• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2019/159

31/05/2019
Konu: Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin.

Kararı Paylaşın

Karar Özeti:

Kurul yapmış olduğu inceleme sonucunda; ilgili kişinin, firmanın cevabını esasen teslim almış olduğunu, firmanın banka ile yapmış olduğu sözleşme sonucunda veri sorumlusu şirketçe alacağın temlik alındığını, dolayısıyla yeni alacaklı olarak borcun taksitinin ödenmesi adına iletişime geçtiğini ve bu anlamda yapacak bir işlem olmadığına karar vermiştir. Ancak, söz konusu SMS’in birden fazla kere gönderilmesini sahip olunan hakkı kötüye kullanma olarak değerlendiren kurum veri işlemede kanuna ve dürüstlük kurallarına aykırılık sebebiyle idari para cezası uygulanmasına karar vermiştir.

Ceza: 20.000-TL idari para cezası uygulanmıştır.

2019/157

31/05/2019
Konu: Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google ( gmail ) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumun görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından, Google’a ait G-mail e-posta hizmeti altyapısı kullanılması halinde e-postaların yurtdışındaki veri merkezlerinde tutulması söz konusu olacağından, “Server ” ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin KVKK’nın 9’uncu Maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/141

16/05/2019
Konu: Clickbus Seyahat Hizmetleri A.Ş.’nin veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde veri sorumlusuna ait sunucular üzerinde bazı zararlı dosyaların bulunduğu ve bazı zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği, veri sızıntısının 25 Eylül 2018 ve 25 Kasım 2018 arasında gerçekleştiğinin tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelmeler neticesinde, ihlalden 67.519 kişinin etkilendiği, isim, soyisim, iletişim bilgileri, müşteri işlem bilgisi, işlem güvenliği bilgileri gibi verilerin etkilendiği, ihlalin 2 ay boyunca devam etmesinin veri sorumlusunun gerekli denetim ve kontrolleri yapmadığının göstergesi olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 450.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/138

16/05/2019
Konu: Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu incelemede, şirket sahibi veri sorumlusunun, ilgili kişi çalışanının işyerindeki bilgisayarı üzerinden Whatsapp yazışmalarını okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntüsü almasının TCK kapsamında değerlendirilmesi gerektiği ve ilgili kişinin Türk Ceza Kanunun ilgili hükümleri kapsamında savcılığa suç duyurusunda bulunduğu ve sürecin devam ettiği dikkate alındığında, KVKK’nın 15’inci maddesinin 1 numaralı fıkrası çerçevesinde ilgili başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/144

16/05/2019
Konu: Cathay Pasific Airway Limited’in veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde veri sorumlusu bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği, saldırganın veri sorumlusunun ortamına uzaktan eriştiği ve müşteri sadakat sistemiin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği, Türkiye’de toplamda 1.286 kişinin etkilendiği ve isim, uyruk, doğum tarihi , telefon numarası , elektronik posta adresi , pasaport numarası, kimlik numarası verilerinin etkilendiği belirtilmiştir. kurul tarafından yapılan incelemeler sonucunda, veri ihlalinin 2 ay sonra tespit edilmesinin güvenlik çaığı olduğu ve veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve iadri tedbirlerin alınmaması nedeniyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesi kapsamında 450.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/143

16/05/2019
Konu: Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan bildirimde veri sorumlusu veritabanının tutulduğu ağa Temmuz 2014’ten veri yetkisiz erişim olduğu, Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği, Türkiye’den yaklaşık 1.24 milyon müşterinin kaydının bulunduğu , web suncuusuna erişim sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği beliritlmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından KVKK’nın 12’nci madesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirin alınmaması sebebiyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/122

02/05/2019
Konu: Veri sorumlusu Ziraat Bankasına kişisel verileriyle ilgili talepte bulunmak için KEP üzerinden mail atmasına rağmen kanuni süre olan 30 gün içerisinde Bankadan geri dönüş alamayan ilgili kişinin başvurusu hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda sorumlu Banka görevlileri hakkında disiplin işlemi yapılmasına ve aydınlatma metninin gözden geçirilerek uygun hukuki sebep eklenip tekrardan yapılandırılmasına ilişkin talimat gönderilmesine karar verilmiştir.

Ceza: Disiplin işlemi uygulanmıştır.

2019/104

11/04/2019
Konu: Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook tarafından duyurulan ihlalde kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül – 25Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirlenmiştir. Kurul tarafından yapılan inceleme neticesinde veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/81

25/03/2019
Konu: Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine.

