2021/761
06/08/2021
- Sektör: Sağlık
- Kanun Maddesi
İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği, raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü, hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi ile kendisine teslim ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, hastanenin otomasyon sisteminden çıktı alması ile sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı belirtilmiştir. Bu kapsamda, veri sorumlusunun politikalar, kişisel verilerin işlenmesinde yetki kapsamları ve alınan eğitimleri kuruma sunma, sistemin güncellenmesi, yetki matrisini sağlama konularında talimatlandırılmasına karar verilmiştir.
2021/664
06/07/2021
- Sektör: Enerji
- Kanun Maddesi
Veri sorumlusu tarafından, müşterilerin ödemelerini veri sorumlusu vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdiği, abonelerden, sözleşme tanzim edilmesi işlemleri esnasında talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, bankadan veri sorumlusuna aktarıldığı, aktarılan verilerin veri sorumlusunun sisteminde yer aldığı, bu verilerin sözleşme kapsamındaki işlerin ifası için zorunlu olduğu, söz konusu verilerin sistemde yer almamasının şirketin meşru menfaatlerine zarar vereceği, otomatik ödeme talimatı ile fatura ödeyen abonelerin faturalarında gerekli düzeltmelerin yapıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili kişinin söz konusu banka adı bilgisinin faturada yer almasının hak ihlali yaratmadığı, faturada yapılan değişiklikler ile ilgili kişinin talebinin yerine getirildiğinin anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.
- Etiketler: Abonelik, ATM, Banka, EPDK, Fatura, Müşteri Sözleşmesi, Otomatik Ödeme Talimatı, PTT
2021/666
06/07/2021
- Sektör: Sağlık
- Kanun Maddesi
Veri sorumlusu tarafından, evrak trafiği yoğunluğu nedeniyle ilgili kişinin başvurusuna dönüş yapılamadığı, doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğu, hizmet veren kişilerin KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, şüphelilerin görevliye fark ettirmeden gizlice ekran görüntüsü çektikleri ve bu hususun zapt altına alındığı, hastanenin detaylı idari ve teknik tedbirler aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, gerekli teknik ve idari tedbirler alınsa da söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
2021/670
06/07/2021
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusu tarafından, ilgili kişiye gerekli aydınlatmalar yapılarak kişisel verilerinin işlendiği, ilgili kişinin şirket prensiplerine uygun olarak değerlendirilebilmesi için ve diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği, iş başvurusunun kabul edilmemesinin akabinde, işlenen kişisel verilerin ilgili kişinin talebi üzerine yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirmesine esas genel gerekçesinin muhafaza edildiği, saklama amacının ilgili kişiye iletildiği, ilgili kişinin sonraki başvurusunu müteakip ilgili kişiye ait kişisel verilerin ilk periyodik imha işleminde silineceği bilgisinin iletildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verinin işlenmesinin sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek resen imha işleminin bu duruma uygun olmayacağı, ilgili kişinin talebi üzerine imha işleminin gerçekleştirilmesinin gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
2021/603
22/06/2021
- Sektör: E-ticaret
- Kanun Maddesi
İlgili kişinin veri sorumlusuna yaptığı başvuruda bulunması gereken hukuki niteliklerin bulunmadığı, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirildiği, ilgili kişinin bu adreste olmaması nedeniyle teslimatın gerçekleşmediği, iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslim amacıyla taraflarına iletilen bilgiler neticesinde elde edildiği, taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlardan yasal zorunluluk nedeniyle silinemediği, bu hususun tekrar yaşanmaması için mevcut cari kayıtlar güncellenmiş ve ilgili kişinin yeni siparişlerde verdiği güncel bilgiler doğrultusunda yeniden cari açılımın yapılmış olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verilerinin silinmesi gereken sebebin oradan kalkmadığı ve cari bilgilerin pasifize edildiği, ilgili kişinin veri sorumlusuna yaptığı başvuruda ise ilgili kişinin yönlendirilmediği, eksik hususlara yönelik gerekli aksiyonların alınmadığı ve bunların da hukuka aykırılık teşkil ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Açık Rıza, E-Ticaret, İnternet Sitesi
2021/584
09/06/2021
- Sektör: Sigortacılık
- Kanun Maddesi
İlgili kişinin cep telefonu numarasına bir SMS gönderilmiş; kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı ancak birçok kişisel verisinin şirkette bulunduğuna ilişkin veri sorumlusuna başvuruda bulunulduğu, şirket tarafından gönderilen cevapta finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği ancak daha sonrasında ilgili kişinin bu listelerden çıkarıldığı gibi yanıtlara ver verilmiş; yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgi verilmemiş, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin de hukuka aykırı olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişisel veri işleme faaliyetinin meşru menfaat çerçevesinde değerlendirilemeyeceği, ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği, ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
2021/572
09/06/2021
- Sektör: Eğitim
- Kanun Maddesi
İlgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafın yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü, ilgili kişinin kişisel verilerinin silinmesini veri sorumlusundan talep ettiği, bahse konu fotoğrafın aktif olarak kullanılmadığı, fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusunun veri sorumlusunun ‘‘Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’’ ve KVKK’nın 15’inci maddesinin (5) numaralı fıkrası gereği gerekli dikkat ve özeni göstermesi hususunda talimatlandırılmasına; veri işleme faaliyetlerinin revize edilmesi gerektiği yönünde de bilgilendirilmesine karar verilmiştir.
