• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle
Arama sonuçlarınla ilgili GDPR kararlarını görmek ister misin?

2023/1234

20/07/2023

Konu: Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi

Kararı Paylaşın

Karar Özeti:

İnternet üzerinden bilet satışı ve araç kiralama hizmeti sunan aracı platform üzerinden araç kiralayan ilgili kişi, aracı almak için acenteye gittiğinde kendisinden depozito istenmiştir. Depozito için kredi kartını görevliye veren iligli kişinin telefonuna findex raporunun sorgulandığına ilişkin bir SMS gelmiştir. Bu işlemin yapılmasına rızası olmadığı söyleyen başvuran, personelden eğer buna izin vermezse aracı teslim etmeyeceklerine yönelik bir yanıt almıştır. Açık rızasını belirtmeyen başvurana araç teslim edilmemiştir ve platformdan rezervasyonunun iptal edildiğine yönelik bir SMS almıştır. Olay üzerine Kuruma başvuran ilgili, açık rızanın hizmet şartına başlandığı gerekçesiyle Kuruma şikayette bulunmuştur. Kurum hem kiralama şirketinden hem de aracı satış platformundan savunmalarını istemiştir. Araç kiralama şirketi findex taleplerinin olmadığı ve müşterinin yalan beyanda bulunduğunu, aracı platform ise kendilerinin sadece bir aracı platform olduklarını, böyle bir taleplerinin bulunamayacağını ve aracı olmalarından dolayı olayda veri sorumlusu sıfatına sahip olmadıklarını belirtmiştir. Kurum yaptığı incelemede; ilgili kişinin araç kiralama hizmetinden faydalandırılmasının, Findeks raporuna erişilmesine ilişkin açık rıza şartına bağlandığının, ilgili kişi tarafından açık rıza verilmemesi üzerine rezervasyonun iptal edildiğinin anlaşıldığı, Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasının ihlal edildiğine karar vermiştir. Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1310

03/08/2023

Konu: Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

“Bir bankanın kurumsal hem kurumsal hem de bireysel müşterisi olan başvuran (ilgili kişi), mobil bankacılık uygulamasında kullandığı şifresini unutması üzerine mobil bankacılık uygulaması üzerinden “”şifremi unuttum”” adımlarını takip eder. Kurumsal hesabı için yeni şifre almaya çalışan başvuran, kurumsal hesaplar için sadece TC kimlik numarası ve devamında yüz okuma sistemi ile yeni şifre alabileceğini görür. Adımalrı takip eden kullanıcı, biyometrik verilerinin işlenmesini kabul etmediği seçeneğini işaretlediğinde işlemi gerçekleştiremeyip hata alıp ana ekrana geri dönmeye zorlanmıştır. Başvuran, hizmetin özel nitelikli kişisel veri işleme şartına bağlandığı gerekçesiyle şikayette bulunmuştur. Kuruma yapılan ilgili kişi şikayeti üzerine veri sorumlusu bankadan savunma talep edilmiştir.
Banka yaptığı savunmada; bireysel hesaplar için şifre yenileme seçenekleri arasında banka/kredi kartı ile de işlem yapılabildiğini ve kurumsal hesaplarda da bu seçeneklerin eklenmesi için geliştirmelerin devam ettiğini belirtmiştir. Ayrıca kurumsal hesaplar için müşteri hizmetleri telefon hattından ve şubeler aracılığıyla mobil bankacılık şifresinin değiştirildiğini, bu seçeneklerin de internet sitelerinde açıkça belirtildiği yönünde savunma yapılmıştır. Kişisel Verileri Koruma Kurumu yaptığı incelemede bankanın açıklamalarını haklı bulmuş ve diğer seçenekler göz önüne alındığında hizmetin herhangi bir veri işleme şartına bağlanmadığına karar vermiştir.

Bankaya ilgili biyometrik veri okuma aşamasında diğer seçenekleri belirten bir uyarı eklenmesi ve durumun açıklanması yönünde talimat verilmesine karar verilmiş olup idari para cezasına hükmedilmemiştir.”

Ceza: İdari para cezası verilmemiştir

İlgili GDPR kararlarını görmek ister misin?

