2019/162
31/05/2019
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul cep telefonu numarasına reklam içerikli SMS gönderilmesini bir veri işleme faaliyeti olarak nitelendirdi. Ancak buna herhangi bir hukuki dayanak olmadığını saptadı. Bu kapsamda firmanın kişisel verilerin hukuka uygun işlenmesi için gerekli güvenlik düzeyini temin etmek için gerekli idari ve teknik tedbirleri almadığı ve ilgili kişinin talebine cevap vermediği gerekçeleriyle idari para cezası uyguladı.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Elektronik Ticari İleti, Reklam, SMS, Veri İşleme
2019/159
31/05/2019
- Sektör: Varlık yönetimi
- Kanun Maddesi
Kurul yapmış olduğu inceleme sonucunda; ilgili kişinin, firmanın cevabını esasen teslim almış olduğunu, firmanın banka ile yapmış olduğu sözleşme sonucunda veri sorumlusu şirketçe alacağın temlik alındığını, dolayısıyla yeni alacaklı olarak borcun taksitinin ödenmesi adına iletişime geçtiğini ve bu anlamda yapacak bir işlem olmadığına karar vermiştir. Ancak, söz konusu SMS’in birden fazla kere gönderilmesini sahip olunan hakkı kötüye kullanma olarak değerlendiren kurum veri işlemede kanuna ve dürüstlük kurallarına aykırılık sebebiyle idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Banka, Bildirim Yükümlülüğü, Bilgi Talebi, Devir, Dürüstlük Kuralı, SMS
2019/157
31/05/2019
- Sektör: Online platform
- Kanun Maddesi
Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google ( gmail ) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumun görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından, Google’a ait G-mail e-posta hizmeti altyapısı kullanılması halinde e-postaların yurtdışındaki veri merkezlerinde tutulması söz konusu olacağından, “Server ” ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin KVKK’nın 9’uncu Maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: G-mail, Google, Yurt Dışına Veri Aktarımı, Zimbra
2019/141
16/05/2019
- Sektör: Seyahat
- Kanun Maddesi
Veri sorumlusu tarafından Kurum’a iletilen veri ihlal bildiriminde veri sorumlusuna ait sunucular üzerinde bazı zararlı dosyaların bulunduğu ve bazı zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği, veri sızıntısının 25 Eylül 2018 ve 25 Kasım 2018 arasında gerçekleştiğinin tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelmeler neticesinde, ihlalden 67.519 kişinin etkilendiği, isim, soyisim, iletişim bilgileri, müşteri işlem bilgisi, işlem güvenliği bilgileri gibi verilerin etkilendiği, ihlalin 2 ay boyunca devam etmesinin veri sorumlusunun gerekli denetim ve kontrolleri yapmadığının göstergesi olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: AWS, Bilişim, Clickbus, Siber Saldırı
2019/138
16/05/2019
- Sektör: Özel Sektör
- Kanun Maddesi
Kurulun yapmış olduğu incelemede, şirket sahibi veri sorumlusunun, ilgili kişi çalışanının işyerindeki bilgisayarı üzerinden Whatsapp yazışmalarını okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntüsü almasının TCK kapsamında değerlendirilmesi gerektiği ve ilgili kişinin Türk Ceza Kanunun ilgili hükümleri kapsamında savcılığa suç duyurusunda bulunduğu ve sürecin devam ettiği dikkate alındığında, KVKK’nın 15’inci maddesinin 1 numaralı fıkrası çerçevesinde ilgili başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Dilekçe, Özel Nitelikli Kişisel Veri, Whatsapp
2019/144
16/05/2019
- Sektör: Havayolu
- Kanun Maddesi
Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde veri sorumlusu bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği, saldırganın veri sorumlusunun ortamına uzaktan eriştiği ve müşteri sadakat sistemiin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği, Türkiye’de toplamda 1.286 kişinin etkilendiği ve isim, uyruk, doğum tarihi , telefon numarası , elektronik posta adresi , pasaport numarası, kimlik numarası verilerinin etkilendiği belirtilmiştir. kurul tarafından yapılan incelemeler sonucunda, veri ihlalinin 2 ay sonra tespit edilmesinin güvenlik çaığı olduğu ve veri sorumlusu tarafından gerekli denetim ve kontrollerin yapılmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve iadri tedbirlerin alınmaması nedeniyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Pasaport, Sadakat Sistemi, Siber Saldırı, Veritabanı, Yetkisiz Erişim
2019/143
16/05/2019
- Sektör: Turizm
- Kanun Maddesi
Veri sorumlusu tarafından Kurum’a yapılan bildirimde veri sorumlusu veritabanının tutulduğu ağa Temmuz 2014’ten veri yetkisiz erişim olduğu, Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği, Türkiye’den yaklaşık 1.24 milyon müşterinin kaydının bulunduğu , web suncuusuna erişim sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği beliritlmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından KVKK’nın 12’nci madesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirin alınmaması sebebiyle idari para cezası uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Aydınlatma Yükümlülüğü, Devralma, Otel, Rezervasyon, Truva Atı Saldırısı, Veritabanı, Web Sunucusu
2019/122
02/05/2019
- Sektör: Bankacılık
- Kanun Maddesi
