• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2022/137

17/02/2022
Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

2022/13

06/01/2022
Konu: İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (“YKS”) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemelerde öncelikle kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirilerek kişisel veri niteliğini haiz olduğuna karar verilmiştir. Bununla birlikte, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu belirtilmiştir. Karar’a konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü, ilgili kişi açısından kişisel verilerinin korunmasını isteme hakkının söz konusu olduğu, bu doğrultuda basın özgürlüğü ve kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkının karşı karşıya olması sebebiyle haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği belirtilerek bunun temel ölçüsünün ise kamu yararının bulunması ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunması gerektiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, haber konusu yapılan olayda kamu yararı bulunmadığı kanaatine varılarak haber ile gerçekleştirilen veri işleme faaliyetinin KVKK’nın 28’inci maddesinin 1 numaralı fıkrası kapsamında ifade özgürlüğü içerisinde değerlendirilemeyeceğine ve söz konusu veri işleme faaliyetinin istisna kapsamında olmadığına karar verilmiştir. Bu kapsamda veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırı veri işleme faaliyeti uyarınca KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 30.000-TL idari para cezası uygulanmıştır.

2021/1324

23/12/2021
Konu: Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildirimi ile veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği, ihlalden 21.504.083 kullanıcının etkilendiği, etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri ihlalinin çok büyük çapta olduğu, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı, 8 gün boyunca süren veri ihlalinin veri sorumlusu tarafından fark edilmemesinin veri sorumlusunun kusurundan kaynaklandığı, güvenlik uyarılarının hizmet alınan üçüncü taraflarca kontrol edilmediği sebebiyle veri sorumlusunun gerekli denetimleri sağlamadığı belirtilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.900.000.-TL idari para cezası uygulanmıştır.

2021/1304

23/12/2021
Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: Veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında çerçevesinde işlem tesis edileceği belirtilmiştir.

2021/1210

02/12/2021
Konu: İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından yapılan başvuruda farklı tarihlerde bir şirket adına kampanyalar hakkında bilgilendirilmek üzere arandığı, reklam ve pazarlama faaliyetlerine ilişkin açık rızasının bulunmadığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, adına arama yapılan şirket ve bayisinin veri sorumlusu olarak hareket ettiğine yönelik bir tespitte bulunamadığı, herhangi bir işleme şartı bulunmaksızın telefon numarası işleyen veri sorumlusu gerçek kişi bayiye çağrı merkezi hizmeti sunan kişi hakkında KVKK’nın 12’nci maddesi kapsamında idari para cezası uygulanmasına, ilgili kişi tarafından kullanılmakta olan telefon numarasının imha edilmesine karar verilmiştir.

Ceza: İdari para cezası uygulanmıştır.

2021/889

30/09/2021
Konu: İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusundan video kayıtlarının silinmesi talep edilmiş olup veri sorumlusunun da talebin kendilerine ulaşmasının ardından 2 adet maç kaydının yayından kaldırdığı, ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı, maçların kayıt altına alındığı ve daha sonra izlenebileceğine ilişkin bilgilendirmelerin tesislerde bulunduğu ve ilgili kişilerin bu yolla aydınlatılmış olduğu belirtilmiştir. Bununla birlikte, internet sitelerinde yer alan tüm maç yayınlarının 15 gün yayında kaldığı, sonrasında geri döndürülmeyecek şekilde imha edildiği, gelen talepler üzerine derhal yayından kaldırıldığı ve hiçbir şekilde yurtdışında aktarılmadığı, kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmediği, kayıtların alınabilmesi ve tesiste herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanıp tesislerde uygulanmaya başlandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak tesislerde uygulanmaya başlandığının ifade edildiği, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, kayıtlarda görüntüleri yer alan kişilerin özgün bir şekilde teşhis edilmesini sağlayabilecek görüntülerin olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/989

30/09/2021
Konu: İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu, haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceği, ilgili kişinin kendilerine yaptığı başvurunun usulüne uygun yapılmaması nedeniyle hukuka aykırı olduğu ve reddedilmesi gerektiği, başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı, ilgili veri işleme faaliyetinin ise kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili içeriğin KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca istisna olarak ele alınamayacağı, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesine yönelik uygun teknik ve idari tedbirleri almadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/993

30/09/2021
Konu: Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin 2018-2020 yılları arasında kişisel verilerinin kargo taşıma sözleşmesinin gereği olarak işlendiği, ileride meydana gelecek olası uyuşmazlıklarda delil teşkil etmek üzere saklandığı, meslek kuruluşunun üyelerine indirim sağlanan sözleşme kapsamında veri sorumlusunun arşivinde bu verilerin yer aldığı, veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir ‘‘True/False’’ yanıtının iletildiği, aktarım yapılmadığı, şikayete konu olan faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, kişisel verilerin sözleşmenin ifası nedeniyle işlendiği, ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, üçüncü kişilere aktarım olmadığının kanıtlanmadığı, belirtilen süreler boyunca muhafaza etmenin hukuka uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/925

