2020/41
16/01/2020
- Sektör: Bankacılık
- Kanun Maddesi
Karara konu olayda ilgili kişi tarafından borcu olan veri sorumlusu bankanın iş yerini arayarak aile bilgilerini sorguladığı, ödeme yapıp yapmayacağının iş yeri sekterine defaten sorukduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırılması sebebiyle veri sorumlusundan 100.000,00-TL maddi ve manevi tazminat isteminde bulunduğu beliritlmiştir. Kurul tarafından yapılan incelemeler sonucunda, ilgili kişinin veri sorumlusuna başvurusunun KVKK’nın 11’inci maddesi kapsamında bir talep içermediği ve Kurum’a şikayetinde de iddialarını kanıtlayıcı bir belge sunamadığı, ayrıca zarara ilişkin taleplerini KVKK’nın 14’üncü maddesinin 3 numaralı fıkrasında yer alan genel mahkemeler huzurunda kullanması gerektiğine karar verilmiştir.
2020/32
16/01/2020
- Sektör: Bankacılık
- Kanun Maddesi
İlgili kişi, kredi kartını kendi rızası dışında 3. kişilere teslim ederek kişisel verilerinin açığa çıkmasına sebep olan bankayı Kurul’a şikayet eder. Olayda esasen kredi kartının ilk adrese teslim için geldiği ancak kimse olmadığı için geri döndüğü ve SMS bilgilendirmesi yapıldığı, ancak buna rağmen servis dışı tel numarasına mesaj gitmediği, bunun üzerine sistemde kayıtlı ikinci adrese gidildiği ve orada birine teslim edildiği, ancak sisteme kartın ilk adreste birine teslim edildiğinin işlendiği, bu kişinin taınmıyor olduğunun beyanı üzerine kartın bloke edildiği anlaşılmıştır. Kurul, bankanın bilgilerin güncelliğini sağlamak adına yeterli çabayı göstermediğini, kuryenin/kargonun de teslim sırasında yeterli özeni göstermediği, ancak kuryenin kredi kartı verisinden sorumlusu olmadığı, ancak kuryenin mevzuat gereği gönderici ve alıcılara ilişkin isim, unvan, kimlik gibi bilgileri doğru girmekle ilgili sorumluluğu olduğunu, ancak bunun kuryenin sözleşmeye aykırılıktan borçlar kanunu konusu olduğu, mevcut olayla ilgili bankanın veri güvenliği açısından yeterli idari ve teknik tedbirleri almadığına karar verildi. Kurul idari para cezası uygulamıştır.
2020/20
14/01/2020
- Sektör: Eğitim
- Kanun Maddesi
Karara konu olayda ilgili kişiye ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kurum’a başvuruda bulunmuştur. Kurul tarafından yapılan incelemeler soncunda herhangi bir veri işleme şartı bulunmaksızın veri işleme faaliyetinin gerçekleştirilmiş olması nedeniyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.
- Etiketler: Açık Rıza, Mesaj, Reklam, Veri İşleme Şartı
2020/13
14/01/2020
- Sektör: SPK aracı kurum
- Kanun Maddesi
İlgili kişi tarafından Kurul’a yapılan şikayet başvurusunda sermaye piyasası mevzuatı çerçevesinde alım-satıma aracılık faaliyeti kapsamında, veri sorumlusu ile imzalanan sözleşme uyarınca işlenen kişisel verilerinden, ilgili kişi ile yapılan telefon görüşmesi kayıtlarının iletilmesi talebinde bulunmuştur. Kurul tarafından yapılan değerlendirmeler sonucunda, KVKK’nın 11’inci maddesi kapsamında ilgili kişilere tanınan bilgi talep etme hakkının söz konusu veriye erişim hakkını da kapsadığı belirtilmiştir. Bununla birlikte, bu hakkın kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimi, bu kayıt ortamının kendisinin ilgili kişiye teslimi veya doğrudan verinin kendisinin elde edilmesini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkanların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkan tanınmasını kapsadığına karar verilmiştir. Bu kapsamda, veri sorumlusu tarafından telefon görüşmesi kayıtlarına ilişkin dökümün, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülükler de dikkate alınarak, ilgili kişiye gönderilmesine karar verilmiştir.
2020/26
14/01/2020
- Sektör: Avukat
- Kanun Maddesi
Kurul tarafından yapılan incelemeler neticesinde, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle KVKK’nın 12’nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.
2019/393
26/12/2019
- Sektör: Kamu Sektörü
- Kanun Maddesi
Kurul tarafından yapılan incelemeler neticesinde, kamu kurumu nezdinde 657 sayılı Kanun kapsamına çalışan ve kişisel veri işleyen personele kişisel verilerin korunmasına yönelik ayrıca bir gizlilik sözleşmesinin imzalatılmasına gerek olmadığı belirtilmiştir.