2023/1327

03/08/2023

Konu: İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında inceleme

Kararı Paylaşın

Karar Özeti:

“Karar metninde, konaklama hizmetleri sunan bir otelin temizlik ve bakım görevlerini düzenlemek amacıyla oluşturulan “”Housekeeping Task Sheet”” belgesinin incelenmesi mevzu bahistir. Buna göre belgede, konaklayan müşterilere ait kişisel verilerin işlendiği ve üçüncü kişilerle paylaşıldığı iddiaları üzerinde durulmaktadır. Kurul, kişisel verilerin işlenmesine ilişkin genel ilkelerin Türkiye’deki veri koruma kanunu olan “”Kanun””un 4. maddesinde; verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği ilkesine özellikle vurgu yapılmıştır. İlgili belge üzerinde yer alan isim ve soyisim bilgilerinin, otel çalışanlarına konaklayan misafirlerin isimlerini bilmelerini gerektirecek bir ihtiyaç olmadığı ifade edilmiştir. Ayrıca, konaklayanların bu tür bilgilerini paylaşmak istememe hakkına vurgu yapılmış ve kişisel veri güvenliği risklerinin göz önünde bulundurularak veri minimizasyonu ilkesine uyulması gerektiği Kurul’un değerlendirmeleri neticesinde ifade edilmiştir. Şikayet konusu belgenin sahteliği iddiasına yönelik olarak, belgenin doğruluğunun ve sahteliğinin tespitine dair yeterli kanıt olmadığı; ayrıca, otel tarafından sunulan konaklama hizmetlerine ilişkin belgelerin düzenlenmesi sürecinde konuklara ait kişisel verilerin işlenmesine dair aydınlatma yükümlülüğünün yerine getirilmediği ve bu noktada bir eksiklik olduğu belirtilmiştir. Konaklama belgesini dolduran kişilerin iletişim bilgilerinin reklam ve pazarlama amaçlı kullanılmasına ilişkin düzenleme ise açık rıza unsurlarını ihlal ettiği ifade edilmiştir.

Sonuç olarak, otel tarafından alınması gereken teknik ve idari tedbirlerin yeterince alınmadığına dair bir tespitte bulunulmuş; bu nedenle, otel yönetimine 500.000 TL idari para cezası uygulanması, belgelerin düzeltilmesi ve bu süreçlerin Kurul’a bildirilmesi, ayrıca belirtilen eksikliklerin düzeltilmesi için otel yönetimine talimat verilmesine karar verilmiştir.”

Ceza: 500.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/924

01/06/2023

Konu: Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi hususunda inceleme.

Kararı Paylaşın

Karar Özeti:

“Otopark işletmecisi, araç sahiplerinden tahsil edilmesi gereken park borçlarına ilişkin olarak açtığı itirazın iptali davasında, ilgili kişinin kimlik bilgilerine ulaşabilmek amacıyla veri işleme faaliyeti gerçekleştirmiştir. Ancak, bu işlem Kanun’un 5. maddesi ikinci fıkrasının (e) bendi kapsamında değildir, çünkü araç sahibinin kimliğini ispat etmek için gereken deliller mahkemeye sunulabilmektedir. Ayrıca, bu süreçte kullanılan çevrimiçi borç sorgulama hizmetinde çift faktörlü doğrulama yapılmamıştır, bu da Kişisel Veri Güvenliği Rehberi’ne aykırıdır. Öte yandan, veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmemiş ve Kanun’un 18. maddesi uyarınca 75.000 TL idari para cezasına çarptırılmıştır. Bu nedenle, veri sorumlusuna Kanun ve Tebliğ’e uygun bir Aydınlatma Metni hazırlama ve sonucunu Kurula bildirme talimatı verilmiştir.

