2020/899
24/11/2020
- Sektör: Turizm
- Kanun Maddesi
İlgili kişi tarafından Kurum’a iletilen şikayette; bir dönem Veri Sorumlusu bünyesinde çalışmış olan ilgili kişi , veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği bu sebeple de kişisel verileri hukuka aykırı işlediği, ilgili kişinin kişisel verilerini diğer şirketlere aktardığı, veri sorumlusuna KVKK md.13 kapsamında başvurduğunu ancak herhangi bir dönüş alamadığını ayrıca veri sorumlusunun, özel nitelikli kişisel veri olan ceza mahkumiyeti verisini rıza alınmaksızın ve hatalı işlediğini, bu veriyi diğer şirketlere aktarmış olduğunun kuvvetle muhtemel olduğu iddialarında bulunmuştur. Veri Koruma Otoritesi iddialar ve cevaplarla sunulan belgeler doğrultusunda yapmış olduğu incelemede; veri sorumlusunun kendisine yapılmış olunan başvuruya makul sürede yanıt verdiği ve bu noktada hukuka aykırı bir eylem olmadığı için bir işlem tesis etmemiştir. İlgili kişinin çok sayıda verisinin (özellikle özel nitelikli kişisel verisi olan ceza mahkumiyeti verisi) diğer şirketlere aktarıldığı iddiası hususunda ilgili kişinin kanıtlayıcı bir belge sunmaması sebebiyle bir işlem tesis edilmemiştir. İlgili kişinin, veri sorumlusunun gerekli aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin veri sorumlusu tarafından herhangi bir belge Kurum ile paylaşılmamış bu sebeple işbu hususta veri sorumlusunun Kurula bilgi vermesi konusunda talimat verilmiştir. Son olarak özel nitelikli kişisel verisi olan ceza mahkumiyeti verisinin ilgili kişinin rızası alınmaksızın işlenmiş olduğu iddiasında; şikayete konu verinin ceza mahkumiyeti kapsamına giremeyeceği bu sebeple özel nitelikli veri olmadığı değerlendirmesine varılmış olup, bu verinin işlenmesinin KVKK md.5 f.2 b.(e) kapsamında olduğu için herhangi bir işlem tesis edilmemiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/671
06/07/2021
- Sektör: Telekomünikasyon
- Kanun Maddesi
Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/549
04/06/2021
- Sektör: Özel Sektör
- Kanun Maddesi
Kurula ilgili kişi tarafından iletilen şikayette konu olan işletmeye giriş yaparken kendisinden rızası olmaksızın ateş ölçümünün alındığı belirtilmiştir. Kurul tarafından yapılan incelemede ateş ölçümü verisinin biyometrik veri ve sağlık verisi kapsamına girmediği bu sebeple özel nitelikli kişisel veri kapsamına girmeyeceği belirtilmiştir. Ateş ölçümü için ise pandemi koşulları nedeniyle yayınlanan genelge kapsamında ateş ölçümünün zorunlu olduğu belirtip KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Ateş Ölçümü, Biyometrik Veri , Covid-19, Özel Nitelikli Kişisel Veri
2021/608
22/06/2021
- Sektör: Bankacılık, Özel Sektör
- Kanun Maddesi
Kurula ilgili kişi tarafından iletin şikayette bankacılık faaliyetini gerçekleştirdiği bankanın telefon numarasını güncelleme talebine uymayıp eski telefon numarasıyla veri paylaştığını belirtmiştir. Kurul tarafından yapılan incelemede KVKK Madde 4 içerisindeki şartların dağlanmadığını tespit etmiştir. Sonuç olarak kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Banka, Telefon Numarası , Üçüncü Kişi, Veri Aktarımı
2022/243
17/03/2022
- Kanun Maddesi
Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/224
10/03/2022
- Sektör: Bankacılık, Özel Sektör
- Kanun Maddesi
Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/184
04/03/2022
- Sektör: Özel Sektör, Varlık yönetimi
- Kanun Maddesi
Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin alacak devir sözleşmesiyle devredilmiş telekominasyon borçlarının alacağını devralan veri sorumlusu tahsil etmek amacıyla ilgili kişinin açık rızasını almadan firmayla görüşme yaptığı üçüncü kişi numaralarıyla paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almadığı tespit edilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Alacağın Devri Sözleşmesi, Üçüncü Kişi, Veri Aktarımı
2022/172
24/02/2022
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin Türkiye’deki irtibat bürosu için işe alım yapan yurt dışı merkezli şirketin işe alım belgelerinde talep ettiği özel nitelikli kişisel verilerin işlenmesi için açık rıza almadığı ve ilgili kişinin bu verilerin imhasına yönelik başvurusuna veri sorumlusu tarafından yasal sürede yanıt verilmediği belirtilmiştir. Kurul tarafından yapılan incelemede, irtibat bürosunun yaptığı iş sözleşmesinin veri sorumlusunun kendisine akdedilmesi ile ilgili veri işleme faaliyetinin halihazırda taabi olduğu yabancı mevzuat sebebiyle ile yurt dışında işlemesinin zorunlu olması nedeniyle veri işleme faaliyetinin bir hukuka aykırılık taşımadığını ama açık rızanın alınmasının gerekliliğini belirtmiştir. Veri sorumlusuna ilgili kişi tarafından yapılan başvurunun geçerli olduğu ve bahse konu olan veri işleme faaliyetinin gerektirdiği yegane yolun açık rıza alınması gerekmesi sebebiyle Kurum, veri sorumlusunun başvuruları konusunda azami dikkat ve özeni göstermesi, buna ek olarak ilgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösteren bir belge ile Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2022/103
10/02/2022
- Sektör: Özel Sektör, Sosyal Medya
- Kanun Maddesi
