• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2021/230

11/03/2021
Konu: İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından kendisinin erişimi olduğu sistem üzerinden, kişisel verilerine eriştiği ve bu şekilde gizliliğin ihlal edildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu kurum bünyesinde, kişilerin kimlik numaraları ile SGK sorgulaması yapılması kapsamında işlenen kişisel verilerin özel hayatın gizliliğini ihlal ettiği, kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/228

11/03/2021
Konu: Hukuk bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin telefon numaralarına mesajları ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi bulunduğu, avukat, veri işleme faaliyetini hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla gerçekleştirdiği, ilgili kişi tarafından usulüne uygun olarak yapılan ve taraflara tebliğ edilen bir başvurunun bulunmadığı, borcun alacaklısı şirket ile telekomünikasyon şirketi arasında vekalet ilişkisi bulunduğu, avukatların vekil olarak müvekkillerinin her türlü hak ve menfaatlerini gözetmek durumunda olduğu, ilgili kişinin ismine ulaşılmasının, hak arama hürriyeti kapsamında değerlendirilmesi gerektiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun hukuk bürosu adına hareket eden ilgili avukat olduğu, ilgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin yapılan başvuruda, veri sorumlusunun bunu teslim aldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/227

11/03/2021
Konu: Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmiş, veri sorumlusuna yaptığı başvuruda ise yasal süre içerisinde yanıt alamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle olayda uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği, veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/205

09/03/2021
Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/85

03/02/2021
Konu: İlgili kişinin Kanunun 11’inci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerini işlenmesine ilişkin bir aydınlatmanın bulunmadığı, 26.06.2019 tarihinde veri sorumlusundan buna ilişkin bilgi talep ettiği, veri sorumlusunun 23.07.2019 tarihindeki cevabının ise yeterli bulunmadığı; zira veri sorumlusunun internet sitesinde bulunan ‘‘Kişisel Veriler Politikası’’ (Politika bölümünün bir aydınlatma olmadığı, ‘‘belirli ve açık’’ olmadığı, Politikada IP, Çerez gibi verilerin sayıldığı ancak verilen cevapta bu konulara ilişkin bir bilgilendirmenin yapılmadığı, cevap metni ile Politika’nın çeliştiği, Politikada veri bazında bir bilgilendirmenin bulunmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun detaylı bilgilendirme için ilgili kişileri Aydınlatma Metnine yönlendirmesi gerekliliğini yerine getirmediği, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer alan politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/79

03/02/2021
Konu: Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu bankanın kredi kartını kullandığı, banka, ilgili kişinin akrabalarını arayıp ilgili kişinin borcu hakkında bilgi verdiği, ilgili kişinin 15.11.2019 tarihinde veri sorumlusuna başvurarak buna ilişkin bilgi talep ettiği; veri sorumlusunun ise 19.11.20219 tarihinde verdiği cevapta, ilgili kişinin borcu için arandığı ancak ulaşılamadığından diğer kişilerin arandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğü, ilgili kişinin banka ile ilişkisinin yakınları ile paylaşılmasının KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/78

03/02/2021
Konu: Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, müşteri pasaport fotoğraflarının depolanıp üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli denetimleri yapmadığı veya yaptırmadığı, daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların, telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın KVKK’ya aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı ve buna yönelik herhangi bir bildirim yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/32

12/01/2021
Konu: İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu banka aracılığıyla, ilgili kişinin kişisel verilerinin sorgulandığı, bu bilgilerin boşanma davası dosyasına sunulduğu, kişisel verilerin kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğin ihlal edildiği, veri sorumlusu bankaya yapılan başvuru 30 günlük yasal süre içerisinde cevaplanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlularının her türlü teknik ve idari tedbiri almaları için bilgilendirilmeleri gerektiği, veri sorumlusu tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki varlığından haberdar olunmasına rağmen veri ihlal bildirimi yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/891

03/09/2021
Konu: WhatsApp Uygulaması Hakkında Yürütülen Resen İncelemeye İlişkin Kamuoyu Duyurusu.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun Hizmet Koşullarının kullanıcı sözleşmesi niteliğinde olduğu, kullanıcıların kişisel verilerinin yurtdışına aktarımına ilişkin alınan açık rızanın tek metinde ayrılma bir biçimde ilgili kişiye sunulmasının açık rızanın özgür iradeyle açıklanması unsurunu zedelediği, uygulamanın kullanılmasının aktarım şartına bağlandığı ve bu kapsamda KVKK’nın 4’üncü maddesinde yer alan Hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edildiği belirtilmiştir. İşlenilen tüm verilerin aktarımına ilişkin istenilen açık rızaların işlendikleri amaçla orantılı ve sınırlı olmadığı belirterek KVKK’nın 4’üncü maddesinin ihlal edildiği, veri sorumlusunun Türkiye’de bulunan kişilerden elde ettiği kişisel veriler üzerinde yaptığı faaliyetlerin yurt dışına aktarım niteliğinde olduğu ve ilgili uygulamanın KVKK’nın 9’uncu maddesine aykırı şekilde gerçekleştirildiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca kişisel verilerin hukuka aykırı şekilde işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmaması sebebiyle veri sorumlusu hakkında 1.950.000-TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.950.000 TL idari para cezası uygulanmıştır.

2019/308

18/10/2019
Konu: Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalar Hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme sonucunda, avukatlar/ hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişiler ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkan tanıyan yazılım/program/uygulamalar hakkında ilgili uygulamaları kullananlar hakkında 5271 sayılı Ceza Muhakemesi Kanunu’nun 158’inci maddesi hükmü uyarınca ihtaren ilgili Cumhuriyet Başsavcılıklarına bildirimde bulunulacağına, ve veri sorumluları hakkında KVKK’nın 18’inci maddesi çerçevesinde idari işlem tesis olunacağına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/271

18/09/2019
Konu: Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, veri sorumluları tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak; ihlalinin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler, ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/10

24/01/2019
Konu: Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih ve 2019/10 Sayılı Kararına İlişkin Duyuru.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından; KVKK’nın 12’nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına, ve Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/9

24/01/2019
Konu: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından KVKK’nın 14’üncü maddesinin (1) numaralı fırkası uyarınca ilgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı, ilgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği, İlgili kişi tarafından yapılan başvuruya veri sorumlusunca KVKK’da tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, KVKK’da veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2018/119

16/10/2018
Konu: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, ilgili kişilerin rızaları alınmadan veya KVKK’nın 5’inci maddesinin (2) numaralı fırkasında hüküm altına alınan işleme şartlarını sağlamada, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta gömdermek suretiyle rerklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanun’un 15’inci maddesinin (7) numaralı fırkası uyarınca derhal durdurulmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2018/87

19/07/2018
Konu: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından verilen 02.04.2018 tarihli ve 2018/32 sayılı Karar ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.