Kararı Paylaşın

Karar Özeti:

Kurulun vermiş olduğu kararda, veri sorumlusu spor salonlarında özel nitelikli kişisel veri işlendiğini (biyometrik veriler), üye doğrulama işleminin biyometrik veri işlemeksizin başka yöntemlerle de gerçekleştirilebileceğini vurgulamıştır. Ayrıca Özel Nitelikli Kişisel Veri işlenmesi için kanunda açıkça hüküm bulunmaması halinde açık rıza gerektiği ve açık rızanın da servis/hizmet alımına bağlı olmaması gerektiğini dile getirmiştir. Bunun sonucunda Kurul, KVKK’nın 4’üncü maddesi gereği Kişisel Veri işleme ilkelerine aykırılık bulunduğuna ve 12’nci maddesinin 1 numaralı fıkrası gereği açık rızanın alınmadığı tespitiyle idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7’nci Maddesi gereği ivedilikle yok edilmesi, eğer ilgili özel nitelikteki verilerin üçüncü kişilere aktarılması söz konusu ise, yok edilmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.
Kurul konuya dair GDPR, WP29 kararı, Danıştay ve AİHM kararları incelenmiş. Sonuçta spor salonunda başka şekilde kimlik doğrulaması yapılabilecekken biyometrik veri toplanması ölçülülüğe, rıza alınmaması da kanuna aykırılık. Ayrıca rızanın mal ve hizmete bağlanması da rızayı zedeler.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.

2019/82

25/03/2019
Konu: Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından verilen kararda, ilgili kişinin market zincirinin sadakat kartı kullanmaya devam edebilmek için karşısına çıkan metinlerde kişisel verilerin işlenmesine izin vermeye mecbur bırakıldığı iddiasını incelenmiştir. Ayrıca bu süreçte 0,01TL hizmet bedeli alındığı tespit edilmiştir. Bu bağlamda kurulun yaptığı inceleme sonucu; firmadan alışveriş yapmanın sadakat kart varlığına bağlı olmadığı gerekçesiyle bu anlamda aykırılık bulunmamıştır. Ancak “üyelik ve rıza beyanı” belgesi ile “aydınlatma metni” arasındaki tutarsızlığı giderilmesi konusunda talimat verilmesine, ayrıca sosyal siteler ile paylaşılan kişisel verilerin kanuna uygun olarak anonimleştirilmediği konusunda şirkete talimat verilmesine, ve son olarak 0,01 TL lik bedelin sehven alınmış olup zaten iade edildiği gerekçesiyle işlem yapılmasına gerek olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

2019/78

25/03/2019
Konu: Veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Enerji Piyasası Denetleme Kurulu (“EPDK”) Kararı ile getirilen yükümlülük çerçevesinde, bayi pompa satış hareketlerini, “plaka, akaryakıt türü, miktar, fiyat, zaman (saat, dakika ve saniye)” bilgilerini içerecek şekilde sorgulama imkanı veren ve ilgili Kurumun anlık erişimine açık olan bir otomasyon sistemi kurulduğu belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK madde 5’in ikinci fıkrasının f bendi uyarınca veri sorumlusunun, tüketicilere ait plaka ve ürün bilgileri kullanmasının “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında değerlendirilebileceği ve bu kapsamda erişilebilir ve görünebilir bir şekilde aydınlatma yükümlülüğünü yerine getirmek kaydıyla açık rıza alınmaksızın ilgili verilerin işlenebileceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2019/47

01/03/2019
Konu: İlgili kişi, X isimli şahsın kendisi ve ailesi hakkında bilgilere hukuk dışı yollar ile ulaşarak rızası dışında yargı ve üçüncü kişilere aktardığı konusunda şikayette bulunmuştur.

Kararı Paylaşın

Karar Özeti:

Söz konusu kişisel verilerin aktarımı dilekçe yoluyla olup bir kişisel veri kayıt sistemi bulunmadığında, veri sorumlusundan bahsedilemeyeceği, hukuk dışı yollarla bu bilgilere ulaşma konusunun ise TCK kapsamında değerlendirileceği belirtilmiştir.

Ceza: Ceza miktarı açıklanmamıştır.

2019/23

14/02/2019
Konu: Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda veri sorumlusu teknik servis hizmeti veren firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırı olarak işlem yapılması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 150.000,00-TL idari para cezası uygulanmıştır.

2018/156

24/12/2018
Konu: Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin, adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumların ve paylaşımların yapıldığı hususunda Kurulun yapmış olduğu inceleme sonucu KVKK’nın 15’inci maddesinin 2 numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan” ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2018/142

05/12/2018
Konu: Veri sorumlusu bir Bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kurul önüne gelen olayda, KVKK’nın ilgili maddesi ile 5411 sayılı Bankacılık Kanununun 42’nci maddesi göz önünde bulundurulduğunda; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği dikkate alındığında, şikayetçinin talebine yönelik Kurul tarafından herhangi bir işlem tesis edilmemiştir.

Ceza: İdari yaptırım uygulanmamıştır.