Kurul’a ilgili kişi tarafından iletilen şikayette bir tüzel kişinin unvanında ilgili kişinin adının geçtiği ve şirket hakkındaki icra takibinin sosyal medyada paylaşılmasından ötürü KVKK’nın 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişi kavramı üzerinden gerçek kişi tüzel kişi ayrımı tanımlanmış olup her ne kadar şirketin adında ilgili kişinin adı geçse de sosyal medyadaki paylaşım tüzel kişiliğe yönelik olup KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Sosyal Medya, Takibi, Veri Sorumlusuna Başvuru
2022/31
18/01/2022
- Sektör: Özel Sektör, Sağlık
- Kanun Maddesi
Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin açık rızası olmaksızın kendisine ticari elektronik ileti gönderildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgli kişiye KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında ilgili kişiye veya hasta yakınlarına tıbbi bilginin iletilmesi amacıyla ileti gönderilebilinir lakin somut olayda gönderilen e-posta içeriğinin tıbbi amaçla değil ticari amaçla atıldığı tespit edilmiştir. Sonuç olarak söz konusu kişisel verinin elde edilme amacı dışında kullanılmasından ötürü veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, E-Posta, Ticari Elektronik İleti
2022/6
06/01/2022
- Sektör: Kamu Sektörü, Ticaret Odası
- Kanun Maddesi
Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin eski ortağı olduğu ve herhangi bir hukuki veya idari bağının olmadığı şirkete ait sicil bilgilerinin eski ortaklar başlığı altında yayınladığı ve veri sorumlusu Ticaret odasının ilgili kişinin kişisel verilerin üçüncü kişilerle izinsiz paylaşılmaması için yaptığı başvurunun reddedildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişinin işlenen verilerinin 5174 sayılı kanunda öngörülen yükümlülük kapsamında değerlendirileceği belirtilip söz konusu kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan hukuki yükümlülüğü yerine getirilmesi için zorunlu olması şartlarına dayandırılacağı kararlaştırılmıştır. İlgili kişinin talebine yönelik KVKK’nın 7’nci maddesi kapsamında işleme şartlarının ortadan kalkmaması sebebiyle ilgili kişinin talebi ile ilgili KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2021/1303
23/12/2021
- Sektör: Araç Kiralama, Özel Sektör
- Kanun Maddesi
Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bu hizmetin verilişi esnasında alınan konum bilgileri ve depolanabilir diğer bilgilerle ilgili kişilerin profillenebileceğinin bu profilleme işleminin meşru menfaat kıstasları altında yapılması gerektiği belirtilip tanımlanmıştır. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Bulut Bilişim, Kara Liste, Meşru Menfaat, Ortak Veri Sorumluluğu, SaaS, Veri Profilleme
2021/1262
16/12/2021
- Sektör: Özel Sektör, Sigorta
- Kanun Maddesi
Kurul’a ilgili kişi tarafından iletilen şikayette sigorta şirketinin hukuka aykırı olarak banka verilerini işlediği ve vekil aracılığıyla yaptığı kişisel verilerinin yok edilmesi başvurusunun yanıtsız bırakıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sigorta şirketinin işlediği banka verilerinin KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında kanuni yükümlülükten ötürü işlediğine karar verilmiştir. Veri sorumlusunun ilgili kişinin vekilinin vekaletnamesinde “özel yetki” şartı aranması dolayısıyla başvurusunu cevapsız bırakması noktasında ise vekaletnamede “özel yetki” şartının aranamayacağını belirterek Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi kapsamında red işleminin gerekçesinin açıklanarak yapılması konusunda veri sorumlusunu talimatlandırmıştır.
İlgili GDPR kararlarını görmek ister misin?
2021/1258
16/12/2021
- Sektör: E-ticaret, Özel Sektör
- Kanun Maddesi
İlgili kişi tarafından Kurul’a iletilen olayda, veri sorumlusunun ilgili kişiyi açık rıza vermeye zorladığı, açık rızaya dayanmayan şekilde biyometrik verinin işlendiği ve gizlilik politikasının olmadığı belirtilmiştir. Kurul tarafından yapılan incelemede tarafların eşit konumda olmaması dolayısıyla iş sözleşmesi içerisinde bulunan rıza metnine verilen onayın özgür irade kapsamında değerlendirilemeyeceği, şirkete girerken parmak izi ve yüz tarama verilerini güvenliğin sağlanması amacıyla işlenmesi savunması orantısız bulunmuş ve ölçülülük ilkesine aykırı olduğu değerlendirmiştir. Bununla birlikte, gizlilik politikasının ise kanuni bir yükümlülük olmadığı belirtilmiştir. Sonuç olarak, biyometrik veri işleme faaliyetinin ölçülülük ilkesine aykırılığı kapsamında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
2019/198
05/07/2019
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul ilgili kişi tarafından veri sorumlusu mağazanın özel indirimler ve kampanyalar için sadakat programı kapsamında üyelik ve kart alımı için kişisel veri talep etmesi ve açık rızaya zorlaması ihbarını incelemeye almıştır. Yapılan incelemede öncelikle kullanılan sadakat programı usulünün herhangi bir şekilde ürün veya hizmet sunulmasının ya da ürün veya hizmetten yararlandırılmasında ön şart olamayacağı belirtilmiştir. İlgili olayda ise açık rızanın sadece indirim kapsamında bir ek menfaat sağlanması amacıyla koşul olarak dayatıldığına karar verilerek bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olmadığı belirtilerek KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.
İlgili GDPR kararlarını görmek ister misin?
- Etiketler: Açık Rıza, Hizmet Şartı, Sadakat Sistemi