• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle
Arama sonuçlarınla ilgili GDPR kararlarını görmek ister misin?

2020/899

24/11/2020

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve üçüncü taraflara aktarılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurum’a iletilen şikayette; bir dönem Veri Sorumlusu bünyesinde çalışmış olan ilgili kişi , veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği bu sebeple de kişisel verileri hukuka aykırı işlediği, ilgili kişinin kişisel verilerini diğer şirketlere aktardığı, veri sorumlusuna KVKK md.13 kapsamında başvurduğunu ancak herhangi bir dönüş alamadığını ayrıca veri sorumlusunun, özel nitelikli kişisel veri olan ceza mahkumiyeti verisini rıza alınmaksızın ve hatalı işlediğini, bu veriyi diğer şirketlere aktarmış olduğunun kuvvetle muhtemel olduğu iddialarında bulunmuştur. Veri Koruma Otoritesi iddialar ve cevaplarla sunulan belgeler doğrultusunda yapmış olduğu incelemede; veri sorumlusunun kendisine yapılmış olunan başvuruya makul sürede yanıt verdiği ve bu noktada hukuka aykırı bir eylem olmadığı için bir işlem tesis etmemiştir. İlgili kişinin çok sayıda verisinin (özellikle özel nitelikli kişisel verisi olan ceza mahkumiyeti verisi) diğer şirketlere aktarıldığı iddiası hususunda ilgili kişinin kanıtlayıcı bir belge sunmaması sebebiyle bir işlem tesis edilmemiştir. İlgili kişinin, veri sorumlusunun gerekli aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin veri sorumlusu tarafından herhangi bir belge Kurum ile paylaşılmamış bu sebeple işbu hususta veri sorumlusunun Kurula bilgi vermesi konusunda talimat verilmiştir. Son olarak özel nitelikli kişisel verisi olan ceza mahkumiyeti verisinin ilgili kişinin rızası alınmaksızın işlenmiş olduğu iddiasında; şikayete konu verinin ceza mahkumiyeti kapsamına giremeyeceği bu sebeple özel nitelikli veri olmadığı değerlendirmesine varılmış olup, bu verinin işlenmesinin KVKK md.5 f.2 b.(e) kapsamında olduğu için herhangi bir işlem tesis edilmemiştir.

Ceza: Veri sorumlusu talimatlandırılmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/671

06/07/2021

Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/549

04/06/2021

Konu: İlgili kişinin işletmeye girerken rızası dışında ateş ölçümü yapılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette konu olan işletmeye giriş yaparken kendisinden rızası olmaksızın ateş ölçümünün alındığı belirtilmiştir. Kurul tarafından yapılan incelemede ateş ölçümü verisinin biyometrik veri ve sağlık verisi kapsamına girmediği bu sebeple özel nitelikli kişisel veri kapsamına girmeyeceği belirtilmiştir. Ateş ölçümü için ise pandemi koşulları nedeniyle yayınlanan genelge kapsamında ateş ölçümünün zorunlu olduğu belirtip KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/608

22/06/2021

Konu: İlgili kişinin eski telefon numarasına kişisel verilerinin yollanması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletin şikayette bankacılık faaliyetini gerçekleştirdiği bankanın telefon numarasını güncelleme talebine uymayıp eski telefon numarasıyla veri paylaştığını belirtmiştir. Kurul tarafından yapılan incelemede KVKK Madde 4 içerisindeki şartların dağlanmadığını tespit etmiştir. Sonuç olarak kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/243

17/03/2022

Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/224

10/03/2022

Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/184

04/03/2022

Konu: Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin alacak devir sözleşmesiyle devredilmiş telekominasyon borçlarının alacağını devralan veri sorumlusu tahsil etmek amacıyla ilgili kişinin açık rızasını almadan firmayla görüşme yaptığı üçüncü kişi numaralarıyla paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almadığı tespit edilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 50.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/172

24/02/2022

Konu: Yurt dışı merkezli veri sorumlusunun Türkiye’deki irtibat bürosu tarafından iş alımlarda adaylardan özel nitelikli kişisel veri talep etmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin Türkiye’deki irtibat bürosu için işe alım yapan yurt dışı merkezli şirketin işe alım belgelerinde talep ettiği özel nitelikli kişisel verilerin işlenmesi için açık rıza almadığı ve ilgili kişinin bu verilerin imhasına yönelik başvurusuna veri sorumlusu tarafından yasal sürede yanıt verilmediği belirtilmiştir. Kurul tarafından yapılan incelemede, irtibat bürosunun yaptığı iş sözleşmesinin veri sorumlusunun kendisine akdedilmesi ile ilgili veri işleme faaliyetinin halihazırda taabi olduğu yabancı mevzuat sebebiyle ile yurt dışında işlemesinin zorunlu olması nedeniyle veri işleme faaliyetinin bir hukuka aykırılık taşımadığını ama açık rızanın alınmasının gerekliliğini belirtmiştir. Veri sorumlusuna ilgili kişi tarafından yapılan başvurunun geçerli olduğu ve bahse konu olan veri işleme faaliyetinin gerektirdiği yegane yolun açık rıza alınması gerekmesi sebebiyle Kurum, veri sorumlusunun başvuruları konusunda azami dikkat ve özeni göstermesi, buna ek olarak ilgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösteren bir belge ile Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/103

