• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle
Arama sonuçlarınla ilgili GDPR kararlarını görmek ister misin?

2019/296

01/10/2019

Konu: Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kurulun yapmış olduğu inceleme sonucunda; Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/294

01/10/2019

Konu: Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/273

18/09/2019

Konu: Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi” hakkında.

Kararı Paylaşın

Karar Özeti:

Kurumun yapmış olduğu inceleme sonucunda, 2018 yılında vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu Klinikten tüm medikal ve diğer bilgileri talep ettiğini, ancak kendisine yanıt verilmediği iddiası ile kuruma yapmış olduğu başvuru üzerine, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, KVKK’nın 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği, kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/276

18/09/2019

Konu: Bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme sonucunda, ilgili kişinin açık rızası veya diğer işleme şartları bulunmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin işlenmesi nedeniyle veri sorumlusu eğitim kurumunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığına karar verilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/277

18/09/2019

Konu: İlgili kişinin, kişisel verisi olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler sonucunda, ilgili kişinin müşterisi olduğu bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının c ve ç bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı be ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede KVKK’nı 12’nci maddesinin birinci fıkrasının a bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almadığını göstermesi nedeniyle veri sorumlusu banka hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/269

18/09/2019

Konu: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook’un sistemlerinde üç ayrı uygulamanın birbiriyle hatalı etkileşimi sonucu yabancıların hesabına izinsiz erişim imkanı sağladığını ve bu hata yüzünden bir veri ihlali gerçekleştiği saptanıyor. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun izinsiz erişim imkanı tanınması ve ihlalin gerçekleştiğini 14 ay geç öğrenmesi yönünden yeteri tedbirleri almadığı, öğrendikten sonra düzeltme açısından geç harekete geçtiği sebepleriyle kusurlu olduğuna kanı getiriyor. Ayrıca Türkiye’de yer alan kullanıcıların isim, soyisim, e-posta, telefon dışında cinsiyet, memleket, doğum günü, iş ve eğitim geçmişi, ilişkisi, dini, cihaz bilgisi, Facebook’da yapılan aramalar gibi pek çok özel nitelikli kişisel veri ve kişisel veriye ulaştığı tespit edilmesi sebebiyle idari para cezasının uygulanmasına karar verilmiştir.

Ceza: 1.600.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/255

27/08/2019

Konu: Bir turizm şirketinin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen ihlal bildiriminde yerel alan ağı üzerinden ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre giriş ile siber saldırı yapıldığı ve söz konusu olayın şirketin genel alanda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirildiği, personel verilerinden ad, soyadı, T.C. kimlik numarası, doğum tarihi, medeni durum, eş, çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adres, GSM numarası ve banka bilgilerinin etkilendiği, müşteri verilerinden ise ülke/Eyalet, uyruk , ad soyadı, telefon numarası, kredi kartı numarası ve son kullanım tarihi verilerinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda veri sorumlusunun KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında yeterli teknik ve idari tedbirleri almaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 400.000,00-TL ve geç bildirim sebebiyle 100.000,00-TL olmak üzere toplamda 500.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/254

27/08/2019

Konu: S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde, veri sorumlusunun sanal bayi hizmetlerini sunduğu internet sitesindeki veri sızıntısından şirketin üyelerinden birinin 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisinin paylaşılmasıyla haberdar olduklarını iletmişlerdir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nin 12’nci maddesinin 1 numaralı fıkrasında ifade edilen teknik ve idari tedbirlerin alınmaması nedeniyle idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsamında 150.000,00-TL ve geç bildirim sebebiyle 30.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/225

23/07/2019

Konu: Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Veri Sorumlusu Sıfatını Taşıyıp Taşımayacağı ve Sicile Kayıt.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurtdışında yerleşik veri sorumlularının Veri Sorumluları Sicili’ne kayıt olmaları gerektiğine, şube özelliği olmayan irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/222

17/07/2019

Konu: Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde, darknet üzerinden veri sorumlusunun kullanıcılarına ait kişisel verilerin yer aldığı, inceleme sonucunda halka açık ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsmaında 680.000,00-TL ve geç bildirim sebebiyle 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/206

08/07/2019

Konu: Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda; İlgili web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep edildiği iddiası üzerine söz konusu web sitesinin, üye olanlara farklı illerde değişik satıcılardan avantajlı ürün satın alınması amacını taşıdığı ve bu bağlamda bir ürün ve hizmetten yararlanmanın değil indirimden faydalanmanın ön şartı olarak açık rızaya dayandırıldığı tespit edilmiş, KVKK kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir. Ancak sitenin KVKK ve Gizlilik politikasında topladığı verilerin hangi hukuki sebebe dayandırıldığı açık bir şekilde belirtilmemiş olup “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınarak güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde talimatlandırılmasına karar verilmiştir.

Ceza: Şirketin talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/204

08/07/2019

Konu: İlgili kişinin telefonuna açık rızası dışında bir yatırım şirketinden reklam amaçlı arama gerçekleştiriliyor. Kişi şirketten yeterli cevap alamayınca Kurum’a başvuruyor.

Kararı Paylaşın

Karar Özeti:

Kurul araştırma sonucunda, ilgili kişiyi arayan personelin önceden başka bir yatırım şirketinde çalıştığı ve ilgili kişinin numarasını buradan bildiğini, ancak oranın kapanması üzerine personelin bu yatırım şirketine geçtiğini öğreniyor. Kurum, veri işlemenin bir hukuki dayanağı olmadığı gerekçesiyle idari para cezası veriyor. Ayrıca TCK 135 ya ilişkin şikayetçinin bilgilendirilmesine karar veriliyor.

Ceza: 75.000 TL idari para cezası kesilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/188

01/07/2019

Konu: Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler sonucunda, sınav sonucu duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC kimlik numarası ve doğrulama kodu ile yalnızca sonuç verilerine ulaştığı bir duyuru siteminin kullanılması yönünde üniversitenin talimatlandırılmasına karar verilmiştir.

Ceza: Disiplin işlemi uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/170

18/06/2019

Konu: Bir perakende giyim firmasının veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmaması sebebiyle KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının b bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/166

31/05/2019

Konu: İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep etmesi üzerine Kurulun yapmış olduğu inceleme sonucunda Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti saptandığından veri sorumlusu şirket hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?