2020/414
22/05/2020
- Sektör: Özel Sektör
- Kanun Maddesi
Karara konu olayda, İlgili kişinin “Google” arama motorunda adının ve soyadının aratılması sonucunda 2009 yılında hüküm verildiği suçtan dolayı infaz etmiş olduğu cezaya ilişkin yer alan haberin kişinin iş ve aile hayatını olumsuz etkilediği gerekçesiyle gazetenin internet sitesinden kaldırılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; haberin kamu ilgi ve yararı taşıması; gerçek ve güncel olması; özü ile biçimi arasında denge olması ölçütlerini sağladığı, habere konu olan olayın mahkeme kararıyla kanıtlanmış olduğu ve hala gündemde olduğu gözlemlenmiştir. Çatışan haklar bakımından ifade özgürlüğünün kişilik hakkından daha üstün gelmesi sonucu yapılacak bir işlem olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Basın Özgürlüğü, Düzeltme Talebi, Gazete, İnternet Sitesi
2020/404
20/05/2020
- Sektör: Özel Sektör
- Kanun Maddesi
İlgili kişi tarafından Kurul’a yapılan şikayet sonucu yapılan değerlendirmeler neticesinde, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi sebebiyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin birinci fıkrasının a bendi uyarınca idari para cezası uygulanmasına, veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından KVKK’nın 4’üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktarması sebebiyle, KVKK’nın 12’nci maddesinin birinci fıkrasında yer alan gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırılık sebebiyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/396
20/05/2020
- Sektör: Kamu Sektörü
- Kanun Maddesi
Veri sahibi ilgili kişi tarafından Kurul’a işe girişte özlük dosyasına eklenmek üzere ceza mahkumiyeti bilgilerini içerir adli sicil kaydının veri sorumlusu işverene verdiği ancak denetim süresinin sona erdiği, sicil kaydından ilgili kaydın silindiği ve veri sorumlusundan nezdinde bulunan adli sicil kaydının imhasını talep ettiğini bildirdiği başvuruda, Kurul tarafından yapılan değerlendirme sonucunda KVKK kapsamında özel nitelikli kişisel verilerin işlenmesine ilişkin kanunilik unsurunun öğretide ifade edilen maddi kanun olarak değerlendirilmesi gerektiği belirtilerek Devlet Personeli Başkanlığı’ndan alınan görüş ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri kapsamında sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Güvenlik Tedbiri, Mahkeme, Özel Nitelikli Kişisel Veri, Özlük Dosyası
2020/407
20/05/2020
- Sektör: Sağlık
- Kanun Maddesi
Karara konu olayda İlgili kişinin hastanın tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde e-posta yoluyla üçüncü kişiyle paylaşılması sonucu, ilgili kişi veri sorumlusu olan hastaneye başvurmuş, veri sorumlusu hastaneden hatanın kabul edildiğini içeren bir cevap almıştır. Hastanenin cevabına istinaden ilgili kişinin kurula yapmış olduğu başvuruda Kurulun yapmış olduğu inceleme sonucunda, Hastanenin veri sorumlusu olarak mesul müdürü göstermesi üzerine KVKK’nın 3. Maddesi gereği tüzel kişilerin veri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin sorumlu olduğu, hukuki sorumluluğu tüzel kişiliğin şahsında doğacağı ve kamu-özel tüzel kişisi ayrımı yapılmaksızın Hastane’nin bizatihi veri sorumlusu olduğunun hastaneye hatırlatılmasına, ilgili kişinin özel nitelikteki verisinin kişinin açık rızası ve KVKK’nın 6’ncı Maddesinde düzenlenen işleme şartları olmaksızın üçüncü kişiye aktarmak suretiyle hukuka aykırı şekilde işlenmesi suretiyle “Veri Güvenliğine İlişkin Yükümlülükler ”in ihlali nedeniyle veri sorumlusu hakkında idari para cezası verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/379
14/05/2020
- Sektör: Sağlık
- Kanun Maddesi
Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası uayrınca gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir; Veri sorumlusu Md. 13 kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda talimatlandırılmıştır.
İlgili GDPR kararlarını görmek ister misin?
2020/357
07/05/2020
- Sektör: Sigorta
- Kanun Maddesi
Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 90.000 TL idari para cezası uygulanmasına; veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurum’a bildirimde bulunması sebebiyle KVKK’nın 12’nci maddesinin (5) numaralı fıkrası gereğince ayrıca yapılacak işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/355
07/05/2020
- Sektör: Sağlık
- Kanun Maddesi
Karara konu olayda veri sorumlusu eczacının eşinin İl Sağlık Müdürlüğü’ne yaptığı başvurudan, eczacı eşinin Medula Eczane sistemine giriş yaotığının anlaşıldığı ancak söz konusu sistemin özel nitelikli kişisel veri içermesi sebebiyle, yetkisiz üçüncü kişi olan eşinin Medula sistemine erişimine izin veren Eczane hakkında üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla KVKK’nın 12’nci maddesinin 1 numaralı fıkraı uyarınca idari para cezası uygulanmasına karar verilmiştir. Bununl abirlikte, yetkisiz şekilde Medula sistemine giriş yaparak ilgli kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanunu’nun 136’ncı maddesi kapsamında savcılığa suç duyurusunda bulunulmuştur.
İlgili GDPR kararlarını görmek ister misin?