10/02/2022

Konu: Unvanında ilgili kişinin adının geçtiği şirket hakkındaki hukuki dokümanın sosyal medyada paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette bir tüzel kişinin unvanında ilgili kişinin adının geçtiği ve şirket hakkındaki icra takibinin sosyal medyada paylaşılmasından ötürü KVKK’nın 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişi kavramı üzerinden gerçek kişi tüzel kişi ayrımı tanımlanmış olup her ne kadar şirketin adında ilgili kişinin adı geçse de sosyal medyadaki paylaşım tüzel kişiliğe yönelik olup KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/31

18/01/2022

Konu: Sağlık sektöründe ilgili kişinin açık rızası alınmaksızın veri sorumlusu tarafından ticari elektronik ileti gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin açık rızası olmaksızın kendisine ticari elektronik ileti gönderildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgli kişiye KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında ilgili kişiye veya hasta yakınlarına tıbbi bilginin iletilmesi amacıyla ileti gönderilebilinir lakin somut olayda gönderilen e-posta içeriğinin tıbbi amaçla değil ticari amaçla atıldığı tespit edilmiştir. Sonuç olarak söz konusu kişisel verinin elde edilme amacı dışında kullanılmasından ötürü veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/6

06/01/2022

Konu: İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin eski ortağı olduğu ve herhangi bir hukuki veya idari bağının olmadığı şirkete ait sicil bilgilerinin eski ortaklar başlığı altında yayınladığı ve veri sorumlusu Ticaret odasının ilgili kişinin kişisel verilerin üçüncü kişilerle izinsiz paylaşılmaması için yaptığı başvurunun reddedildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişinin işlenen verilerinin 5174 sayılı kanunda öngörülen yükümlülük kapsamında değerlendirileceği belirtilip söz konusu kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan hukuki yükümlülüğü yerine getirilmesi için zorunlu olması şartlarına dayandırılacağı kararlaştırılmıştır. İlgili kişinin talebine yönelik KVKK’nın 7’nci maddesi kapsamında işleme şartlarının ortadan kalkmaması sebebiyle ilgili kişinin talebi ile ilgili KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1303

23/12/2021

Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bu hizmetin verilişi esnasında alınan konum bilgileri ve depolanabilir diğer bilgilerle ilgili kişilerin profillenebileceğinin bu profilleme işleminin meşru menfaat kıstasları altında yapılması gerektiği belirtilip tanımlanmıştır. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1262

16/12/2021

Konu: Sigorta şirketinin banka verilerini hukuka aykırı şekilde işlemesi ve kişisel verilerinin yok edilmesi talebinin cevaplanmaması konulu kurul kararı.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette sigorta şirketinin hukuka aykırı olarak banka verilerini işlediği ve vekil aracılığıyla yaptığı kişisel verilerinin yok edilmesi başvurusunun yanıtsız bırakıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sigorta şirketinin işlediği banka verilerinin KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında kanuni yükümlülükten ötürü işlediğine karar verilmiştir. Veri sorumlusunun ilgili kişinin vekilinin vekaletnamesinde “özel yetki” şartı aranması dolayısıyla başvurusunu cevapsız bırakması noktasında ise vekaletnamede “özel yetki” şartının aranamayacağını belirterek Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi kapsamında red işleminin gerekçesinin açıklanarak yapılması konusunda veri sorumlusunu talimatlandırmıştır.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1258

16/12/2021

Konu: İş akdi sona eren çalışanın özel nitelikli verisinin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, veri sorumlusunun ilgili kişiyi açık rıza vermeye zorladığı, açık rızaya dayanmayan şekilde biyometrik verinin işlendiği ve gizlilik politikasının olmadığı belirtilmiştir. Kurul tarafından yapılan incelemede tarafların eşit konumda olmaması dolayısıyla iş sözleşmesi içerisinde bulunan rıza metnine verilen onayın özgür irade kapsamında değerlendirilemeyeceği, şirkete girerken parmak izi ve yüz tarama verilerini güvenliğin sağlanması amacıyla işlenmesi savunması orantısız bulunmuş ve ölçülülük ilkesine aykırı olduğu değerlendirmiştir. Bununla birlikte, gizlilik politikasının ise kanuni bir yükümlülük olmadığı belirtilmiştir. Sonuç olarak, biyometrik veri işleme faaliyetinin ölçülülük ilkesine aykırılığı kapsamında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/198

05/07/2019

Konu: İlgili kişinin sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı.

Kararı Paylaşın

Karar Özeti:

Kurul ilgili kişi tarafından veri sorumlusu mağazanın özel indirimler ve kampanyalar için sadakat programı kapsamında üyelik ve kart alımı için kişisel veri talep etmesi ve açık rızaya zorlaması ihbarını incelemeye almıştır. Yapılan incelemede öncelikle kullanılan sadakat programı usulünün herhangi bir şekilde ürün veya hizmet sunulmasının ya da ürün veya hizmetten yararlandırılmasında ön şart olamayacağı belirtilmiştir. İlgili olayda ise açık rızanın sadece indirim kapsamında bir ek menfaat sağlanması amacıyla koşul olarak dayatıldığına karar verilerek bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olmadığı belirtilerek KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?