2019/389
26/12/2019
- Sektör: Üniversite
- Kanun Maddesi
Kurulun yapmış olduğu inceleme sonucunda, öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanması hakkında kurula iletilen görüş talebine istinaden; ilgili kişiler ve sınav değerlendirme sonuçları arasındaki bağlantının ilgili verilerin maskeleme yönetimiyle saklanmasına ve değerlendirme sonuçlarının yalnızca adayların erişiminin olacağı kimlik doğrulaması yoluyla erişilebilecek bir alanda yayınlanmasının uygun olduğuna karar verilmiştir. Ayrıca bu kişisel veri işleme faaliyetine ilişkin adayların aydınlatılması gerektiğine karar verilmiştir.
- Etiketler: Akademik Kadro, Atama, Aydınlatma Yükümlülüğü, Kimlik Doğrulaması, Üçüncü Kişi
2019/372
09/12/2019
- Sektör: Basın
- Kanun Maddesi
Kurum’a iletilen şikayette, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verdiğine ilişkin bir habere yer verilmesi dolayısıyla ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, özel nitelikli sağlık verisi niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda kamu yararı bulunmadığı, bu itibarla çatışan haklar bakımından kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varılarak KVKK’nın 28’inci maddesinin 1 numaralı fıkrasının c bendi çerçevesinde değerlendirilemeyeceği ve bu kapsamda KVKK’nın 12’inci maddesinin 1 numaralı fıkrasının a bendine aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Gazete, İfade Özgürlüğü, Özel Nitelikli Kişisel Veri
2019/352
26/11/2019
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusu tarafından banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de aynı personel tarafından mesnetsiz olarak görüntülendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Banka, Dolandırıcılık , İş Akdi, Kredi Kartı, Kurumsal E-Posta, Sahte Belge, Teknik Tedbir, Veri İhlali, Veri Sızıntısı
2019/353
26/11/2019
- Sektör: Dernek
- Kanun Maddesi
Kuruma Vakıf ve derneklerin Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamıyla ilgili bilgi talebi hakkında başvuruda bulunulmuştur. İlgili mevzuat çerçevesinde kurulan ve yalnızca kendi amaçlarıyla sınırlı veri işleyen dernek, vakıf ve sendikalar amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve (faaliyet alanıyla sınırlı olarak kendisine bağış yapanlar) bağışçılarına yönelik kişisel veri işleyenler sicile kayıt yükümlülüğünden muaf olduğu belirtilmiştir.
- Etiketler: Sicile Kayıt Yükümlülüğü, Veri Sorumluları Sicili
2019/333
07/11/2019
- Sektör: Telekomünikasyon
- Kanun Maddesi
Şikayetçiye, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırı olduğu kanaatine varılmasından ötürü, Kanun’un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Abonelik, BTK, Fatura, KEP, Veri Aktarımı, Veri Güvenliği
2019/332
07/11/2019
- Sektör: Sağlık
- Kanun Maddesi
İlgili kişiye ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kurum’a başvuruda bulunulmuştur. Kurul tarafından yapılan incelemeler sonucunda doktor tarafından herhangi bir işleme şartı mevcut olmaksızın reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin işlenmesi nedeniyle veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Açık Rıza, Beden Bütünlüğü, Güvenlik Düzeyi, Mesaj, Meşru Menfaat, Reklam, Veri İşleme Şartı
2019/331
07/11/2019
- Sektör: Sigorta
- Kanun Maddesi
İlgili kişinin veri sorumlusu sigorta şirketi tarafından açık rıza almadan sigortacılık faaliyetleri konusunda aranması hususunda Kurum’a şikayette bulunmuştur. Kurul tarafından yapılan incelemeler sonucunda ilgili kişinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi veri sorumlusu tarafından ilgili kişinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı anlaşıldığından KVKK’nın 5’inci maddesinin 2 numaralı fıkrasının d bendi çerçevesinde değerlendirilemeyeceği sebebiyle KVKK’nın 12’nci maddesinin 2 numaralı fıkrasının a bendine aykırı davranılması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
2019/316
30/10/2019
- Sektör: Sağlık
- Kanun Maddesi
Kurulun yaptığı inceleme sonucunda Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği, KVKK 28 uyarınca bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.
2019/297
01/10/2019
- Sektör: Otomotiv
- Kanun Maddesi
Kurula intikal eden olayda, Otomotiv sanayi sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin numarasına reklam içerikli SMS gönderildiği, kendisinin bu şekilde yapılan reklamlardan rahatsızlık duyduğu ve kişisel verilerinin açık rızası olmaksızın işlendiğini düşünmesi sebebiyle kuruma başvurmuştur. Kurulun yapmış olduğu inceleme sonucunda veri sorumlusu tarafından ilgili kişiye verilen cevapta belirtildiği üzere ilgili kişinin kişisel verilerinin, 2012 yılında Firma Merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep etmesi ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin vermesi, ayrıca ilgili kişinin 2013 yılında motosikleti için Firmadan yedek parça ve servis hizmeti satın almasına binaen işlendiğinin beyan edilmesi ve başvuru sahibince aksinin iddia edilmemesi sebebiyle, bahsi geçen satın alma işleminin KVKK’nın yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin KVKK kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.
- Etiketler: Açık Rıza, Cari Kayıt, Elektronik İleti, İrade Beyanı, SMS, Veri Silinmesi
