2022/861
01/09/2022
- Sektör: Özel Sektör, Teknoloji
- Kanun Maddesi
Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine ticari elektronik ileti gönderdiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı dikkate alınarak veri sorumlusu şirket hakkında 150.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Arama Motoru, E-Posta, Ticari Elektronik İleti
2022/325
07/04/2022
- Sektör: Özel Sektör, Pazarlama
- Kanun Maddesi
Kurum tarafından incelenen bir şikayette özetle; bir pazarlama şirketinin bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 15 defa gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisi olmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucun damarket sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, Kurumun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gçnderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu şirkete hatırlatılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/787
04/08/2022
- Sektör: Özel Sektör, Perakende
- Kanun Maddesi
Kuruma intikal eden bir şikayette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandıüı, ertesi gün de telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki sözleşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı ve aramalara da devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle telefon numarasını işlemeye devam ettiği, güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak 200.000 TL idari para cezası verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Ev Eşyası, SMS, Telefon Numarası , Üçüncü Kişi, Veri İmhası
2022/798
04/08/2022
- Sektör: Lojistik, Özel Sektör
- Kanun Maddesi
Kuruma iletilen şikayette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmaktayken başka bir şirketle gerçekleştirdiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda, Veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile işl görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması ve veri sorumlusunun 1997 yılından beri faaliyet gösterdiği, Türkiye genelinde 7 ofis, 1 depo ve 135 çalışan ile lojistik faaliyetlerini yürüttüğü ve ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında 100.000 TL idari para cezası verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/107
10/02/2022
- Sektör: Finans, Özel Sektör
- Kanun Maddesi
Kuruma iletilen şikayette özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevap yazısında ise İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığını ve istenildiği zaman İYS sisteminden çıkılabildiğinin belirtildiği, ilgili kişi tarafından ise İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alınarak 75.000 TL idari para cezası verilmesine, söz konusu verilerin uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Cep Telefonu, Finans, SMS, Ticari Elektronik İleti
2022/655
07/07/2022
- Sektör: Hukuk Firması
- Kanun Maddesi
Kuruma iletilen şikayette özetle; ilgili kişilerin ortağı olduğu ve tasfiyesi gerçekleşmiş limited şirkete ait olduğu iddia edilen bir borç nedeniyle veri sorumlusu avukatın ve bünyesinde çalışanların ilgili kişilere kısa mesaj gönderme ve arama yoluyla iletişim kurduğu ve bu kapsamda kişisel verilerinin işlendiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda İlgili kişilerin icra takibinin başlatıldığı dönemde şirketin yönetim kurulunda yer aldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin eri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına, Veri sorumlusunca gerçekleştirildiği iddia edilen “defaten/ısrarla” arama yapılması durumunun ise Kuruma sunulan dilekçe ve eklerinde yer alan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği dikkate alınarak bu hususta yapılacak bir işlem olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Avukat, İcra Takibi, SMS, Telefon
2022/768
03/08/2022
- Sektör: Banka, Özel Sektör
- Kanun Maddesi
Kuruma iletilen şikayette özetle; ilgili kişinin, şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edilidiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilgili başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin telefon numarasının, veri sorumlusu tarafından Kanunda yer alan işleme şartlarından herhangi birine dayanmadan ilgili sigorta şirketine aktarıldığı, bu minvalde gerekli idari ve teknik tedbirlerin alınmadığı da göz önünde bulundurularak 250.000 TL idari para cezası verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/630
29/06/2022
- Sektör: Hastane, Özel Sektör
- Kanun Maddesi
İlgili kişinin Kuruma intikal eden şikayetinde özetle; özel bir hastanede gerçekleşen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl hesapta tutulduğu, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, çekilen görsellerin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanı bulunmadığından hareketle, hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu ve bu konuda gerekli idari ve teknik tedbirleri almadığı dikkate alınarak 100.000 TL idari para cezası uygulanmasına,Veri sorumlusunun, ilgili kişinin kendisine maddi tazminat ödenmesi durumunda Kurula şikâyette bulunmayacağına dair teklifine ilişkin yargı yoluna başvurulabileceği hususunda bilgilendirilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Doktor, Görüntü Kaydı, Hastane, Sosyal Medya
2022/545
02/06/2022
- Sektör: Özel Sektör, Perakende
- Kanun Maddesi
İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği belirtilmesi üzerine Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı da dikkate alınarak aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/491
18/05/2022
- Sektör: Perakende
- Kanun Maddesi
Veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sitesinde paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ve veri sorumlusu arasındaki sözleşmeye istinaden internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, İnternet Sitesi, İş Akdi, İş Sözleşmesi, Perakende
2022/277
24/03/2022
- Sektör: Perakende
- Kanun Maddesi
Kuruma iletilen bir şikayette özetle; ilgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin şubesine teslim ettiği, bu şirketin de ürünü kargo firmasına teslim ettiği ancak kargo firmasının ürünü ilgisiz üçüncü bir şahsa teslim ettiği, üçüncü şahsın ilgili kişiyi arayarak konuyla ilgili bilgi verdiği bildirilmiştir. Elektronik perakende şirketinin yetkilileriyse; konu kapsamında bir suçları olmadığı ve hatanın tamamen kargo firmasında olduğu belirtilmiştir. Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurulduğunda Kurum, İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına, veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Kargo, Perakende, Üçüncü Kişi, Veri İhlal Bildirimi
2022/249
17/03/2022
- Sektör: Teknoloji
- Kanun Maddesi
Kurum tarafından yapılan inceleme sonucunda sunucuları yurt dışında bulunan sistemin kullanılması aracılığıyla kişisel verilerin yurt dışına aktarılması faaliyetinin gerçekleştirildiği, söz konusu faaliyet gerçekleştirilmeden önce aktarım yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin Kurul’a sunulmadığı, yurt dışına aktarım bakımından somut olayda açık rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta ilgili kişilerden de açık rıza alınmadığı tespit edilmiştir. Uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirlerin alınmaması, veri sorumlusu şirketin ekonomik durumu, yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği ve 6698 sayılı Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında 950.000 TL idari para cezası verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Çerez, E-Posta, Web Sunucusu, Yurt Dışına Veri Aktarımı
2022/902
02/09/2022
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Kuruma yapılan bir şikayette özetle veri sorumlusu şirketle herhangi bir etkileşime geçilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rıza onayı alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği ve veri sorumlusunun ilgili kişiden özür dileyerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun yapılan yanlışın fark edilmesi üzerine iptal işlemini başlattığı fakat bazı müşterilere kısa mesaj gitmesine engel olamadığını beyan edildiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aukırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikayet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili veri ihlal bildiriminde bulunmadığı da dikkate alınarak 30.000 TL idari para cezası verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, E-Posta, İdari Tedbir, SMS, Teknik Tedbir, Ticari Elektronik İleti
2022/774
03/08/2022
- Sektör: E-ticaret
- Kanun Maddesi
Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/1147
20/10/2022
- Sektör: Perakende
- Kanun Maddesi
Kurum tarafından incelenen şikayet yazısında özetle; Mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı, iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı belirtilmiştir. Kurumun yapmış olduğu inceleme sonucunda,ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu, ilgili kişinin iş akdi sonlandırıldıktan sonra bile kişisel verilerinin paylaşımına devam edilmesinin Kanun kapsamında geçerli bir işleme şartı olmadığı sonucuna varılmış, 250.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca, ilgili kişinin hukuka aykırı şekilde işlenen kişisel verilerinin imha edilmesi ve buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve belgelerin Kurula gönderilmesi talep edilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Cep Telefonu, İş Akdi, Kargo, Mimar