2022/925
08/09/2022
- Sektör: Özel Sektör, Telekomünikasyon
- Kanun Maddesi
Kuruma iletilen şikayette özetle; ilgili kişinin, kendi e-posta adresine bir başka aboneye ait e-faturaların iletilmesi ile ilgili 2019 yılında veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurumu’na ilk şikayetinde bulunduğu, bu şikayete istinaden veri sorumlusuna Kişisel Verileri Koruma Kurulu tarafından idari para cezası uygulanmasına karar verildiği ve veri sorumlusu kişisel verilerin korunmasına ilişkin gerekli tedbirlerin alınması adına talimatlandırıldığı belirtilmiştir. İlgili kişi daha sonra bir başka abonenin e-faturalarının da kendisine iletilmeye başladığını ifade etmiştir. Kurul, veri sorumlusunun Kanun’un 12. maddesinin 1 numaralı bendindeki “gerekli teknik ve idari tedbirleri alma” yükümlülüğünü yerine getiremediğine, buna istinaden yapılan talimata rağmen bir abonenin e-faturalarını ilgili kişiye göndererek söz konusu yükümlülüğün ihlaline devam ettiğine, bunun yanında ilgili kişinin e-posta adresini bir başka abonenin kullanabilme ihtimalinin ancak e-posta adresleri için uygulanabilecek bir doğrulama mekanizması olmaması durumunda mümkün olmasının, veri sorumlusunun kişisel verileri korumak adına alması gereken teknik tedbirleri almadığını açıkça gösterdiğine ve “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiğine kanaat getirmiş, 200.000 TL idari para cezası verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: E-Fatura, E-Posta, Telefon Numarası , Telekomünikasyon, Veri İhlali
2022/328
07/04/2022
- Sektör: İnsan Kaynakları, Özel Sektör
- Kanun Maddesi
Kurum’un yapmış olduğu inceleme sonucunda; ilgili kişinin kişisel verilerinin yer aldığı ihtarnamenin veri sorumlusu tarafından yedi kişiye daha gönderildiği iddiasına ilişkin olarak; kişisel verilerin işlenmesi faaliyetinin mevzuatta yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun kişisel verileri hukuka aykırı olarak işlenmesini önlemek yükümlülüğüne uygun davranmadığı Kurumca tespit edilmiş, 100.000 TL idari para cezası uygulanmasına ve Karar hakkında Türkiye Noterler Birliğine bilgi verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: İhtarname, Noter, Veri İhlali
2023/4
05/01/2023
- Sektör: Kargo, Özel Sektör
- Kanun Maddesi
Kuruma iletilen şikâyete konu olayın; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği belirtilmiştir. İşlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği belirtilmiştir. İlgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği çalışanlara eğitim verildiği üstelik kargo üstündeki isim bilgilerinin de Karayolu Taşıma Kanunu’nun 43. maddesi uyarınca üzerine yazıldığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda, ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı tespit edilmiş, 75.000 TL idari para cezası verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Kargo, Üçüncü Kişi, Veri Güvenliği, Veri İhlal Bildirimi
2023/67
12/02/2023
- Sektör: Banka, Özel Sektör
- Kanun Maddesi
Kuruma iletilen şikayet yazısında özetle; Veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, şirket vekilinin ilgili kişinin şahsi vekili olmadığından bahisle yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, gönderim yapılan e-posta adresi şikayetçiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan açık rıza beyanının geçersiz olduğu,veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği, daha sonraki tarihlerde yapılan işlemlerde veri sorumlusu tarafından şikayetçiye e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı belirtilmiştir. Kurul yapmış olduğu inceleme sonucunda şikayete konu yanlış e posta adresinin ilgili kişi talebi üzerine hemen değiştirilmesine imkan sağladığı için veri sorumlusunun özen yükümlülüğünü yerine getirdiğine, kişilerin iletişim bilgilerini belirli periyotlara güncel tutmadığı için veri sorumlusunun uyarılmasına, Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/78
19/01/2023
- Sektör: Telekomünikasyon
- Kanun Maddesi
Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı, gili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği ve şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun cevabi yazısını da değerlendirerek ilgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının bir hukuka aykırı veri işleme faaliyeti olduğu belirtilmiştir. Bıu doğrultuda veri sorumlusunun, veri güvenliğine ilişkin yükümlülüklerini de yerine getirmediği değerlendirlerek 85.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/1357
22/12/2022
- Sektör: Özel Sektör, Spor
- Kanun Maddesi
Kurum tarafından incelenen şikayette, bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini, biyometrik verilerini ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak 100.000 TL idari para cezası uygulanmasına, Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/1281
