2020/567
22/07/2020
- Sektör: Özel Sektör
- Kanun Maddesi
Veri sorumlusu tarafından Kurul’a yapılan veri ihlalinde, kötü niyetli kullanıcılar tarafından başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan üye girişi sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle, 29 müşteriye ait ad, soyadı, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisindeki kişisel verilerinin elde belirtilmiştir. Kurul tarafından, veri sorumlusu tarafından veri güvenliğinin sağlanması amacıyla iki faktörlü kimlik doğrulama yönetimi kullanılmaması, yeni hesap açarken müşterilerin güçlü şifre oluşturması hususunda zorlanmadığı, veri sorumlusunun web uygulama güvenlik duvarının yetkisiz erişim işlemini tespit edememesi sebebiyle veri sorumlusunun uygulama güvenliğini sağlayamadığı sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/560
22/07/2020
- Sektör: Site yönetimi
- Kanun Maddesi
Site yönetimi her ne kadar kat malikleri kuruluna bağlı olsa da kimi zaman ayrı bir tüzel kişilik tarafından yönetilmesinin mümkün olduğu; bu sebeple istisnai durumların oluşabileceği; dolayısıyla her somut olay açısından ayrı değerlendirmek suretiyle site yönetiminin veri kayıt sistemini kurması, verilerin ne sebeple ve hangi koşullarda işleneceği kararını vermesi halinde veri sorumlusu olarak değerlendirilebileceği belirtilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/559
22/07/2020
- Sektör: Otomotiv
- Kanun Maddesi
Karara konu olayda, otomotiv sektöründe faaliyet gösteren veri sorumlusu firmanın yurtdışına yapmış olduğu veri aktarımının hangi hukuki sebebe dayandığı belirtilmesinin talep edilmesi üzerine firmanın “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine (108 sayılı sözleşme) dayandığı anlaşılmıştır. Bunun üzerine Kurum 108 sayılı sözleşmeye dayanarak yurtdışına veri aktarımının mümkün olup olmadığını resen incelemiştir. Kurulun yapmış olduğu inceleme sonucunda, 108 sayılı sözleşmeye taraf olmanın tek başına ülkeyi güvenli ülke statüsüne sokmayacağını; dolayısıyla kanuna aykırı biçimde yurtdışına kişisel veri aktarımı yapıldığı gerekçesiyle idari para cezası uygulanmasına karar verilmiştir. Ayrıca yurtdışına aktarılan verilerin silinmesi/yok edilmesi konusunda şirketin talimatlandırılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/542
16/07/2020
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Kurulun yapmış olduğu incelemeler sonucunda; Bir gerçek kişinin, yurt içinde yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun olmadığına, bir gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun bulunduğuna karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/530
09/07/2020
- Sektör: Bankacılık
- Kanun Maddesi
Kurum’a iletilen veri ihlali bildiriminde, bir banka personelinin 23 adet banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (“KBB”) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasından Whatsapp uygulaması aracılığıyla bir tanıdığı (3.kişi) ile paylaştığının tespit edildiği, ihlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, kişi sayısı göz önüne alındığından 23 kişiden fazla kişinin etkilenmiş olabileceği, veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı ve çalışana verilen eğitimlerin yeterli olmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik yeterli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Banka, TCKN, Veri İhlal Bildirimi
2020/511
30/06/2020
- Sektör: Sigorta
- Kanun Maddesi
Kurum’a iletilen veri ihlali bildiriminde sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla oluşturulan excel dosyasının kimlik ve ilaç kullanım bilgilerini içerdiği, sisteme kişi bazlı giriş yapılması sırasında excel dokümanın sehven bütün halinde yüklendiği belirtilmiştir. ihlalden 683 kişi etkilenirken, kayıt sayısının ise 2413 olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi’ne ilişkin yükümlülüklere uyulmadığına, özel nitelikli kişisel verilerin işlenmesinde “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in göz önünde bulundurulmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/504
30/06/2020
- Sektör: Havayolu
- Kanun Maddesi
Kurul’a yapılan başvuru kapsamında ilgili kişinin havayolu şirketi çağrı merkeziyle yapmış olduğu görüşme kayıtlarının talep etmesi üzerine veri sorumlusu tarafından bunun yalnızca yasal mercilerle paylaşılmasının mümkün olduğunu belirtmiştir. Kurul taraf tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesinde düzenlenen kişinin kendisine ait işlenen veriler üzerinde bilgi talep etme hakkının erişim hakkını da kapsadığını; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını içerdiği belirtilmiştir. Bu kapsamda, veri sorumlusu tarafından görüşme kayıtlarının, transkript şeklinde iletilmesinin KVKK’ya uygun olduğuna karar vererek herhangi bir idari işlem tesis etmemiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Çağrı Merkezi, Havayolu, Özel Hayatın Gizliliği, Transkript, Veri Güvenliği
2020/507
30/06/2020
- Sektör: Sağlık
- Kanun Maddesi
Kurul’a iletilen şikayette İigili kişi vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile a babasına ait kayıtlı tüm sağlık verilerinin tarafına iletilmesini ilgili kamu kuruluşundan talep etmiş ancak ilgili kurum tarafından talebinin reddedilmesine ilişkin olarak, Kurul tarafından yapılan inceleme sonucunda ilgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kurum’a yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Biyometrik Veri , Miras
