2020/212
12/03/2020
- Sektör: Kamu Sektörü
- Kanun Maddesi
Kurul tarafından yapılan değerlendirmeler sonucunda kameralarla görüntü ile birlikte ses kaydı yapılmasının, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabileceğine, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği belirtilerek bu yönde bir uygulamanın hakkın özüne zarar vereceği, ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş şekilde hakkın özüne zarar verecek nitelikte bir istisna oluşması sonucunu doğurabileceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/213
12/03/2020
- Sektör: Özel Sektör
- Kanun Maddesi
Kurum’a iletilen veri ihlali bildiriminde şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabilecekleri bir Online İşlem Merkezi bulunduğu, müşterinin ödeme yaptığı sırada ekranda fatura seçilmesi gerektiği uyarısının belirdiği, sorun giderilmek üzere çalışma yaparken açığa çıkan bir güvenlik açığı sebebiyle müşteri kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği, 69 kişiye ait kart bilgisinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksiliği olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde idari para cezası yaptırımı uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Abonelik, İdari Tedbir, İnternet, Teknik Tedbir, Veri Güvenliği, Veri İhlal Bildirimi
Kurul tarafından veri sorumlusu banka hakkında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik tedbirleri almadığından KVKK’nın 18’nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına ve ihlalin tespit edildiğinden 72 saat içerisinde bildirim gönderildiği nedeniyle ve veri sorumlusu tarafından ilgili kişilere bildirim yapılmış olduğundan KVKK’nın 12’nci maddesinin (5) numaralı fıkrası uyarınca ayrıca yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Banka, Özel Nitelikli Kişisel Veri, Veri İhlal Bildirimi
2020/191, 2020/192, 2020/193, 2020/194
03/03/2020
- Sektör: Faktoring
- Kanun Maddesi
Kurum’a iletilen ihbarda sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamarın kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde KVKK’nın 4’üncü madesinde sayılan genel ilkelere riayet edilmediği, söz konusu faalieytelerin KVKK’nın 12’nci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel veriler hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muahfazasını sağlamak yükümlülüklerine aykırılık teşkil ettiğinin tespit edildiği ve veri ihlali süresi, veri ihalalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak veri sorumlusu 4 şirket hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Banka, Dürüstlük Kuralı, Sır Saklama Yükümlülüğü, Veri İhlali
2020/196
03/03/2020
- Sektör: Kamu Sektörü
- Kanun Maddesi
Kurum’a iletilen şikayette bir veri sorumlusuna ait internet sitesinin ana sayfasında yayımlanan haberin altına yapılan yorumlarla ilgili olarak başlatılan idari soruşturma kapsamında veri sorumlusu tarafından yorum tamamı ve yorum yapan kullanıcı IP adreslerinin ilgili kişinin çalıştığı kamu kurumuyla paylaşıldığı be bu sebeple ilgili kişinin çalıştığı kamu kurumunda idari soruşturmaya maruz kaldığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, denetim için gerekli olan tüm bilgi ve belgelerin talep edilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin KVKK’nın 5’nci maddesinin 2 numaralı fıkrasının a bendinden ” kanunlarda açıkça öngörülme ” hükme kapsamında olduğu, ancak idari soruşturmanın konusu olmayan üçüncü kişilerin kişisel verilerinin de veri sorumlusu şirket tarafından ilgili veri sorumlusuna aktarıldığı dikkate alındığında, idari soruşturma konusu olmayan kişisel verilerin aktarılmasının KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının ç bendinden yer alan “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğuna karar verilerek veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirmediğine karar verilerek idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Denetim, Fiili Kanuni Yükümlülük, İfşa, Üçüncü Kişi, Veri Aktarımı, Veri İşleme Şartları
2020/187
27/02/2020
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
İlgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin TCK hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/172
27/02/2020
- Sektör: Sağlık
- Kanun Maddesi
Kurul’a iletilen şikayet başvurusunda, ilgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, bu işlemenin KVKK’nın 5’inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmadığı, KVKK’da öngörülen yükümlülüğünün yerine getirilmediği kanaatine varılarak veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/166
27/02/2020
- Sektör: Araç Kiralama
- Kanun Maddesi
Kurul’a iletilen şikayette, ilgili kişi tarafından kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanıldığı belirtilmiştir, Kurul tarafından ilgili kişinin kredi kartı bilgilerinin veri sorumlusu tarafından haksız şart niteliğindeki sözleşme hükmüne dayanarak, sistemde saklanarak,kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanıldığı belirtilerek kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanmadığı ve KVKK’nın 4’üncü maddesine aykırılık teşkil etmesi sebebiyle KVKK madde 12 uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Araç Kiralama, HGS, Meşru Menfaat, Özel Nitelikli Kişisel Veri, SMS, Veri İşleme
2020/173
27/02/2020
- Sektör: E-ticaret
- Kanun Maddesi