2020/335
05/05/2020
- Sektör: Araç Kiralama
- Kanun Maddesi
Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanun’un 5. maddesinde yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun Kanunun 12. maddesinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18. maddesinin birinci fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/336
05/05/2020
- Sektör: Eğitim
- Kanun Maddesi
İlgili kişi tarafından daha önce personeli olduğu veri sorumlusu üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, bu kapsamda üçüncü kişilerin erişimine açılan kişisel bilgilerinin KVKK kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilmiştir. Kurul tarafından yapılan değerlendirme sonucunda, veri sorumlusu tarafından ilgili kişinin başvurusunun cevaplandırılması hususunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına ve yetkisi olmayan kişiler tarafından iligli kişinin kişisel verilerine erişilmiş olması sebebiyle söz konusu uygulamya yönelik sorumlular hakkında işlem yapılmasına ve işlem sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Başvuru Usulü, KEP, Veri İşleme Şartı, Yasal Süre
Kurum’a iletilen veri ihlal bildiriminde bankanın uyum ve iç kontrol grubu tarafından düzenlenen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği, banka müşterisi olmayan toplam 7.706 kişinin bireysel nitelikteki kredi bilgilerine hukuka aykırı erişildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden 25.288 kişinin etkilendiğinin tespit edildiği, veri sorumlusu banka tarafından KKB sorgulamaları için zamanında gerekli teknik ve idari tedbirlerin alınmadığına, veri sorumlusu tarafından düzenli kontrollerin sağlanmadığına, veri sorumlusu tarafından çalışanların farkındalığına ilişkin gerekli işlemlerin sağlanmadığından bahisle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/325
30/04/2020
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Aynı kişi tarafından vekaleten ve asil olarak aynı konuya ilişkin Kurum’a tekrarlayarak gerçekleştirilen başvurulara ilişkin olarak Kurul tarafından yapılan değerlendirmeler sonucunda, vekaleten yapılan başvuruların gerekli usuli şartı taşımaması sebebiyle incelenemeyeceği ve başvuruların öncelikle Sosyal Güvenlik Kurumu’na yapılması gerektiğinin daha önce belirtildiği ifade edilerek aynı adres üzerinden gelen muhtelif kişilere ait başvurular ile bundan sonra Kurum’a intikal edecek bu içerikle benzer nitelikteki diğer başvuruların değerlendirmeye alınmayacağına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/307
22/04/2020
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan değrlendirme sonucunda, Müdürlükler tarafından tutulan ticaret sicilinin kişisel verileri ierdiği ve sicilde yer alan kişisel veriler bakımından Müdürlüğün kişisel veri işleme faaliyeti gerçekleştirdiği, ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin KVKK hükümlerinden muaf olacağı anlamını taşımadığı, bu kapsamda Müdürlük tarafından kamu kuurm ve kuruluşlarına gerçekleştirilecek aktarımların KVKK’nın 8’inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği, aktarımı talep edilen kişisel verilerin bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmmış kuruluşlardan talep edilmesi, her türlü kişisel veri işleme faaliyetinde özellikle KVKK’nın 4’üncü maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma1 ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması gerektiği belirtilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Alenileştirme, Ticaret Sicili, Veri Aktarımı, MERSİS
2020/286
16/04/2020
- Sektör: Oyun
- Kanun Maddesi
Kurum’a iletilen veri ihlal bildiriminde oyun şirketinin oyuncu verilerine yasal olmayan yollarla hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği, hackerların şirketin bulut sistemlerine belirli olmayan kaynaklardan temin ettikleri kimlik bilgileri kullanarak erişmiş olduğu, ihlalden etkilenen kişi sayısının 39,995 olduğu, etkilenen kişisel verilerin isim, soyisim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, oyuncu kullanıcı adı ve şifresi, telefon numarası bilgileri olduğu beliritilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusu tarafından güvenlik ajanının ağ sistemine konuşlandırılması, kötü niyetli IP adreslerinin sistemden engellenmesi, oyuncu hesaplarının yetkisiz erişimlerden korunması gibi tedbirlerin alınmaması sebebiyle KVKK’nın 12’nci maddesinin 1 numarası fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Bildirim Yükümlülüğü, Hacker, Oyun, Veri İhlal Bildirimi
2020/226
19/03/2020
- Sektör: Kamu Sektörü
- Kanun Maddesi
İlgili kişi tarafından veri sorumlusu valilikte çalıştığı sırada, veri sorumlusu diğer bir çalışan tarafından hukuka aykırı olarak elde edilen ve veri sorumlusuna dijital ortamda sunulan veriler sebebiyle disiplin ve soruşturma işlemleri uygulandığı belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, kişisel verileri hukuka aykırı olarak elde eden valilik çalışanı açısından iddiaların Türk Ceza Kanunu hükümleri çerçevesinde değerlendirilmesi gerektiği, veri sorumlusunun işlediği kişisel veriler açısından disiplin soruşturma veya kovuşturması kapsamında KVKK’nın 28’inci maddesinin 2 numaralı fıkrasının c bendi kapsamında olduğu ve KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/216
12/03/2020
- Sektör: Özel Sektör
- Kanun Maddesi
Veri sorumlusu tarafında Kurul’a iletilen veri ihlal bildiriminde veri sorumlusunun sistemlerine siber saldırı sonucunda veri ihlalinin gerçekleştiği belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda saldırganlar tafafından erişilen verilerin veri sorumlusu tarafından tespit edilememesi veri sorumlusu tarfaından kontrol ve uyarı mekanizmalarının etkin şekilde kullanılmadığının göstergesi olduğu, veri sorumlusu nezdinde son kullanma tarihi geçmiş kredi kartı bilgilerinin kayıtlı olmasının KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının b ce ç bentlerine aykırılık teşkil ettiği, bununla birlikte veri sorumlusuna ait internet sitesinde gerçekleştirilen veri işleme faaliyetlerine ilişkin aydınlatma metninin bulunmadığı ve veri güvenliğini sağlanmasına ilişkin gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Kredi Kartı, Siber Saldırı, Veri İhlal Bildirimi, VPN