Sonuç olarak, ilgili kişinin araç plakası üzerinden yapılan kimlik sorgulama ve veri işleme faaliyetleri, Kanun’a uygun olmadığı için işlem yapılmamıştır. Ayrıca, çevrimiçi ödeme sisteminde çift faktörlü doğrulama sağlanması veya bu mümkün değilse veri işleme faaliyetine son verilmesi gerekmektedir. Bu işlemlerin sonuçlarının Kurula bildirileceği karara bağlanmıştır. “

Ceza: Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/892

25/05/2023

Konu: İlgili kişinin kişisel verilerinin, Kooperatif ortaklığından ayrılmasına rağmen hukuka aykırı olarak işlenmeye devam edilmesini konu şikayet hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

Kooperatifin veri kayıt sistemi KOOPBİS’in yönetim sorumluluğunun Ticaret Bakanlığı’nda olduğunu belirtir ve Kooperatifin, üyenin kişisel verilerinin KOOPBİS’e kaydedilmediğini savunarak hukuka aykırı veri işleme iddiasına itiraz etmektedir. Ancak, Kurul, bu konuda bir işlem yapmaya gerek olmadığına karar vermiştir. İlgili kişinin üyelikten çıkma süreci incelendiğinde, üyenin noter aracılığıyla istifa bildirimiyle üyelikten çıktığı tespit edilmiştir. Ancak, üyenin çıkışından sonra genel kurul davetiyesi gönderilerek kişisel verilerin işlenmeye devam edildiği belirlenmiştir. İlgili kişinin kişisel verilerinin imha edilmesi talebi de değerlendirilmiştir. Kooperatifin internet sitesinde pay sahiplerini gösteren şemadan ilgili kişinin adının ve soyadının kaldırıldığı belirtilse de, bu durum ancak Kurul Kararı tarihi itibariyle gerçekleşmiştir. Veri sorumlusunun ilgili kişinin başvurusuna hızlı bir şekilde cevap vermediği belirtilerek, Kanun’a aykırı bir durumun tespit edildiği ifade edilmiştir. Bu sebeple, Kooperatif hakkında Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendine dayanarak 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Sonuç olarak, Kooperatifin üyenin istifası sonrasında kişisel verileri işleme devam etmesi ve veri sorumlusunun başvurulara zamanında cevap vermemesi, hukuki yükümlülükleri yerine getirmediği gerekçesiyle cezai işlemle karşı karşıya kalmıştır.”

Ceza: Veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1509

31/08/2023

Konu: lgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu AŞ’ye aktarılması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Bankacılık hizmetleri ve kişisel veri işleme konularında yapılan bir başvuruya dair alınan karar metni, Kişisel Verilerin İşlenme Şartları, Kişisel Verilerin Aktarılması, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, 5411 sayılı Kanun ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik hükümlerine dayanarak açıklanmıştır. Karar metni, Kişisel Verilerin İşlenme Şartları’nı düzenleyen 5. maddeye atıfta bulunarak, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtir. Ayrıca, açık rızanın yanı sıra belirli şartlara dayalı olarak da kişisel verilerin işlenebileceğine dikkat çekilmiştir. Bu şartlar arasında, hukuki yükümlülüklerin yerine getirilmesi, sözleşme kurma veya ifa etme, hayati tehlikenin önlenmesi gibi durumlar bulunmaktadır. Kişisel Verilerin Aktarılması’nı düzenleyen 8. maddeye atıfla, kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı vurgulanmış, ancak belirli şartlar sağlandığında açık rıza aranmaksızın aktarımın mümkün olduğu ifade edilmiştir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre, veri sorumlusunun başvuruları etkin, hukuka uygun ve dürüstlük kurallarına uygun bir şekilde sonuçlandırmak üzere gerekli tedbirleri alması gerektiği belirtilmiştir. 5411 sayılı Kanun’un “”Risk Merkezi”” başlıklı Ek 1. maddesine atıfla, Risk Merkezi’nin kuruluş amacı ve işleyişi detaylı bir şekilde açıklanmıştır. Ayrıca, bu maddenin bankalar ve finansal kuruluşlar arasında bilgi alışverişini düzenlediği ifade edilmiştir. Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, sır saklama yükümlülüğünden istisna tutulan halleri düzenlerken, özellikle bankalar arasındaki bilgi alışverişini bu istisna kapsamında değerlendirmiştir. Karar metni, şirketin internet sitesindeki bilgileri de referans alarak, bankaların Risk Merkezi’ne üye olma zorunluluğunu ve bilgi paylaşımının bu çerçevede gerçekleştiğini belirtmiştir.