Veri sorumlusu Amazon Turkey hakkında ilgili kişilerin bilgilerini işlemek suretiyle ticari elektonik ileti göndermek hususunda ilgili kişilerin açık rızasının usulüne uygun olarak alınmadığı, açık rıza dışında da bir işleme dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızaları olmaksızın işlendiği, açık rızanın usulüne uygun alınmadığı, yurtdışına aktarıma ilişkin açık rıza alınmadığı belirtilerek idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/167
27/02/2020
- Sektör: Spor
- Kanun Maddesi
Karara konu olayda spor salonu hizmeti sunan veri sorumlusu tarafından, üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesinde biyometrik verileri içeren bazı özel nitelikli kişisel verilerin işlenmesine ilişkin olarak Kurum’a başvuruda bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda, spor salonuna giriş ve için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri atelp etme ilkesi ile uyumlu olmadığına karar verilmiştir. Bu kapsamda, avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının KVKK’nın “Genel İlkeler” başlıklı 4’üncü maddesinin 2 numaralı fıkrasının ç bendindeki ölçülülük ilkesine aykırı olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/145
18/02/2020
- Sektör: Basın
- Kanun Maddesi
İlgili kişi tarafından Kruul’a iletilen şikayette, veri sorumlusuna ilettiği ihtarnamenin veri sorumlusu tarafından fotoğrafı çekilerek T.C. Kimlik numarası, nüfus kayıtları, anne- baba ismi ve adres bilgisi gibi kişisel veri içerecek şekilde yayımlandığı, ilgili kişi tarafından tekrardan başvuru yapılıncaya kadar 10 gün boyunca ilgili haberin yayınlandığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun tekzip ihtarnamesini yayınlamasının KVKK’nın 5’inci maddesinin 2 numaralı fıkrasının ç bendi uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu ancak ihtarnamenin kişisel veri içeren bölümünün olduğu gibi yayınlanmasının KVKK’nın 4’üncü maddesinin “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı belirtilerek veri sorumlusu hakkında KVKK madde 12’de belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınmaması sebebiyle idari para cezası uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Gazete, İhtarname, İnternet, Veri İhlali, Veri İşleme Şartları
2020/138
18/02/2020
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
İlgili kişi tarafından veri sorumlusu eski çalıştığı şirket hakkında Kurul’a yaptığı şikayette, veri sorumlusu aleyhine ikame edilen işe iade davasında veri sorumlusu tarafından özlük dosyasında yer alan özel nitelikli kişisel verilerini de içeren belgelerin mahkemeye sunulduğu belirtilmiştir. Veri sorumlusu tarafından yapılan savunmada, uyuşmazlık kapsamında özlük dosyasının tüm içeriğinin gnderilmesinin mahkeme tarafından talep edildiği belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nın 28’inci maddesinin 1 numaralı fıkrasının d bendi uyarınca konuya ilişkin olarak Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2020/124
13/02/2020
- Sektör: Havayolu
- Kanun Maddesi
İlgili kişi tarafından veri sorumlusu havayolu şirketi hakkında Kurul’a gerçekleştirilen şikayette, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, aralarındaki husumet nedeniyle her uçuşu sonraı aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumu veri sorumlusuna iletmesine karşın çalışan hakkında herhangi bri işlem yapılmadığı belirtilmiştir. Kurul tarafındna yapılan inceleme sonucunda, veri sorumlusu çalışanının kişisel verilere erişimine ilişkin herhangi bir sınırlama getirilmemesi ve çalışanlara verilen eğitimlerin yeterisz olması nedeniyle KVKK madde 12 kapsamında veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmaması sebebiyle idari para cezası uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
2020/118
13/02/2020
- Sektör: Bankacılık
- Kanun Maddesi
İlgili kişi tarafından Kurul’a yapılan şikayette, borçlu olduğu icra dosyasına ilişkin kişisel verisi olan banka hesap ve kiralık kasa bilgisinin hukuka aykırı şekilde aktarıldığı ve işlendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, veri sorumlusu olarak şikayet edilen bankanın, İcra Dairesince ödeme emrinin tebliğ edilmesi ve kiralık kasaya haciz konulması işlemleri nedeniyle kişisel verilerin korunması mevzuatından kaynaklanan bir sorumluluğunun bulunmadığı ve icra ve ifalas hukuku bakımından üçüncü kişi konumunda olduğu, kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı, iligli kişisel verilerin İcra İflas Kanunu’nun ilgili hükümleri çerçevesinde KVKK’nın 5’inci maddesinin 2 numaralı fıkrasının ç bendinde yer alan hukuki yükümlülüğün yerine getirilmesi şartına dayalı olarak KVKK’nın 8’inci maddesine uygun olarak icra iflas mevzuatı çerçevesinde aktarıldığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Banka, Haciz, Hukuki Yükümlülük, İcra Takibi, Veri Aktarımı, Veri İhlali, Veri İşleme Şartı
2020/120
13/02/2020
- Sektör: Bankacılık
- Kanun Maddesi
İlgili kişi tarafından Kurul’a yapılan şikayette, ilgili kişinin çalışmakta olduğu mükellef kurum hakkında vergi müfettiş yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenenlenen “Veergi Tekniği Raporu”nda kendileri ile ilgili bir verhi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, Vergi Usul Kanunu ve sair mevzuat hükümleri uyarınca şikayete konu veri işleme faaliyetinin vergi mevzuatı kapsamında mükallefle ilgil kimselerin hesap durumlarının elde edilebileceğinin düzenlendiği, iligli kişinin şirketi temsile yetkili kişi olması sebebiyle, mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerin işlenmesinin ölçülülük ilkesine uygun olduğuna karar verilerek şikayete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.