2019/296
01/10/2019
- Sektör: Telekomünikasyon
- Kanun Maddesi
İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kurulun yapmış olduğu inceleme sonucunda; Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına karar verilmiştir.
2019/294
01/10/2019
- Sektör: Havayolu
- Kanun Maddesi
İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.
2019/273
18/09/2019
- Sektör: Sağlık
- Kanun Maddesi
Kurumun yapmış olduğu inceleme sonucunda, 2018 yılında vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu Klinikten tüm medikal ve diğer bilgileri talep ettiğini, ancak kendisine yanıt verilmediği iddiası ile kuruma yapmış olduğu başvuru üzerine, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, KVKK’nın 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği, kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.
- Etiketler: Erişim Yetkisi, Miras, Özel Nitelikli Kişisel Veri, Raporu
2019/276
18/09/2019
- Sektör: Eğitim
- Kanun Maddesi
Kurul tarafından yapılan inceleme sonucunda, ilgili kişinin açık rızası veya diğer işleme şartları bulunmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin işlenmesi nedeniyle veri sorumlusu eğitim kurumunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığına karar verilerek idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Açık Rıza, Cep Telefonu, Mesaj, Reklam
2019/277
18/09/2019
- Sektör: Bankacılık
- Kanun Maddesi
Kurul tarafından yapılan incelemeler sonucunda, ilgili kişinin müşterisi olduğu bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının c ve ç bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı be ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede KVKK’nı 12’nci maddesinin birinci fıkrasının a bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almadığını göstermesi nedeniyle veri sorumlusu banka hakkında idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Banka, Belirlilik, Cep Telefonu, Hizmet Hattı, Meşru Amaç
2019/269
18/09/2019
- Sektör: Online platform
- Kanun Maddesi
Veri sorumlusu Facebook’un sistemlerinde üç ayrı uygulamanın birbiriyle hatalı etkileşimi sonucu yabancıların hesabına izinsiz erişim imkanı sağladığını ve bu hata yüzünden bir veri ihlali gerçekleştiği saptanıyor. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun izinsiz erişim imkanı tanınması ve ihlalin gerçekleştiğini 14 ay geç öğrenmesi yönünden yeteri tedbirleri almadığı, öğrendikten sonra düzeltme açısından geç harekete geçtiği sebepleriyle kusurlu olduğuna kanı getiriyor. Ayrıca Türkiye’de yer alan kullanıcıların isim, soyisim, e-posta, telefon dışında cinsiyet, memleket, doğum günü, iş ve eğitim geçmişi, ilişkisi, dini, cihaz bilgisi, Facebook’da yapılan aramalar gibi pek çok özel nitelikli kişisel veri ve kişisel veriye ulaştığı tespit edilmesi sebebiyle idari para cezasının uygulanmasına karar verilmiştir.
- Etiketler: Facebook, HMTL, Token, Veri İhlali, Yetkisiz Erişim
2019/255
27/08/2019
- Sektör: Turizm
- Kanun Maddesi
Veri sorumlusu tarafından Kurul’a iletilen ihlal bildiriminde yerel alan ağı üzerinden ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre giriş ile siber saldırı yapıldığı ve söz konusu olayın şirketin genel alanda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirildiği, personel verilerinden ad, soyadı, T.C. kimlik numarası, doğum tarihi, medeni durum, eş, çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adres, GSM numarası ve banka bilgilerinin etkilendiği, müşteri verilerinden ise ülke/Eyalet, uyruk , ad soyadı, telefon numarası, kredi kartı numarası ve son kullanım tarihi verilerinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda veri sorumlusunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında yeterli teknik ve idari tedbirleri almaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Bilişim Ağı, Güvenlik Duvarı, LAN, Network, Özel Nitelikli Kişisel Veri, Turizm, Veritabanı
2019/254
27/08/2019
- Sektör: Şans oyunları
- Kanun Maddesi
Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun sanal bayi hizmetlerini sunduğu internet sitesindeki veri sızıntısından şirketin üyelerinden birinin 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisinin paylaşılmasıyla haberdar olduklarını iletmişlerdir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nin 12’nci maddesinin 1 numaralı fıkrasında ifade edilen teknik ve idari tedbirlerin alınmaması nedeniyle idari para cezası uygulanmıştır.
- Etiketler: Excel, SMS, Veri İhlali, Veri Sızıntısı
2019/225
23/07/2019
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Kurul tarafından Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurtdışında yerleşik veri sorumlularının Veri Sorumluları Sicili’ne kayıt olmaları gerektiğine, şube özelliği olmayan irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına karar verilmiştir.
- Etiketler: GDPR, İrtibat Bürosu, Sicile Kayıt Yükümlülüğü, Tüzel Kişi , VERBİS
2019/222
17/07/2019
- Sektör: Online platform
- Kanun Maddesi
Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde, darknet üzerinden veri sorumlusunun kullanıcılarına ait kişisel verilerin yer aldığı, inceleme sonucunda halka açık ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmıştır.
2019/206
08/07/2019
- Sektör: E-ticaret
- Kanun Maddesi
Kurulun yapmış olduğu inceleme sonucunda; İlgili web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep edildiği iddiası üzerine söz konusu web sitesinin, üye olanlara farklı illerde değişik satıcılardan avantajlı ürün satın alınması amacını taşıdığı ve bu bağlamda bir ürün ve hizmetten yararlanmanın değil indirimden faydalanmanın ön şartı olarak açık rızaya dayandırıldığı tespit edilmiş, KVKK kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir. Ancak sitenin KVKK ve Gizlilik politikasında topladığı verilerin hangi hukuki sebebe dayandırıldığı açık bir şekilde belirtilmemiş olup “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınarak güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde talimatlandırılmasına karar verilmiştir.
2019/204
08/07/2019
- Sektör: Yatırım
- Kanun Maddesi
Kurul araştırma sonucunda, ilgili kişiyi arayan personelin önceden başka bir yatırım şirketinde çalıştığı ve ilgili kişinin numarasını buradan bildiğini, ancak oranın kapanması üzerine personelin bu yatırım şirketine geçtiğini öğreniyor. Kurum, veri işlemenin bir hukuki dayanağı olmadığı gerekçesiyle idari para cezası veriyor. Ayrıca TCK 135 ya ilişkin şikayetçinin bilgilendirilmesine karar veriliyor.
- Etiketler: Açık Rıza, Alenileştirme, Meşru Menfaat, Pazarlama, Reklam, Veri İşleme Şartı, Yatırım
2019/188
01/07/2019
- Sektör: Kamu Sektörü
- Kanun Maddesi
Kurul tarafından yapılan incelemeler sonucunda, sınav sonucu duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC kimlik numarası ve doğrulama kodu ile yalnızca sonuç verilerine ulaştığı bir duyuru siteminin kullanılması yönünde üniversitenin talimatlandırılmasına karar verilmiştir.
- Etiketler: Arama Motoru, Öğrenci, ÖSYM, Sınav Sonuç Duyuru Sistemi, Üçüncü Kişi, Üniversite, Yasal Süre
2019/170
18/06/2019
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmaması sebebiyle KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının b bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Üçüncü Taraf Sağlayıcı, Veri İhlal Bildirimi
2019/166
31/05/2019
- Sektör: Özel Sektör
- Kanun Maddesi
İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep etmesi üzerine Kurulun yapmış olduğu inceleme sonucunda Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti saptandığından veri sorumlusu şirket hakkında idari para cezası uygulanmasına karar verilmiştir.