2021/548
04/06/2021
- Sektör: Dijital Platform
- Kanun Maddesi
Dijital platformun ilgili kişiye pazarlama faaliyetleri kapsamında yaptığı aramalar ve sonucu ilgili kişinin irtibat formu ile veri sorumlusuna başvurduğu ancak yeterli bir yanıt alamadığı, işlenen suçun kabul edildiği ancak detay içermeyen cevap ile geçiştirilmeye çalışıldığı belirtilmiştir. Dijital platform tarafından, ilgili kişinin kendilerinin müşterileri olmadığını ve ilgili kişiyi arayan numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar faaliyet gösteren bir bayiye tahsis edildiği; bahsi geçen aramanın kendilerinin bilgisi ve izni dahilinde yapılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, bayinin, kendi iradesiyle ve dijital platformdan bağımsız şekilde ilgili kişinin açık rızası ve kanunda belirtilen veri işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle veri sorumlusu sıfatını haiz olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Abonelik, Açık Rıza, Cep Telefonu, CRM, E-Posta, Veri İşleme Şartı
2021/545
04/06/2021
- Kanun Maddesi
Veri sorumlusu hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, ilgili kişi tarafından da buna yönelik olarak açık rıza verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu, veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikayetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Açık Rıza, Cep Telefonu, Covid-19, Hastane, Reklam, SMS, Veri İşleme Şartı, MERSİS
2021/424
27/04/2021
- Sektör: Bankacılık
- Kanun Maddesi
İlgili kişinin 2017 yılında ev kredisi çekmek isterken daha önce kendisine yönelik olarak icra takibi başlatıldığı, yıllar içinde Varlık Yönetimi Şirketi tarafından sürekli olarak ilgili kişinin arandığı, ilgili kişinin o kişinin kendisi olmadığı bilgisini Şirkete iletmesine rağmen bu durumun sürdüğü, icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak icra takibinin başlatıldığı ve çeşitli bilgilendirmelerin, ispatların sürmesine karşın bankanın ilgili kişiyi mağdur ederek icra takibi yapmakta ısrar ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin banka tarafından düzeltildiği, ilgili kişiye ait kişisel verilerin veri sorumlusu banka tarafından veri sorumlusu Varlık Yönetim Şirketine aktarımının hukuka uygun olduğu, Varlık Yönetim Şirketinin ilgili kişi ve banka tarafından 2017 yılı içinde yapılan bildirimlere karşın ilgili kişinin dosyası hakkında bir şikayet kaydı oluşturmamasının, ilgili kişinin var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmesinin Kanunun 12’nci maddesini ihlal ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
2021/422
27/04/2021
- Sektör: Özel Sektör
- Kanun Maddesi
Veri sorumlusu ile ilgili kişinin iş ilişkisinin sona ermesinden sonra, veri sorumlusu aydınlatma yükümlülüğünü yerine getirmeden ve ilgili kişinin fotoğrafını açık rızasını almadan herkese açık olarak paylaşmış, ilgili kişi bunun kaldırılmasını talep etmiş ancak kaldırılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili paylaşımda ilgili kişinin net şekilde fotoğraftan seçilebildiği, veri sorumlusunun herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı olarak işlediği ve uygun güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almadığı, gelen talep doğrultusunda da yasal süre içerisinde paylaşımın silinmediği/yok edilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Açık Rıza, Reklam, Sosyal Medya, Veri Anonimleştirme
2021/361
13/04/2021
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
2021/358
13/04/2021
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmiş olmasına rağmen, ilgili kişiye SMS’ler ve telefon aramalarının gittiği, ilgili kişinin buna ilişkin veri sorumlusuna yaptığı başvurunun mevzuatta belirlenen süre sonrasında cevaplanıp yetersiz kaldığı, verilen cevapta kişisel verilerin yurt dışına aktarılabileceği, ilgili kişinin buna yönelik açık rızasının bulunmadığı, KVKK’nın 9’uncu maddesindeki istisnaların da olayda yer almadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili iletiler kapsamında ilgili kişinin açık rızasına gerek olmadığı, veri sorumlusunun gerekli yasal bilgilendirmeyi yapması nedeniyle hukuka aykırılık bulunmamasıyla birlikte, ilgili kişinin kişisel verilerinin silinmesini talep etmesi nedeniyle veri sorumlusunun bunu kabul etmemesinin hukuka aykırı olduğu belirtilmiştir. Bu kapsamda, ilgili kişilerin başvurularını cevaplarken gerekli dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Banka, E-Ticaret, Kredi Kartı, SMS
2021/333
05/04/2021
- Sektör: Sigortacılık
- Kanun Maddesi
Veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait bilgilerinin paylaşıldığı, üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, konuya ilişkin ilgili kişinin veri sorumlusuna yapmış olduğu başvuruya da cevap verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli tedbirleri aldığı ve aydınlatma metnini güncellediği; bununla birlikte hangi kişisel veri şartına dayandığı konusundaki eksikliğin giderilmesi hususunda ve ilgili kişilerin başvurularının uygun yanıtla sonuçlandırılması hususunda talimatlandırılmasına karar verilmiştir.
2021/242
18/03/2021
- Sektör: Turizm
- Kanun Maddesi
İlgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin mahkeme dosyasına ve baro şikayet dilekçesine eklendiği, veri sorumlusuna yapılan başvuruda ise yeterli cevabın alınamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya ilişkin olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligatların kontrolüne yönelik olduğu, 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığı, Voucher dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.
