu belgelerin delil olarak kullanılacağını, ilgili başvurunun yargı merciinin alanına girdiğini bu nedenle reddedilmesi gerektiğini ileri sürmüştür. Kurulun yapmış olduğu inceleme sonucunda veri kavramının belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği, ” doktorun reçetesi doktorun kişisel verisidir.” kararına atıf yaparak işçiye ait verilerin yer aldığı belgeleri kişisel veri olarak ve bu minvalde özlük dosyasında bu bilgilerin tutulması veri işleme faaliyeti olarak kabul edilmiştir. Şikayet konusunun kişisel verilere ilişkin olduğu ve suç unsuru oluşturmadığına kanaat getirilmiş, ayrıca açılan davanın kişisel verilere ilişkin olmadığı gerekçesiyle kişisel verilere ilişkin yönünün Kurul tarafından ele alınmasında bir sakınca olmadığı ifade edilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/429

28/05/2020

Konu: İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanması ile ilgili şikayet.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişi tarafından banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibinin başlatıldığı, 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tessite ikamet eden sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerinelerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyinin cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 125.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?