Kurulun yapmış olduğu inceleme sonucunda sorumlu Banka görevlileri hakkında disiplin işlemi yapılmasına ve aydınlatma metninin gözden geçirilerek uygun hukuki sebep eklenip tekrardan yapılandırılmasına ilişkin talimat gönderilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Aydınlatma Yükümlülüğü, Banka, İnternet Sitesi, KEP
2019/104
11/04/2019
- Sektör: Online platform
- Kanun Maddesi
Veri sorumlusu Facebook tarafından duyurulan ihlalde kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül – 25Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirlenmiştir. Kurul tarafından yapılan inceleme neticesinde veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, API, Dürüstlük Kuralı, Facebook, Ölçülülük İlkesi, Veri Gizliliği, Yazılım
2019/81
25/03/2019
- Sektör: Spor
- Kanun Maddesi
Kurulun vermiş olduğu kararda, veri sorumlusu spor salonlarında özel nitelikli kişisel veri işlendiğini (biyometrik veriler), üye doğrulama işleminin biyometrik veri işlemeksizin başka yöntemlerle de gerçekleştirilebileceğini vurgulamıştır. Ayrıca Özel Nitelikli Kişisel Veri işlenmesi için kanunda açıkça hüküm bulunmaması halinde açık rıza gerektiği ve açık rızanın da servis/hizmet alımına bağlı olmaması gerektiğini dile getirmiştir. Bunun sonucunda Kurul, KVKK’nın 4’üncü maddesi gereği Kişisel Veri işleme ilkelerine aykırılık bulunduğuna ve 12’nci maddesinin 1 numaralı fıkrası gereği açık rızanın alınmadığı tespitiyle idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7’nci Maddesi gereği ivedilikle yok edilmesi, eğer ilgili özel nitelikteki verilerin üçüncü kişilere aktarılması söz konusu ise, yok edilmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.
Kurul konuya dair GDPR, WP29 kararı, Danıştay ve AİHM kararları incelenmiş. Sonuçta spor salonunda başka şekilde kimlik doğrulaması yapılabilecekken biyometrik veri toplanması ölçülülüğe, rıza alınmaması da kanuna aykırılık. Ayrıca rızanın mal ve hizmete bağlanması da rızayı zedeler.
İlgili GDPR kararlarını görmek ister misin?
2019/82
25/03/2019
- Sektör: Market
- Kanun Maddesi
Kurul tarafından verilen kararda, ilgili kişinin market zincirinin sadakat kartı kullanmaya devam edebilmek için karşısına çıkan metinlerde kişisel verilerin işlenmesine izin vermeye mecbur bırakıldığı iddiasını incelenmiştir. Ayrıca bu süreçte 0,01TL hizmet bedeli alındığı tespit edilmiştir. Bu bağlamda kurulun yaptığı inceleme sonucu; firmadan alışveriş yapmanın sadakat kart varlığına bağlı olmadığı gerekçesiyle bu anlamda aykırılık bulunmamıştır. Ancak “üyelik ve rıza beyanı” belgesi ile “aydınlatma metni” arasındaki tutarsızlığı giderilmesi konusunda talimat verilmesine, ayrıca sosyal siteler ile paylaşılan kişisel verilerin kanuna uygun olarak anonimleştirilmediği konusunda şirkete talimat verilmesine, ve son olarak 0,01 TL lik bedelin sehven alınmış olup zaten iade edildiği gerekçesiyle işlem yapılmasına gerek olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2019/78
25/03/2019
- Sektör: Akaryakıt
- Kanun Maddesi
Veri sorumlusu tarafından Enerji Piyasası Denetleme Kurulu (“EPDK”) Kararı ile getirilen yükümlülük çerçevesinde, bayi pompa satış hareketlerini, “plaka, akaryakıt türü, miktar, fiyat, zaman (saat, dakika ve saniye)” bilgilerini içerecek şekilde sorgulama imkanı veren ve ilgili Kurumun anlık erişimine açık olan bir otomasyon sistemi kurulduğu belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK madde 5’in ikinci fıkrasının f bendi uyarınca veri sorumlusunun, tüketicilere ait plaka ve ürün bilgileri kullanmasının “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında değerlendirilebileceği ve bu kapsamda erişilebilir ve görünebilir bir şekilde aydınlatma yükümlülüğünü yerine getirmek kaydıyla açık rıza alınmaksızın ilgili verilerin işlenebileceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Akaryakıt, Dağıtıcı Lisansı, EPDK, Meşru Menfaat, Petrol, Plaka, Saklama Amacı Dışında İşleme
2019/47
01/03/2019
- Sektör: Kamu Sektörü
- Kanun Maddesi
Söz konusu kişisel verilerin aktarımı dilekçe yoluyla olup bir kişisel veri kayıt sistemi bulunmadığında, veri sorumlusundan bahsedilemeyeceği, hukuk dışı yollarla bu bilgilere ulaşma konusunun ise TCK kapsamında değerlendirileceği belirtilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2019/23
14/02/2019
- Sektör: Teknik servis
- Kanun Maddesi
Karara konu olayda veri sorumlusu teknik servis hizmeti veren firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırı olarak işlem yapılması sebebiyle idari para cezası uygulanmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: IMEI, Link, Sorgu Numarası, Teknik Servis, Veri Güvenliği
2018/156
24/12/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Karara konu olayda, ilgili kişinin, adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumların ve paylaşımların yapıldığı hususunda Kurulun yapmış olduğu inceleme sonucu KVKK’nın 15’inci maddesinin 2 numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan” ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Dilekçe, Özel Nitelikli Kişisel Veri, Suç Unsuru