• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle
Arama sonuçlarınla ilgili GDPR kararlarını görmek ister misin?

2020/113

11/02/2020

Konu: Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan ihlal bildiriminde, veri sorumlusunun internet sitesinden ve mobil uygulamasına ilişkin olarak veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlenmesinin bu sırada gerçekleşmiş olabileceği, azami 257.000 kişinin etkilenme ihtimalinin bulunduğu, ihlalden etkilenen kişisel verilerin kimlik, kriptolanmış kullanıcı hesabı şifreleri olduğu beliritlmiştir. Kurul tarafından veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir ksıt bulunmaksızın erişldiği, sızma testlerinin ihlal öncesi yapılmadığı, mobil uygulama içerisinde SSL Sertifika olmaması, politika ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulması, kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmemesi sebebiyle veri sorumlusu hakkında veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/108

11/02/2020

Konu: Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan değerlendirme sonucunda, aktarılan bilgilerin ilgili kişi tarafından sosyal iş ağında da paylaşılması nedeniyle alenileştirilmiş olma şartını da sağladığı, veri aktarımının hukuka ve dürüstlük kuralına uygun olarak “belirli, açık ve meşru amaçlar için işlenme” ilkesini de ihlal etmediğine karar verilmiş, veri aktarımının veri sorumlularının İnsan Kaynakları birimleri tarafından yapılması da İnsan Kaynakları biriminin özlük dosyalarının bulunduğu departman olması sebebiyle gerekli idari ve teknik tedbirlerin alınması ilkesinin ihlal edilmediği belirtilerek söz konusu veri aktarımının hukuka aykırı bir veri işleme faaliyeti olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/93

06/02/2020

Konu: Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler.

Kararı Paylaşın

Karar Özeti:

Farklı kişiler tarafından Kurul’a yapılan başvurular ile geçmişte çeşitli sebeplerden kaydedilen sağlık raporlarının özellikle psikiyatrik hastalık tanımlarının yaşamlarında sorun yarattığı sebbeiyle ilgili sağlık kayıtlarının düzeltilmesi ya da silinmesi talep edilmiştir. Kurul tarafından konuya ilişkin olarak ilgili Bakanlık’tan alınan görüşler neticesinde kişilerin geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği belirtilerek ilgili kayıtlar bakımından kişisel veri işleme şartlarından ” kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması nedeniyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği ve Bakanlık tarafından işleme amacının ortadan kalkmaması nedeniyle KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/103

06/02/2020

Konu: Bir Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak Kurula yapılan başvuru hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, veri sorumlusu bankanın potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelmediği tespit edilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri sorumlusu banka tarafından herhangi bir işleme şartı mevcut olmaksızın ilgili kişinin verilerinin işlenmesi sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırı şekilde güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 210.000,00-TL idari para cezası ugulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/86

06/02/2020

Konu: Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayet başvurusu.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda veri sorumlusu tarafından Kurul’un talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kurallarına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmaması sebebiyle KVKK’nın 15’nci maddesinin 5 numaralı fıkrasına aykırılık sebebiyle idari yaptırım kararı uygulanmıştır.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/78

30/01/2020

Konu: Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresini ilgili kişiye ait olmayan bir e-posta adresine göndererek bu bilgilerin üçüncü bir kişiyle paylaşılması sonucu veri sorumlusuna e-posta ve dilekçe yoluyla başvurulmuş fakat yazılı bir cevap alınamamıştır.

Kararı Paylaşın

Karar Özeti:

Kurul, veri sorumlusunun ilgili kişiye ait bilgileri Kanunda düzenlenen veri işleme şartlarından biri olmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle 8. Madde hükmüne aykırı veri aktarımı gerçekleştirdiğini saptamıştır.
Veri sorumlusu yazılı cevap vermeyip yalnızca telefonda bilgilendirme yaparak Kanun’un 13. Maddesini ihlal etmiştir; veri sorumlusunun bundan sonraki başvurularda azami dikkat ve özeni göstermesi için talimatlandırılmasına karar verilmiştir.