Sonuç olarak, ilgili başvurunun, bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve yasal düzenlemelere uygun olarak gerçekleştirildiği gerekçesiyle veri sorumlusu hakkında herhangi bir işlem tesis edilmemesine karar verilmiştir. Ancak, başvurunun reddedilmesi durumunda gerekçenin açıklanması gerektiği hususu da vurgulanmıştır.”

Ceza: Veri sorumlusu hakkında tesis edilecek bir işlem bulunmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1548

07/09/2023

Konu: İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu ve yüklenici firma arasında akdedilen hizmet alım sözleşmesi, eklerinde bulunan teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdü gibi belgeler çerçevesinde bir asıl işveren-alt işveren ilişkisi kurulmuştur. İş Kanunu’nun 2. maddesinin (6) numaralı fıkrasına göre, asıl işveren-alt işveren ilişkisi, işletmenin gereği ve teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçileri sadece o işyerinde çalıştıran işveren ile iş aldığı işveren arasında kurulan bir ilişkidir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak doğan yükümlülüklerinden sorumludur. İş Kanunu’na uygun olarak kurulan bu ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esası benimsenmiştir. Veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi bulunduğundan, hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden kaynaklanan sorumluluklar mevcuttur. İlgili kişi, sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme görevi ile yüklenici firma bünyesinde çalışan bir işçidir. Ancak İş Kanunu’nun 25. maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “”İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması”” nedeniyle iş sözleşmesi feshedilmiştir. Feshin hukuka uygunluğu yargı merciine intikal eden bir konudur ve bu süreçte feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususları değerlendirilmelidir. İlgili kişiye ait ses kaydı, uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında bir delil niteliği taşımaktadır. Hukuk Muhakemeleri Kanunu’nun 190. maddesi, ispat yükünün iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa ait olduğunu belirtmektedir. Ancak, hukuka aykırı olarak elde edilen delillerin dikkate alınamayacağı HMK’nun 189. maddesi ile belirtilmiştir. İzinsiz ses kaydının, belirli durumlarda Türk Ceza Kanunu’na aykırı olmadığı ve hukuka uygun delil niteliği taşıdığı Yargıtay içtihatları tarafından kabul edilmiştir. İşverenin iş sözleşmesini haklı nedenle feshetmesini ispat etme imkânı olmadığı durumlarda veya kaybolma ihtimali bulunan kanıtların korunması amacıyla alınan ses kaydı, hukuka uygun delil olarak kabul edilebilmektedir. Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda, ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği belirtilmiştir. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine dair iddialar ise dosya içerisinde tevsik edilememiştir.

Sonuç olarak, iş sözleşmesinin feshine neden olan ses kaydı, Kanun’un 8. maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5. maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “”Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulmuştur. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddialar ise dosya kapsamında tevsik edilememiştir. Bu nedenle, veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek bulunmamaktadır.”

Ceza: Herhangi bir işlem yapılmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/646

27/04/2023

Konu: Üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması ile kişisel veri işleme faaliyetinin Kanun’da yer alan İşleme Şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği hakkında Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilmiştir. Kanunun “”Kişisel Verilerin İşlenme Şartları”” başlıklı 5. maddesinin (1) numaralı fıkrasına göre kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak (2) numaralı fıkra, belirli şartlar altında rızanın aranmayabileceğini belirtmektedir. Bu şartlar arasında, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rıza alınamayacak durumlar, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri gibi durumlar bulunmaktadır.
Ancak, Kanunun 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlü olduğunu belirtir.
Yapılan inceleme sonucunda, ilgili kişinin izin durumuna ilişkin kişisel verilerinin paylaşımının, Kanunun 5. maddesinin belirlediği şartlara uymadığı ve bu durumun Kanunun 12. maddesine aykırılık teşkil ettiği kanaatine varılmıştır. Bu nedenle, veri sorumlusu bünyesinde görev yapan ilgili personele disiplin hükümleri uyarınca işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir.

