2018/142
05/12/2018
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusu bir bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kurul önüne gelen olayda, KVKK’nın ilgili maddesi ile 5411 sayılı Bankacılık Kanununun 42’nci maddesi göz önünde bulundurulduğunda; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği dikkate alındığında, şikayetçinin talebine yönelik Kurul tarafından herhangi bir işlem tesis edilmemiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Asgari Saklama Süresi, Banka, Veri Anonimleştirme, Veri İmhası
2018/143
05/12/2018
- Sektör: Sağlık
- Kanun Maddesi
Karara konu olayda doktor kontrolünde ilaç kullanan ilgi kişi hastanın özel nitelikteki kişisel verileri, ilaçlarını temin ettiği eczane tarafından üçüncü kişiyle paylaşılmış; Kurulun incelemesi sonucu bu veri aktarımının herhangi bir sebebe dayanmadığı tespit edilmiştir. Bu kapsamda KVKK’nın 8’inci maddesinde sayılan kişisel verilerin aktarılması için gerekli şartlar bulunmadığından KVKK’nın 12’nci maddesinin 4 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında idari para cezası uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
2018/131
19/11/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Karar konu olayda bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından başvuruda bulunulmuştur.. Kurul tarafından tüzel kişilere ait verilere erişilmesi yönünde talebin KVKK’nın 2’nci maddesi gereğince KVKK kapsamında değerlendirilemeyeceği, veri sorumlusu ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil veri sorumlusu tüzel kişilik tarafından talep edilmesi nedeniyle başvurunun KVKK madde 11 kapsamında değerlendirilmeyeceğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Bilgi Talebi, Tüzel Kişi Veri Sorumlusu, Veri Aktarımı
2018/118
16/10/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul yapmış olduğu inceleme sonucunda ilgili kişinin başvurusu sonucunda Kurulun aldığı kararın ilgili veri sorumlusu tarafından kanuni süre içerisinde yerine getirilmediği görülmüştür. Kamu kuruluşu olarak değerlendirilen veri sorumlusuna 30 günlük yasal süre içerisinde Kurul kararının gereğinin yerine getirilmemesi ve şikayetçiye gönderilen bilgilendirme yazısında Kurul Kararında belirtilen hususlara yer verilmemiş olması nedeniyle şirket hakkında KVKK’nın 18’inci maddesinin 3’üncü fıkrası gereği işlem tesis edilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Asgari Saklama Süresi, Veri Silinmesi, Veri Sorumlusu, Yasal Süre
2018/106
13/09/2018
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Kurul yapmış olduğu inceleme sonucunda, şikayette bulunan ilgili kişinin görevi nedeniyle imzalamış olduğu bir evrakın hukuka aykırı bir şekilde elde edilip kimliği belirsiz kişi/kişiler tarafından internet ortamında paylaşıldığını ve aynı kullanıcı ismiyle şikayetçinin isim ve soy isminin baş harflerinin yazılarak kişi hakkında bir takım iftira içerikli metinlere yer verildiği tespit edilmiş, kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceğine ve şikayete konu olayın Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırması nedeniyle ilgili uygulama üzerinden yapılan paylaşımlar kapsamında Kurumca yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: İftira, Kimliği Belirsiz Kişi, Suç Unsuru
8/2/2018
02/08/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul yapmış olduğu inceleme sonucunda, veri sorumlusunun halihazırda aktif olmayan müşterisi ilgili kişinin verilerin silinmesi talebinin gerçekleştirilmediği tespit edilmiş, KVKK uyarınca verilerin 10 yıl boyunca muhafaza edilmesi zorunluluğuna değinilerek veri sorumlusu hakkında idari yaptırım uygulanmamasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
8/2/2018
02/08/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul yapmış olduğu inceleme sonucu ilgili kişinin veri sorumlusuna KVKK’nın 11’ncı maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
8/2/2018
02/08/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurulun yapmış olduğu incelemede bir mahkemenin veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edildiği ve veri sorumlusunun gereğinden fazla veri aktarımda bulunduğu tespit edilmiş, KVKK’nın 4’üncü maddesinin 1 numaralı fıkrasının ç bendinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil etiğine karar verilerek idari yaptırım uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
