• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2018/75

05/07/2018
Konu: Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme neticesinde, arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2018/68

28/06/2018
Konu: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler sonucunda, 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımında Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2018/63

31/05/2018
Konu: Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verileri işleme yetkisi olanlar tarafından, yetkisi ve amacı dışında veri işlenmesi hususunun değerlendirilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından verilen ilke kararı sonucunda; veri sorumlusu nezdinde bulundukları pozisyon ve/veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil edeceğine karar verilmiştir. Bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik her türkü teknik ve idari tedbirin alınması hususunda veri sorumluları bilgilendirilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2018/32

02/04/2018
Konu: 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumluları belirlenmiş olup bu doğrultuda; Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler, 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler, 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar ve 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler kayıt yükümlülüğünden istisna tutulmuştur.

Ceza: İdari yaptırım uygulanmamıştır.

2018/10

31/01/2018
Konu: Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde, Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında, veri sorumlularınca alınması gereken yeterli önlemler belirlenmiştir.

Ceza: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in kabulüne ve Resmi Gazetede yayımlanmasına karar verilmiştir.

2017/62

21/12/2017
Konu: Banko, Gişe , Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması Hakkında İlke Karar

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, KVKK’nın 12’nci maddesi uyarınca kişisel; banko/gişe/ masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2017/61

21/12/2017
Konu: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerim Korunması Hakkında İlke Karar.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olduğunu öğrenme gibi konularda hizmet veren birçok uygulama ve internet sitesi bulunduğu tespit edilmiştir. Bu kapsamda, kişisel verilerin işlenmesi eylemlerinden birinin gerçekleştirilebilmesi için öncelikle KVKK’nın 5 ve 6’ıncı maddelerinde sayılan işleme şartlarından birinin bulunması ve ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerektiği belirtilerek ilgili internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen işleme faaliyetlerin Kanun’un 15’inci maddesinin 7 numaralı fıkrası uyarınca derhal durdurulmasına karar verilmiştir.

Ceza: İlgili mobil uygulama ve internet sitelerin tarafından gerçekleştirilen veri işleme faaliyetinin derhal durdurulmasına karar verilmiştir.

2021/962

21/09/2021
Konu: İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine erişim sağlanması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, özel bir hastane çalışanı doktorunun ilgili kişiye ait Sağlık Bakanlığı’nın e-nabız uygulamasına girdiğinin tespit edildiği, bununla birlikte yapılan araştırma sonucunda hekimin sekreteri tarafından ilgili kişinin bilgilerini elde ettiği anlaşılmıştır. Bu kapsamda, e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğuna karar verilmiştir. Bu doğrultuda KVKK’nın 12’inci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: Ceza miktarı açıklanmamıştır.

2019/165

31/05/2019
Konu: Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine.

Kararı Paylaşın

Karar Özeti:

Kurulun vermiş olduğu kararda, veri sorumlusu spor salonlarında özel nitelikli kişisel veri işlendiğini (biyometrik veriler), üye doğrulama işleminin biyometrik veri işlemeksizin başka yöntemlerle de gerçekleştirilebileceğini vurgulamıştır. Ayrıca Özel Nitelikli Kişisel Veri işlenmesi için kanunda açıkça hüküm bulunmaması halinde açık rıza gerektiği ve açık rızanın da servis/hizmet alımına bağlı olmaması gerektiğini dile getirmiştir. Bunun sonucunda Kurul, KVKK’nın 4’üncü maddesi gereği Kişisel Veri işleme ilkelerine aykırılık bulunduğuna ve 12’nci maddesinin 1 numaralı fıkrası gereği açık rızanın alınmadığı tespitiyle idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7’nci Maddesi gereği ivedilikle yok edilmesi, eğer ilgili özel nitelikteki verilerin üçüncü kişilere aktarılması söz konusu ise, yok edilmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.

2021/511-512-513

20/05/2021
Konu: Avukatların icra takip dosyalarındaki kişisel verilere vekaletname olmaksızın hukuka aykırı olarak erişim sağlandığına ve Adalet Bakanlığı tarafından icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak aktarılmasına ilişkin ihbarlar yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından Avukatlık Kanununun 46’ncı maddesi uyarınca ve KVKK’nın 5’inci maddesinin (a) bendinde düzenlenen ‘’kanunlarda açıkça öngörülmesi’’ şartına dayanılarak alacaklı vekili tarafından borçlunun alacaklı olduğu icra dosyalarına ilişkin olarak kişisel veri işleme faaliyeti yürütebileceğinden avukatların vekaletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka aykırı olarak erişim iddiası bakımından KVKK kapsamında yapılacak bir işlem bulunmadığına; ayrıca KVKK’nın 8’inci maddesinin (3) fıkrası ‘’kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.’’ Uyarınca icra tevzi bürosunda görevli personel eliyle borçlunun alacaklı olduğu icra dosyaları hakkında görevlerini yerine getirebilmeleri için kişisel veri aktarımı yapabileceğinden, KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

2021/470

06/05/2021
Konu: İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, ilgili kişi tarafından yemek kartına ait hesap hareketlerinin tarafına iletilmesine ilişkin veri sorumlusuna yaptığı başvuruda, veri sorumlusuna gmail hesabından ilettiği kişisel verilerine ek olarak kimlik doğruluğunun tespiti amacıyla telefon numarasının aranmasının hukuka aykılığına ilişkin hususlar değerlendirilmiştir. Bu kapsamda, Kurul tarafından KVKK’nın 11’inci maddesinin 1 numaralı fıkrasının b bendindeki hükmü kapsamında ilgili kişilnin kendisiyle ilgli kişisel veriler işlenmişse bilgi talep etme hakkının, söz konusu veriye erişim hakkkını da kapsadığı belirtilmiştir. Bununla birlikte, KVKK’nın 12’inci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğu beliritlmiştir. Bu doğrultuda, veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyaların şifrelenmesinin ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin derhal kişiyle paylaşılacağının belirtilmesinin kişisel verilere erişim hakkının engellenmediği, aksine KVKK’nın 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edilmesine yönelik uygun bir tedbir olduğuna karar verilmiştir.

Ceza: KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

2021 / 427

27/04/2021
Konu: Bir e-ticaret sitesi nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkilerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda taraflar arasında imzalanan “Gizlilik Sözleşmesi” öncesinde ” veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişim meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı belirtilmiştir. Bununla birlikte ihlalin veri sorumlusu tarafından tedarikçi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda, veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal ettiğine karar verilmiştir.

Ceza: Veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1’nci fıkrası uyarınca 600.000,00-TL idari para cezası ve 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılması sebebiyle 200.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/426

27/04/2021
Konu: Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme.

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 5 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına, KVKK’nın 12’nci maddesinin 5 numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Karraı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünün yerine getirilmemesi sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/407

20/04/2021
Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

2021/389

20/04/2021
Konu: Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Kanunun 5’inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12’nci maddesinin 1 numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.