01/12/2022
- Sektör: Avukat
- Kanun Maddesi
Kuruma iletilen şikayette özetle borçlu hakkında başlatılan icra takibi ile ilgili olarak avukat tarafından defalarca oğlunun aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı belirtilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Borçlunun haciz esnasında haciz mahallinde olduğu ve haczedilen malların yediemin sıfatıyla kendisine bırakılmış olduğu da dikkate alındığında veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına, Veri sorumlusunun Kuruma ilettiği belgelerden, borçlunun oğlunun da söz konusu borcun hacizle tahsili sırasında haciz mahallinde bulunduğu ve Haciz Tutanağını imzaladığı, dolayısıyla babasının borcu hakkında hâlihazırda bilgi sahibi olduğu, şikâyet konusu aramalara dair kayıtların ise anılan Haciz Tutanağının tanzim edildiği tarihin ertesi gününe ait olduğu, bu nedenlerle borçlunun “aynı zamanda da kişisel verisi olan, kendisinin borçlu olduğuna dair bilginin veri sorumlusu tarafından oğluna iletilmesi” şeklindeki şikâyetine ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem olmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Avukat, Haciz, İcra Takibi, Telefon Numarası
2022/489
18/05/2022
- Sektör: İdare, Kamu Sektörü
- Kanun Maddesi
Kuruma yapılan ilgili kişi şikayetinde özetle; kendisi de avukatlık mesleğini icra eden ilgili kişinin kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerinin, Birliğin vekili tayin edilen avukat ile rızası dışında paylaşıldığı belirtilmiştir. Kurumun yapmış olduğu inceleme sonucunda; Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına, Veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarması hakkında Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Avukat, Baro, İlgili Kişinin Rızası Dışı Veri İşleme
2022/594
22/06/2022
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
İşveren tarafından bünyesinde çalışan personelden edinilen bilgi neticesinde mağazanın alt katındaki depodan uyuşturucu dumanı kokusu olduğu düşünülen bir koku geldiği ve bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı ifade edilmiştir. Aynı zamanda yine işveren tarafından personellerin test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri iddia edilmiştir. Ancak kuruma intikal eden dilekçelerde ilgili kişilerin hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı ve test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı ifade edilmiştir. Kurumun yapmış olduğu inceleme sonucunda, ilgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyeti hakkında veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık rızasının bulunduğunun ispat edilememesi nedeniyle veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/86
19/01/2023
- Sektör: Sektör Belirtilmemiştir
- Kanun Maddesi
Kuruma ilgili kişi tarafından iletilen şikayette özetle ilgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine aktarılması ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınıp kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu belirtilmiştir. Aynı zamanda İşe başlarken şirket tarafından imzalatılan iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza şeklinde olduğu, şirketin e-posta içeriklerini izlediği, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulduğu belirtilmiştir. Veri sorumlusunun şikayete ilişkin cevabi yazısı ve Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin imzalamış olduğu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiğine, e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde sayılan işleme şartları kapsamında gerçekleştirildiğine, e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesi hususunda herhangi bir hukuka aykırılık bulunmadığı değerlendirilmiş olup veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığu hususunda somut bir emareye ulaşılmadığına, ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına ve e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması konusunda Kanun’a aykırılık bulunmadığına, bu kapsamnda ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddiaların yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/224
16/02/2023
- Sektör: Belediye, Kamu Sektörü
- Kanun Maddesi
Kurum tarafından incelenen ilgili kişi şikayetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda bahsi geçen toplantıda ilgili kişiyi belirlenebilir kılacak nitelikte “eski meclis üyesi arkadaşımız” ifadesi kullanıldığı ve ismine de yer verildiği görüldüğü ve dolayısıyla bir kişisel veri işleme faaliyetinin mevcut olduğu tespit edilmiş olmakla birlikte konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu ve ayrıca 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmü yer aldığı, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (…)” hükmü mevcut olduğu göz önüne alındığında söz konusu veri işleme faaliyetinin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirilmiş, Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Belediye, Meclis Toplantısı, Meclis Üyesi, Ses Kaydı, Sosyal Medya, Video Kaydı