2020/508
30/06/2020
- Sektör: Avukat
- Kanun Maddesi
Karara konu olayda, muhtelif avukat sorgulama sitelerinde ilgili kişilere ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği ve yayımlandığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, bahsi geçen internet sitelerinden birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnıza ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı KVKK’nın 4’üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına, bu kapsamda KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Alenileştirme, Avukat, Biyometrik Veri , TBB, Veri İhlal Bildirimi, Veri İşleme Şartı
2020/494
25/06/2020
- Sektör: Kargo taşımacılığı
- Kanun Maddesi
Karara konu olayda, İlgili kişinin kargo şirketine karşı açtığı işe iade davasında kargo şirketinin ilgili kişinin verisi olan kamera görüntülerini mahkemeye sunması üzerine; ilgili kişi bu görüntülerin yalnızca kendisine bildirim yapılarak alındığı, açık rızasının alınmadığı gerekçesine dayanarak Kurum’a başvuruda bulunmuştur. Kurulun yapmış olduğu inceleme sonucunda; Veri sorumlusunun posta gönderilerinin görüntüleme cihazları ile kontrolünü öngören kanun hükmü gereği aydınlatma bildirimde bulunduğu fakat açık rıza alınmayan bu veri işleme faaliyetinin “Kanunlarda açıkça öngörülmesi” hukuki sebebine dayanılarak yapılmasının hukuka uygun olduğuna ve Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/471
23/06/2020
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusu tarafından Kurul’a yapılan görüş talebi sonucunda, veri sorumlusu bankanın sağladığı finansman hizmetleri kapsamında Türkiye’de mukim kişilerin kişisel verilerini işlediği, bu kapsamda bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler ile bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinin ayrı tutulamayacağı belirtilerek, bankanın temsilciği vasıtasıyla Türkiye’de sürekli mevcudiyeti bulunduğu belirtilerek kişisel veri işleme faaliyetleri açısından KVKK’nın uygulama alanı bulacağı ve bankanın veri sorumlusu sıfatını haiz olduğu belirtilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Banka, GDPR, Sicile Kayıt Yükümlülüğü, Veri İşleme
2020/466
16/06/2020
- Sektör: Sigorta
- Kanun Maddesi
Kurum’a iletilen veri ihlal bildiriminde, sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla ihlalin gerçekleştiği, acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği, ihlalden etkilenen kişi sayısının 172 olduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde veri işleyen tarafından anti-virüs yazılımının kullanılmaması, güncel Windows işletim sisteminin kullanılmaması, sızma testlerinin yapılmadığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Anti-Virüs, Hacker, Veri İhlal Bildirimi
2021/464
16/06/2020
- Sektör: Ulaşım
- Kanun Maddesi
Veri sorumlusu tarafından yapılan veri ihlal bildiriminde, kullanılan bordro sistemlerinden kaynaklı bir hata sebebiyle çalışanların diğer çalışanlara ait bordro bilgilerinin görüldüğü ve ihlalden etkilenen kişi sayısının 489 olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda veri güvenliğini sağlamya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/435
28/05/2020
- Sektör: Kamu Sektörü
- Kanun Maddesi
Karara konu olayda, ilgili kişi iş akdinin haksız olarak feshedilmesi sonucunda özlük dosyasında yer alan kişisel verilerin birer suretini talep etmiş fakat talebe veri sorumlusu olan kargo firması tarafından yanıt verilmemiştir. Kargo firması tarafından yapılan savunmada KVKK’nın 11’inci maddesinde belge örneği talebinin düzenlenmemiş olduğunu ve bu sebeple işçinin bu maddeye dayanamayacağını, ilgili kişi tarafından verilmiş olan ve talep edilen dilekçelerin Kanun kapsamında “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen veri olmadığını, Anayasa’nın 38’inci maddesi uyarınca susma hakkının kullanıldığını, nitekim aleyhine açılmış davada bu belgelerin delil olarak kullanılacağını, ilgili başvurunun yargı merciinin alanına girdiğini bu nedenle reddedilmesi gerektiğini ileri sürmüştür. Kurulun yapmış olduğu inceleme sonucunda veri kavramının belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği, ” doktorun reçetesi doktorun kişisel verisidir.” kararına atıf yaparak işçiye ait verilerin yer aldığı belgeleri kişisel veri olarak ve bu minvalde özlük dosyasında bu bilgilerin tutulması veri işleme faaliyeti olarak kabul edilmiştir. Şikayet konusunun kişisel verilere ilişkin olduğu ve suç unsuru oluşturmadığına kanaat getirilmiş, ayrıca açılan davanın kişisel verilere ilişkin olmadığı gerekçesiyle kişisel verilere ilişkin yönünün Kurul tarafından ele alınmasında bir sakınca olmadığı ifade edilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/429
28/05/2020
- Sektör: Avukat
- Kanun Maddesi
Karara konu olayda, ilgili kişi tarafından banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibinin başlatıldığı, 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tessite ikamet eden sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerinelerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyinin cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına karar verilmiştir.