• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2021/664

06/07/2021
Konu: İlgili kişinin, doğal haz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, müşterilerin ödemelerini veri sorumlusu vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdiği, abonelerden, sözleşme tanzim edilmesi işlemleri esnasında talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, bankadan veri sorumlusuna aktarıldığı, aktarılan verilerin veri sorumlusunun sisteminde yer aldığı, bu verilerin sözleşme kapsamındaki işlerin ifası için zorunlu olduğu, söz konusu verilerin sistemde yer almamasının şirketin meşru menfaatlerine zarar vereceği, otomatik ödeme talimatı ile fatura ödeyen abonelerin faturalarında gerekli düzeltmelerin yapıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili kişinin söz konusu banka adı bilgisinin faturada yer almasının hak ihlali yaratmadığı, faturada yapılan değişiklikler ile ilgili kişinin talebinin yerine getirildiğinin anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/666

06/07/2021
Konu: Şikayetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından özel hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, evrak trafiği yoğunluğu nedeniyle ilgili kişinin başvurusuna dönüş yapılamadığı, doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğu, hizmet veren kişilerin KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, şüphelilerin görevliye fark ettirmeden gizlice ekran görüntüsü çektikleri ve bu hususun zapt altına alındığı, hastanenin detaylı idari ve teknik tedbirler aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, gerekli teknik ve idari tedbirler alınsa da söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/670

06/07/2021
Konu: İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişiye gerekli aydınlatmalar yapılarak kişisel verilerinin işlendiği, ilgili kişinin şirket prensiplerine uygun olarak değerlendirilebilmesi için ve diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği, iş başvurusunun kabul edilmemesinin akabinde, işlenen kişisel verilerin ilgili kişinin talebi üzerine yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirmesine esas genel gerekçesinin muhafaza edildiği, saklama amacının ilgili kişiye iletildiği, ilgili kişinin sonraki başvurusunu müteakip ilgili kişiye ait kişisel verilerin ilk periyodik imha işleminde silineceği bilgisinin iletildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verinin işlenmesinin sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek resen imha işleminin bu duruma uygun olmayacağı, ilgili kişinin talebi üzerine imha işleminin gerçekleştirilmesinin gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/603

22/06/2021
Konu: İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusuna yaptığı başvuruda bulunması gereken hukuki niteliklerin bulunmadığı, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirildiği, ilgili kişinin bu adreste olmaması nedeniyle teslimatın gerçekleşmediği, iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslim amacıyla taraflarına iletilen bilgiler neticesinde elde edildiği, taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlardan yasal zorunluluk nedeniyle silinemediği, bu hususun tekrar yaşanmaması için mevcut cari kayıtlar güncellenmiş ve ilgili kişinin yeni siparişlerde verdiği güncel bilgiler doğrultusunda yeniden cari açılımın yapılmış olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verilerinin silinmesi gereken sebebin oradan kalkmadığı ve cari bilgilerin pasifize edildiği, ilgili kişinin veri sorumlusuna yaptığı başvuruda ise ilgili kişinin yönlendirilmediği, eksik hususlara yönelik gerekli aksiyonların alınmadığı ve bunların da hukuka aykırılık teşkil ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/584

09/06/2021
Konu: Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin cep telefonu numarasına bir SMS gönderilmiş; kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı ancak birçok kişisel verisinin şirkette bulunduğuna ilişkin veri sorumlusuna başvuruda bulunulduğu, şirket tarafından gönderilen cevapta finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği ancak daha sonrasında ilgili kişinin bu listelerden çıkarıldığı gibi yanıtlara ver verilmiş; yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgi verilmemiş, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin de hukuka aykırı olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişisel veri işleme faaliyetinin meşru menfaat çerçevesinde değerlendirilemeyeceği, ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği, ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/572

09/06/2021
Konu: İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafın yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü, ilgili kişinin kişisel verilerinin silinmesini veri sorumlusundan talep ettiği, bahse konu fotoğrafın aktif olarak kullanılmadığı, fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusunun veri sorumlusunun ‘‘Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’’ ve KVKK’nın 15’inci maddesinin (5) numaralı fıkrası gereği gerekli dikkat ve özeni göstermesi hususunda talimatlandırılmasına; veri işleme faaliyetlerinin revize edilmesi gerektiği yönünde de bilgilendirilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/548

04/06/2021
Konu: İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması.