2023/437
22/03/2023
- Sektör: Hukuk Firması, Özel Sektör
- Kanun Maddesi
Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında Kurum’a iletilen şikayet dilekçesinde; Veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmediği ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmediği, toplamda 5 kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderildiği belirtilmiş, Veri sorumlusunun “hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulama kullanılıp kullanılmadığı hususunda denetim yapılması talep edilmiştir. Konuya ilişkin Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin hukuka uygun olduğu değerlendirilmiş, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik veya iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kuruma iletilmemiş olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Avukat, Aydınlatma Yükümlülüğü, Çağrı Merkezi, Mesaj
2023/426
22/03/2023
- Sektör: E-ticaret, Özel Sektör
- Kanun Maddesi
Kuruma intikal eden ihbar dilekçelerinde özetle; Tüketici finansman kredisiyle alışveriş imkanı sunan bir şirketin; hizmetin sunumu sırasında veya öncesinde, ilgili kişi müşterilerinin e-Devlet şifrelerini talep ettiği belirtilmiştir. Veri sorumlusu şirket tarafından ihbar dilekçelerine ilişkin cevap yazılarında özetle; kişisel verilerin korunması ve işlenmesi konusunda azami düzeyde teknik ve idari tedbir aldıklarını, e-Devlet gibi kişiye ait özel bir alanı kullandıkları iddiasının Şirket politikası ve uygulamaları ile ters düşeceğini, bu açıdan hiçbir müşteriden herhangi bir şifre talep etme durumunun söz konusu olmadığını belirtmişlerdir. Konuya ilişkin kurum tarafından yapılan inceleme sonucunda ilgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, igili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle 400.000 TL idari para cezası uygulanmasına, hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’inci maddesi doğrultusunda imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2023/134
01/03/2023
- Sektör: Özel Sektör, Sosyal Medya
- Kanun Maddesi
Veri sorumlusu olan sosyal medya platformu TikTok hakkında, açık rızanın Kanun kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı bulunduğuna dair yer alan muhtelif haberler ve şikayetler yayımlanması sonucunda Kurul, resen inceleme başlatmıştır. Kurulun yapmış olduğu inceleme sonucunda; TikTok’un 2021 yılı Ocak ayında gizlilik politikasını güncellediği ve güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği ancak belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlama bulunmamasının hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği tespit edilmiştir. Ayrıca veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde, Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği, kullanıcının onayına sunulan Hizmet Koşulları metninin Türkçe tercümesi bulunmaması, Gizlilik Politikasının esasen bir aydınlatma metni olduğu ancak açık rıza metni olarak kullanıldığı, platformda hesap oluşturulurken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı tespit edilmiştir. Kurul yapmış olduğu bu incelemeler sonucunda veri sorumlusu TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına, Hizmet Koşulları metninin bir ay içinde Türkçeye çevrilmesine, söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesine ve Kanun’un 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/303
24/03/2021
- Sektör: Turizm
- Kanun Maddesi
2020/899 sayılı Kurul Kararıyla veri sorumlusuna verilen talimatta aydınlatma yükümlülüğünün gerçekleştirilip gerçekleştirilmediği hususunda bilgi istenmiş ancak veri sorumlusu Kuruma herhangi bir bilgi vermemiştir. Bunun üzerine kuruma yapılmış olan 2020/899 sayılı kararın itiraz niteliğinde olan başvuruda; veri sorumlusunun aydınlatma yükümlülüğünü yerine getirip getirmediği hususunda Kurula bilgi vermesi, veri sorumlusunun ilgili kişinin verilerini hukuka aykırı işlediği ve Kanunu ihlal ettiğinin tespitini, bu tespit doğrultusunda veri sorumlusuna idari yaptırım uygulanması ve söz konusu Kurul Kararı’nın kaldırılıp yerine yeni işlem tesis edilerek inceleme yapılması talep edilmiştir. Kurul yapılan incelemede; veri sorumlusunun talimatı yerine getirmemesi sebebiyle KVKK md.18 f.1 b.(c) kapsamında 75.000 TL idari para cezasına karar vermiştir. Kurul kararına ilişkin itiraz hususunda ise hukuki anlamda somut zemine oturan argümanların olmaması sebebiyle yapılacak bir işlem olmadığına karar vermiştir.