Ceza: Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1356

10/08/2023

Konu: Bir işveren tarafından işe iade davasına ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi, dini inancına ilişkin bir veri işleme husunun mevcut olması ve hukuka aykırı şekilde rızaya zorlanması hakkında Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Kurul tarafından incelenen olayda, şikayet konusu olan veri işleme faaliyetinin, açık rıza alınsa dahi Kanun’un genel ilkelerine uygun olmadığı sonucuna varılmıştır. Özellikle, çalışanların mahremiyet beklentilerini zedeleyen bir şekilde veri işleme faaliyetinin gerçekleştirilmesi, açık rıza alınsa bile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırıdır. Ayrıca, söz konusu veri işleme faaliyetinin özel nitelikli kişisel verileri içerdiği ve bu verilerin işlenmesi için gerekli olan koşulların oluşmadığı belirtilmiştir. İlgili kişinin açık rızasını özgür irade ile vermediği, işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri imzalamak zorunda bırakıldığı tespit edilmiştir.
Sonuç olarak, veri sorumlusunun yürüttüğü kişisel veri işleme faaliyetinin Kanun’a aykırılık teşkil ettiği ve bu nedenle idari para cezası uygulanması gerektiği kararlaştırılmıştır. Ayrıca, şikayet konusu veri işleme faaliyetinin derhal durdurulması ve sonucun Kurula bildirilmesi, hukuka aykırı işlenen kişisel verilerin imha edilmesi de talep edilmiştir.”

Ceza: Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1461

24/08/2023

Konu: Bir eğitim kurumu tarafından kamera vasıtası ile görüntü ve ses kaydı alınması neticesinde Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu, muhatap cevap yazısında, okulun genel kullanımına açık alanlarda Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca görüntü ve ses kaydı alındığını belirtmiştir. Ancak, ilgili mevzuat incelendiğinde, görüntü kaydı alınabilecek yerlerin sınırlı olduğu ve belirli bazı yerlere kamera yerleştirilmesinin yasaklandığı tespit edilmiştir. Bu yasaklamaların sadece görüntü kaydına yönelik olduğu ve ses kaydını meşru kılan özel bir hüküm olmadığı ifade edilmiştir. Metinde, kameralar aracılığıyla alınan görüntü kaydının her durumda meşru bir gereklilik oluşturmadığı vurgulanmıştır. Görüntü kaydının alınmasını gerektiren sebebin, kişilerin temel hak ve özgürlükleri ile çatışması durumunda üstün tutulan bir menfaate işaret etmesi gerektiği belirtilmiştir. Ayrıca, ses kaydının alınmasıyla ilgili olarak da, kişisel verinin işlenmesi açısından meşru bir menfaatin olup olmadığı, çatışan menfaatlerin varlığı ve meşru menfaatin dahi ölçülü olup olmadığının değerlendirilmesi gerektiği ifade edilmiştir. Veri sorumlusunun bir eğitim kurumu olarak faaliyet gösterdiği ve öğrencilerinin okul öncesi, ilk ve orta öğretim öğrencileri olduğu belirtilmiş, güvenlik ve iş sağlığı güvenliği amaçlarının bir arada düşünüldüğünde kamera aracılığıyla görüntü kaydının meşru, ölçülü ve amaçları gerçekleştirmeye elverişli bir işleme faaliyeti olduğu savunulmuştur. Ancak, bu durumda ses kaydının alınmasına gerek olmadığı ve ses kaydının fazladan veri işlemesiyle ilgili olarak özel hayatın gizliliği ve kişisel verilerin korunması haklarına zarar verebileceği ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun 2019/78 sayılı Kararı referans alınarak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali değerlendirilmiştir. Bu bağlamda, kamera ile görüntü kaydı alınmasının güvenlik amacıyla uygun olduğu ancak ses kaydının aynı gerekçeyle uygun olmadığı belirtilmiştir. Ses kaydının, ilgili kişilerin makul beklentilerinin ötesinde olduğu ve genel olarak güvenlik gerekçesiyle kamera kaydının yapıldığı koşullarda aşırı bir müdahale olduğu vurgulanmıştır.

Sonuç olarak, veri sorumlusunun ses kaydı alma uygulamasının Kanun’a uygun olmadığı ve bu nedenle hukuka aykırı olduğu sonucuna varılmıştır. Bu doğrultuda, ses kaydı alınmasında herhangi bir meşru sebep bulunmaması, aydınlatma yükümlülüğünün yerine getirilmemesi ve Kanun’un hükümlerine aykırı davranılması nedeniyle toplamda 230.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ilgili kişilerin veri sorumlusuna başvurularına erişememesi ve sorularının yanıtlanmaması nedeniyle veri sorumlusuna talimatlandırma yapılmıştır. İlgili kişilerin başvurularının etkin, hukuka uygun ve süresi içinde sonuçlandırılması için veri sorumlusuna hatırlatma yapılmıştır.”