Kararı Paylaşın

Karar Özeti:

Dijital platformun ilgili kişiye pazarlama faaliyetleri kapsamında yaptığı aramalar ve sonucu ilgili kişinin irtibat formu ile veri sorumlusuna başvurduğu ancak yeterli bir yanıt alamadığı, işlenen suçun kabul edildiği ancak detay içermeyen cevap ile geçiştirilmeye çalışıldığı belirtilmiştir. Dijital platform tarafından, ilgili kişinin kendilerinin müşterileri olmadığını ve ilgili kişiyi arayan numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar faaliyet gösteren bir bayiye tahsis edildiği; bahsi geçen aramanın kendilerinin bilgisi ve izni dahilinde yapılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, bayinin, kendi iradesiyle ve dijital platformdan bağımsız şekilde ilgili kişinin açık rızası ve kanunda belirtilen veri işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle veri sorumlusu sıfatını haiz olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/545

04/06/2021
Konu: Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, ilgili kişi tarafından da buna yönelik olarak açık rıza verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu, veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikayetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/424

27/04/2021
Konu: Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin 2017 yılında ev kredisi çekmek isterken daha önce kendisine yönelik olarak icra takibi başlatıldığı, yıllar içinde Varlık Yönetimi Şirketi tarafından sürekli olarak ilgili kişinin arandığı, ilgili kişinin o kişinin kendisi olmadığı bilgisini Şirkete iletmesine rağmen bu durumun sürdüğü, icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak icra takibinin başlatıldığı ve çeşitli bilgilendirmelerin, ispatların sürmesine karşın bankanın ilgili kişiyi mağdur ederek icra takibi yapmakta ısrar ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin banka tarafından düzeltildiği, ilgili kişiye ait kişisel verilerin veri sorumlusu banka tarafından veri sorumlusu Varlık Yönetim Şirketine aktarımının hukuka uygun olduğu, Varlık Yönetim Şirketinin ilgili kişi ve banka tarafından 2017 yılı içinde yapılan bildirimlere karşın ilgili kişinin dosyası hakkında bir şikayet kaydı oluşturmamasının, ilgili kişinin var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmesinin Kanunun 12’nci maddesini ihlal ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/422

27/04/2021
Konu: İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu ile ilgili kişinin iş ilişkisinin sona ermesinden sonra, veri sorumlusu aydınlatma yükümlülüğünü yerine getirmeden ve ilgili kişinin fotoğrafını açık rızasını almadan herkese açık olarak paylaşmış, ilgili kişi bunun kaldırılmasını talep etmiş ancak kaldırılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili paylaşımda ilgili kişinin net şekilde fotoğraftan seçilebildiği, veri sorumlusunun herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı olarak işlediği ve uygun güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almadığı, gelen talep doğrultusunda da yasal süre içerisinde paylaşımın silinmediği/yok edilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/361

13/04/2021
Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/358

13/04/2021
Konu: İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmiş olmasına rağmen, ilgili kişiye SMS’ler ve telefon aramalarının gittiği, ilgili kişinin buna ilişkin veri sorumlusuna yaptığı başvurunun mevzuatta belirlenen süre sonrasında cevaplanıp yetersiz kaldığı, verilen cevapta kişisel verilerin yurt dışına aktarılabileceği, ilgili kişinin buna yönelik açık rızasının bulunmadığı, KVKK’nın 9’uncu maddesindeki istisnaların da olayda yer almadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili iletiler kapsamında ilgili kişinin açık rızasına gerek olmadığı, veri sorumlusunun gerekli yasal bilgilendirmeyi yapması nedeniyle hukuka aykırılık bulunmamasıyla birlikte, ilgili kişinin kişisel verilerinin silinmesini talep etmesi nedeniyle veri sorumlusunun bunu kabul etmemesinin hukuka aykırı olduğu belirtilmiştir. Bu kapsamda, ilgili kişilerin başvurularını cevaplarken gerekli dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/333

05/04/2021
Konu: Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait bilgilerinin paylaşıldığı, üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, konuya ilişkin ilgili kişinin veri sorumlusuna yapmış olduğu başvuruya da cevap verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli tedbirleri aldığı ve aydınlatma metnini güncellediği; bununla birlikte hangi kişisel veri şartına dayandığı konusundaki eksikliğin giderilmesi hususunda ve ilgili kişilerin başvurularının uygun yanıtla sonuçlandırılması hususunda talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/242

18/03/2021
Konu: İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin mahkeme dosyasına ve baro şikayet dilekçesine eklendiği, veri sorumlusuna yapılan başvuruda ise yeterli cevabın alınamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya ilişkin olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligatların kontrolüne yönelik olduğu, 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığı, Voucher dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/241

18/03/2021
Konu: Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, veri sahibi olan ölenin poliçe ibrazının gerekli olması nedeniyle, çeşitli tarihlerde veri sorumlusundan söz konusu poliçelerin tesliminin talep edildiği, ancak veri sorumlusunun ilgili kişiye olan cevabı ile bunu reddettiği; bunun üzerine yeniden ihtarname düzenlenip veri sorumlusuna başvurulduğu ancak veri sorumlusunun talebi karşılamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, poliçeyi özetler bilgilerin de kişisel veri niteliği taşıdığı, veri sorumlusu tarafından poliçeyi özetler belgenin ilgili kişiye verildiği ve bu anlamda KVKK’nın 11’inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.