Ceza: 60 000 TL idari para cezası kesilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/71

30/01/2020

Konu: Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği konusunda inceleme yürütür.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda Kanunun, veri sorumlusuna seçim hakkı tanıdığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/66

27/01/2020

Konu: İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin irtibat numarasına, bir elektrik dağıtım şirketi tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderilmesi üzerine kurulun yapmış olduğu inceleme sonucunda; Veri sorumlusunun kendisine yapılan başvuruları zamanında cevaplandırması konusunda talimatlandırılmasına, veri işleme faaliyetinin ise belirli, açık ve meşru olmadığı sebebiyle idari para cezası verilmesine karar verilmiştir.

Ceza: 100.000-TL para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/63

27/01/2020

Konu: İlgili kişi kuruma yaptığı şikayette babasının tedavisi için gittiği hastaneden barkod alamadığı için kavga çıkması sonucu ayrıldığı, olaya ilişkin tutanak tutulduğu, tam 1 yıl 3 ay sonra sağlık çalışanlarının hasta yakını verilerini kanuna aykırı kullanarak suç duyurusunda bulunduğunu belirtir.

Kararı Paylaşın

Karar Özeti:

Kurul, kişisel verilerin KVKK 6/3 uyarınca sır saklama yükümlülüğü altında olan personelce işlendiği, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği, hukuki yükümlülüğün yerine getirilmesi amacıyla veri işlendiği gerekçesiyle yapılması gereken bir işlem olmadığı belirtilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/59

27/01/2020

Konu: İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası üzerine.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin ortağı bulunduğu …Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek kurula başvurmuştur. Kurulun yapmış olduğu inceleme sonucunda kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin KVKK’nın 5 inci maddesinin 2 numaralı fıkrasının e bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise KVKK’nın 28 inci maddesinin 1 numaralı fıkrasının d bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/67

27/01/2020

Konu: İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişi tarafından kendisine bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ait açık rızasının bulunmaması sebebiyle Kurul’a şikayette bulunulmuştur. Kurul tarafından yapılan inceleme neticesinde, kişisel verilere ilişkin herhangi bir veri işleme şartının bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin KVKK’nın 5’inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının KVKK’nın 12’nci maddesinin 1’inci fıkrasının a bendine aykırılık teşkil ettiğine karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/65

27/01/2020

Konu: Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolcuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde veri sorumlusuna başvuruda bulunmuştur. Kurul tarafından gerçekleştirilen incelemeler sonucunda, müşterilerin ilişkin puanlanmasına dayanan veri işleme faaliyetinin KVKK’nın 4’üncü maddesinde belritilen kişisel verilerin işlenmesine ilişkin genel ilkelerden “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ve “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkelerine aykırılık teşkil ettiği, bununla birlikte uygulamanın yüklenmesi akabinde üye olunması esnasında iligli kişilere bir aydınlatma yapılmadığında Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü yerine getirmemeiş olması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının a bendi kapsamında veri sorumlusu hakkında idari yaptırım kararı uygulanmasına karar verilmiştir.

Ceza: 10.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/58

27/01/2020

Konu: Bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirterek gerekli yasal işlemin yapılması talep edilmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından sosyal medya paylaşımlarında müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bazı durumlarda plaka numaralarına yer verildiği tespit edilmiştir. Söz konusu işleme faaliyetine ilişkin ilgili kişilerden açık rıza alınmaması sebebiyle işleme faaliyetlerinin hukuka aykırılık teşkil ettiğine ve bu çerçevede KVKK’nın 12’nci maddesi ile veri sorumlusuna yüklenmiş yükümlülükleri yerine getirmediğine karar verilmiştir.

Ceza: 22.500,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/43

16/01/2020

Konu: İlgili kişiye ait verilerin veri sorumlusu Banka tarafından rızası olmaksızın babası ile paylaşıldığı, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı gerekçesiyle Kurum’a başvurulmuştur.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de yapılan incelemede Kanun’un 12. maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanun’un 18. maddesinin hükmü kapsamında işlem tesis edilmesine karar verilmiş; tazminat talebinin Madde 14 uyarınca genel mahkemler huzurunda değerlendirilmesi gerektiği belirtilmiş ve ilgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan konunun BDDK’ya intikal ettirilmesine karar verilmiştir.

Ceza: İdari para cezası açıklanmadı.

İlgili GDPR kararlarını görmek ister misin?

2020/34

16/01/2020

Konu: İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme neticesinde, kişisel verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı ve bu kapsamda kişisel verilerin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırılık saptanarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davranıldığından bahisle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 18.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?