• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2019/294

01/10/2019
Konu: Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/273

18/09/2019
Konu: Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi” hakkında.

Kararı Paylaşın

Karar Özeti:

Kurumun yapmış olduğu inceleme sonucunda, 2018 yılında vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu Klinikten tüm medikal ve diğer bilgileri talep ettiğini, ancak kendisine yanıt verilmediği iddiası ile kuruma yapmış olduğu başvuru üzerine, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, KVKK’nın 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği, kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/276

18/09/2019
Konu: Bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme sonucunda, ilgili kişinin açık rızası veya diğer işleme şartları bulunmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin işlenmesi nedeniyle veri sorumlusu eğitim kurumunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığına karar verilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

2019/277

18/09/2019
Konu: İlgili kişinin, kişisel verisi olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler sonucunda, ilgili kişinin müşterisi olduğu bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının c ve ç bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı be ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede KVKK’nı 12’nci maddesinin birinci fıkrasının a bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almadığını göstermesi nedeniyle veri sorumlusu banka hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/269

18/09/2019
Konu: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook’un sistemlerinde üç ayrı uygulamanın birbiriyle hatalı etkileşimi sonucu yabancıların hesabına izinsiz erişim imkanı sağladığını ve bu hata yüzünden bir veri ihlali gerçekleştiği saptanıyor. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun izinsiz erişim imkanı tanınması ve ihlalin gerçekleştiğini 14 ay geç öğrenmesi yönünden yeteri tedbirleri almadığı, öğrendikten sonra düzeltme açısından geç harekete geçtiği sebepleriyle kusurlu olduğuna kanı getiriyor. Ayrıca Türkiye’de yer alan kullanıcıların isim, soyisim, e-posta, telefon dışında cinsiyet, memleket, doğum günü, iş ve eğitim geçmişi, ilişkisi, dini, cihaz bilgisi, Facebook’da yapılan aramalar gibi pek çok özel nitelikli kişisel veri ve kişisel veriye ulaştığı tespit edilmesi sebebiyle idari para cezasının uygulanmasına karar verilmiştir.

Ceza: 1.600.000,00-TL idari para cezası uygulanmıştır.

2019/255

27/08/2019
Konu: Bir turizm şirketinin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen ihlal bildiriminde yerel alan ağı üzerinden ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre giriş ile siber saldırı yapıldığı ve söz konusu olayın şirketin genel alanda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirildiği, personel verilerinden ad, soyadı, T.C. kimlik numarası, doğum tarihi, medeni durum, eş, çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adres, GSM numarası ve banka bilgilerinin etkilendiği, müşteri verilerinden ise ülke/Eyalet, uyruk , ad soyadı, telefon numarası, kredi kartı numarası ve son kullanım tarihi verilerinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda veri sorumlusunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında yeterli teknik ve idari tedbirleri almaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 400.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL olmak üzere toplamda 500.000,00-TL idari para cezası uygulanmıştır.

2019/254

27/08/2019
Konu: S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun sanal bayi hizmetlerini sunduğu internet sitesindeki veri sızıntısından şirketin üyelerinden birinin 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisinin paylaşılmasıyla haberdar olduklarını iletmişlerdir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nin 12’nci maddesinin 1 numaralı fıkrasında ifade edilen teknik ve idari tedbirlerin alınmaması nedeniyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 150.000,00-TL ve geç bildirim sebebiyle 30.000,00-TL idari para cezası uygulanmıştır.

2019/225

23/07/2019
Konu: Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Veri Sorumlusu Sıfatını Taşıyıp Taşımayacağı ve Sicile Kayıt.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurtdışında yerleşik veri sorumlularının Veri Sorumluları Sicili’ne kayıt olmaları gerektiğine, şube özelliği olmayan irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2019/222

17/07/2019
Konu: Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde, darknet üzerinden veri sorumlusunun kullanıcılarına ait kişisel verilerin yer aldığı, inceleme sonucunda halka açık ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsmaında 680.000,00-TL ve geç bildirim sebebiyle 50.000,00-TL idari para cezası uygulanmıştır.

2019/206

08/07/2019
Konu: Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda; İlgili web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep edildiği iddiası üzerine söz konusu web sitesinin, üye olanlara farklı illerde değişik satıcılardan avantajlı ürün satın alınması amacını taşıdığı ve bu bağlamda bir ürün ve hizmetten yararlanmanın değil indirimden faydalanmanın ön şartı olarak açık rızaya dayandırıldığı tespit edilmiş, KVKK kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir. Ancak sitenin KVKK ve Gizlilik politikasında topladığı verilerin hangi hukuki sebebe dayandırıldığı açık bir şekilde belirtilmemiş olup “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınarak güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde talimatlandırılmasına karar verilmiştir.

Ceza: Şirketin talimatlandırılmasına karar verilmiştir.

2019/204

08/07/2019
Konu: İlgili kişinin telefonuna açık rızası dışında bir yatırım şirketinden reklam amaçlı arama gerçekleştiriliyor. Kişi şirketten yeterli cevap alamayınca Kurum’a başvuruyor.

Kararı Paylaşın

Karar Özeti:

Kurul araştırma sonucunda, ilgili kişiyi arayan personelin önceden başka bir yatırım şirketinde çalıştığı ve ilgili kişinin numarasını buradan bildiğini, ancak oranın kapanması üzerine personelin bu yatırım şirketine geçtiğini öğreniyor. Kurum, veri işlemenin bir hukuki dayanağı olmadığı gerekçesiyle idari para cezası veriyor. Ayrıca TCK 135 ya ilişkin şikayetçinin bilgilendirilmesine karar veriliyor.

Ceza: 75.000 TL idari para cezası kesilmiştir.

2019/188

01/07/2019
Konu: Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler sonucunda, sınav sonucu duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC kimlik numarası ve doğrulama kodu ile yalnızca sonuç verilerine ulaştığı bir duyuru siteminin kullanılması yönünde üniversitenin talimatlandırılmasına karar verilmiştir.

Ceza: Disiplin işlemi uygulanmıştır.

2019/170

18/06/2019
Konu: Bir perakende giyim firmasının veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmaması sebebiyle KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının b bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL idari para cezası uygulanmıştır.

2019/166

31/05/2019
Konu: İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep etmesi üzerine Kurulun yapmış olduğu inceleme sonucunda Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti saptandığından veri sorumlusu şirket hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000-TL idari para cezası uygulanmıştır.

2019/162

31/05/2019
Konu: İlgili kişi kendisine bir firma tarafından reklam içerikli SMS gelmesi üzerine buna dair açık rızasının bulunmadığı gerekçesiyle firmaya başvurur ancak süresinde cevap alamaz. Bunun üzerine Kurum’a başvurur ve verilerine ilişkin bilgi talep eder.

Kararı Paylaşın

Karar Özeti:

Kurul cep telefonu numarasına reklam içerikli SMS gönderilmesini bir veri işleme faaliyeti olarak nitelendirdi. Ancak buna herhangi bir hukuki dayanak olmadığını saptadı. Bu kapsamda firmanın kişisel verilerin hukuka uygun işlenmesi için gerekli güvenlik düzeyini temin etmek için gerekli idari ve teknik tedbirleri almadığı ve ilgili kişinin talebine cevap vermediği gerekçeleriyle idari para cezası uyguladı.

Ceza: 50.000 TL idari para cezası kesilmiştir.