8/2/2018
02/08/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurulun yapmış olduğu inceleme sonucu veri sorumlusu tarafından sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza aldığı ve açık rızayı, üyeliğin ve hizmetin gerçekleşmesi için koşul olarak sunduğu tespit edilmiş, hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı vurgulanarak idari yaptırım uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
8/2/2018
02/08/2018
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurulun yapmış olduğu inceleme sonucu işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından ilgili kişi ve kurula KVKK’da geçen sürede bildirimde bulunmaması üzerine idari yaptırım uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Bildirim Yükümlülüğü, Geç Bildirim, Veri İhlali
8/2/2018
02/08/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurulun yapmış olduğu re’sen inceleme sonucunda online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusu özelinde veri sorumlusunun, ilgili kişiye ait kişisel veri içeren başvuru bilgilerini, herhangi bir hukuki sebep olmaksızın diğer başvuranlarla paylaştığı tespit edilmiş, aynı zamanda ilgili kişinin işlenen verisinin açık rızası olmadan bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılması üzerine idari para cezası uygulanmıştır.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, İnsan Kaynakları, İş Başvurusu, Özel Sektör, Veri Aktarımı
8/2/2018
02/08/2018
- Sektör: Sağlık
- Kanun Maddesi
Kurulun yapmış olduğu re’sen inceleme sonucunda bir hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin yayılması üzerine yeterli güvenlik tedbirini almayan veri sorumlusu hakkında idari para cezası uygulamıştır.
İlgili GDPR kararlarını görmek ister misin?
8/2/2018
02/08/2018
- Sektör: Basın
- Kanun Maddesi
Kurula iletilen başvuru ile kamuyu ilgilendiren bir kişi, bir gazetenin köşe yazısında isminin geçmesi üzerine köşe yazısının silinmesi talebinde bulunmuştur. Kurul ise kişinin hala kamuyu ilgilendiren bir konumda olduğu hususunu dikkate alarak, mevcut durumun ifade özgürlüğünün bir yansıması olan basın özgürlüğü kapsamında olduğunu belirterek herhangi bir işlem tesis edilmemesine karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Basın Özgürlüğü, İfade Özgürlüğü
2018/90
26/07/2018
- Sektör: Online platform
- Kanun Maddesi
Kurul tarafından yapılan incelemede, online platformda iş başvurusu alan veri sorumlusu şirketler topluluğunun kişisel veri işleme süreçlerinde iş başvurusunda bulunurken üyelik kaydı yapılmasının zorunlu olduğu, üyelik kaydı yapılması sırasında ise, aynı kutucuğun işaretlenmesi yoluyla hem aydınlatma metninin okunduğuna, hem de kişisel verilerin işlenmesi hususunda açık rıza verildiğine ilişkin onay alınması yoluna gidildiği tespit edilmiştir. Kurul verdiği karar ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesinin 1 numaralı fıkrasının f bendine atıfla aydınlatmanın veri işleme faaliyetinde bir bilgilendirme aracı olduğunu, açık rıza alınmasının ise veri sorumlusu tarafından kişisel verilerin işlenmesine hukuki bir dayanak oluşturduğunu belirtmiştir. Bu bağlamda kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini vurgulamıştır.
İlgili GDPR kararlarını görmek ister misin?
2018/91
26/07/2018
- Sektör: Hazır giyim
- Kanun Maddesi
Kurum’a iletilen şikayet ile bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilere açık hale gelmesi sebebiyle veri sorumlusu şirkete başvuruda bulunarak verilerinin yok edilmesini talep etmesi üzerine veri sorumlusundan aldığı cevabın yetersiz olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler kapsamında şikayetçinin alışveriş işlemleri için girilen kişisel verilerinin başka müşteriler tarafından erişilebilir hale geldiği tespit edilmiş, veri sorumlusu şirket tarafından Kurum’a yapılan savunmada, şirketin bu durumdan olayla birlikte haberdar olduğu anlaşılmıştır. Bununla birlikte, veri sorumlusu şirket tarafından durumun sistemsel bir hata olduğu ve başka müşterilerin etkilenmemesi için önlemler alındığı beyan edilmiştir. Kurum tarafından şirket tarafından mağduriyet öncesinde gerekli teknik ve idari tedbirlerin alınmadığına karar verilerek veri sorumlusu şirket hakkında idari para cezası uygulanmasına karar verilmiştir.