Ceza: Kanun’un 12. maddesinin birinci fıkrasına aykırı davranış nedeniyle 200.000 TL idari para cezası ile Kanun’un 10. maddesine aykırılık nedeniyle 30.000 TL idari para cezası uygulanmış ve toplam ceza miktarı 230.000 TL’ye ulaşmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1041

15/06/2023

Konu: Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

İnternet sitesi sahibi bir veri sorumlusunun web sitesi üzerinden hizmet sunumu sırasında aydınlatma yükümlülüğünü yerine getirmemesi ve hizmetin açık rıza şartına bağlaması ile ilgil olarak gelen şikayeti değerlendiren Kurul, veri sorumlusunun hizmet sunumunda açık rızanın alınması sırasında alternatif satış kanallarının açık ve anlaşılır biçimde gösterilmemiş olmasını gerekçe göstererek veri sorumlusunu web sitesinde üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimatlandırmıştır.

Ceza: Herhangi bir idari para cezası uygulanmamıştır, ancak veri sorumlusuna üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimat verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/695

02/05/2023

Konu: Özel bir tıp merkezi tarafından ilgili kişinin e-Nabız sistemindeki verilerine hukuka aykırı erişilmesi.

Kararı Paylaşın

Karar Özeti:

Özel bir tıp merkezinin çalışanı, yetkisiz ve onaysız bir şekilde e-Nabız sistemi üzerinden bir kişinin özel nitelikli sağlık verilerine erişmiştir. Kurul, bu erişimin hukuka aykırı olduğunu ve veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını tespit ederek, veri sorumlusu tıp merkezine idari para cezası uygulamıştır.

Ceza: 200.000 TL idari para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1414

17/08/2023

Konu: Özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması.

Kararı Paylaşın

Karar Özeti:

Bir avukat, müvekkilinin aile üyelerine ait DNA test sonuçlarını, hukuka uygun olarak yargılama sürecinde kullanmıştır. Bu eylem, Kurul tarafından kişisel verilerin korunması mevzuatı ve ilgili diğer kanunlar çerçevesinde değerlendirilmiştir. Kurul, avukatın eyleminin kişisel verilerin işlenmesine ilişkin kanuni şartlara uygun olduğunu ve hukuka aykırı bir durum olmadığını belirleyerek şikayetle ilgili işlem yapılmasına gerek olmadığına karar vermiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1130

06/07/2023

Konu: İlgili kişinin sağlık rapor ve ilaç kayıtlarının eczane tarafından eski eşi ile paylaşılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu eczacının, bir hastanın sağlık verilerini usulsüz olarak eski eşiyle paylaşması Medula sistemi üzerinden edindiği özel nitelikli kişisel verileri usulsüz bir şekilde üçüncü bir kişiye aktarması olarak kabul edilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olduğuna karar verilerin bu eylem kişisel verilerin güvenliğinin sağlanması yükümlülüklerinin ihlaline yol açtığı için veri sorumlusu eczacı aleyhine idari para cezası uygulanmıştır.

Ceza: 50.000 TL idari para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/890

25/05/2023

Konu: Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması.

Kararı Paylaşın

Karar Özeti:

Bir hava yolu şirketinin özel yolcu programına katılımın açık rızaya bağlanmış olup olmadığı Kurul tarafından değerlendirilmiştir ve kararda belirtilen sadakat programına katılmadan da yolcuların hava yolu şirketinin hizmetlerinden faydalanabilmeleri sebebiyle programın, üyelere ek imkanlar sunması ve bu ek menfaatlerin açık rıza koşuluna bağlanması sebebiyle, açık rızanın özgür irade ile verilmesini engelleyici bir durum olmadığı ve şikayet edilen durumda, açık rızanın koşul olarak dayatılmasının söz konusu olmadığına karar verilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?