16/09/2021
Konu: İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, işyerinde çalışan işçilerin katıldığı toplantıların ve verilen bilgilerin iş yerinde çalışan tüm işçilerin bildiği aleni bilgiler olduğu ve tamamen duyuma dayalı olduğu, bu nedenle bu bilgilere ulaşım yolunun hukuka uygun olduğu, hukuka uygun elde edilen tüm aleni bilgilerin dava dilekçesinde paylaşılmasının kişisel verilerin hukuka aykırı paylaşımı anlamına gelmediği ve verilerin işlendiği iddiaların da geçerli olmadığı, dava dilekçesinin izah edilen süreç çerçevesince hazırlanmış olduğu ve gerçekleştirilen hukuki işlemlerin hiçbir aşamasında hukuka aykırı bir yol izlenmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, iş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında veri sorumlusu avukat tarafından işe iade davasında ilgili kişinin kişisel verilerinin paylaşılmasının hukuka aykırılık teşkil etmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/909

09/09/2021
Konu: İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin kardeşinden alacaklı olduğu, borçlu hakkında İcra Ceza Mahkemesi tarafından 3 ay tazyik hapsine karar verildiği, borçlunun ikamet adresinin bulunamadığı, ilgili kişinin kimlik bilgilerini, alacağını hiçbir şekilde tahsil edemeyen müvekkilinin kendisine verdiği, İcra Müdürlüğünün alacaklının veya vekilinin, haczi üçüncü kişilere bildirmek için haciz ihbarnamesi gönderilmesini talep etme hakkı olduğu, avukatların karşı tarafa ilişkin birtakım kişisel verilere erişmesinin ve bu verileri yargı nezdinde kullanmasının doğal olduğu, kanunun alacaklıya veya vekiline sağlamış olduğu yasal hakkı kullanarak üçüncü kişi olan ilgili kişinin kişisel verilerini öğrenerek haciz ihbarnamesi gönderilmesinde hiçbir hukuk aykırılığın olmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel veri işleme faaliyetinin, borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinin alacaklı ile vekili arasındaki vekalet ilişkisi gereğince veri sorumlusu avukatın, müvekkili adına ilgili kişinin kişisel verilerini icra dairesine sunmak suretiyle gerçekleştirdiği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/847

26/08/2021
Konu: İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişiye yetkili tarafından geçmiş dönem faturalardaki bilgilerinin silinemeyeceğinin iletildiği, KVKK’da öngörülen kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiğinden hareketle Vergi Usul Kanunu uyarınca beş yıl olarak saklama süresinin değerlendirilebileceğinin, sözleşmenin ifası için dayanak oluşturmayı amaçladığı, fatura üzerindeki kişisel verilerin kanunda yer alan veri işleme şartı kapsamında bulunduğu, Türk Borçlar Kanunu uyarınca hak kaybı yaşanmaması amacıyla on yıl süreyle saklanmasının zamanaşımı süresi ile doğru orantılı olduğu, şirketlerce ilgili kişinin adres bilgilerinin güncellenmesine imkan verildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, bireysel hesaplarda kaydedilen adres bilgileri üzerinde silme, güncelleme gibi çeşitli düzenlemeleri yapma hakkına sahip olduğu ve bu alanda güncel olan adresi bilgilerinin yer almasının ilgili kişinin sorumluluğunda olduğu, veri sorumlusunun da güncel olmayan bilgileri saklamasının kanun kapsamında yer alan kişisel verilerin doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/850

26/08/2021
Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/859

26/08/2021
Konu: İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi.

Kararı Paylaşın

Karar Özeti:

Şirket tarafından gerekli operasyonları yönetmek için kişisel verilerin işlenebildiği, kişisel verilerin işlenmesinin abonelik sözleşmesi kapsamında olduğu, çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, mevzuatın izin verdiği veya yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı, düzenli olarak kontrol edildiği ve denetlendiği, kişisel verilerin ilgili mevzuata uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği, ilgili durumlarda ilgili mercie yanıt verebilmek ve bilgi/belge sunabilmek için asgari olarak kimlik bilgilerinin tutulduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği, söz konusu işleme şartının ortadan kalktığı, asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu, verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/799

12/08/2021
Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/761

06/08/2021
Konu: Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği, raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü, hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi ile kendisine teslim ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, hastanenin otomasyon sisteminden çıktı alması ile sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı belirtilmiştir. Bu kapsamda, veri sorumlusunun politikalar, kişisel verilerin işlenmesinde yetki kapsamları ve alınan eğitimleri kuruma sunma, sistemin güncellenmesi, yetki matrisini sağlama konularında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.