2021/241
18/03/2021
- Sektör: Sigortacılık
- Kanun Maddesi
Karara konu olayda, veri sahibi olan ölenin poliçe ibrazının gerekli olması nedeniyle, çeşitli tarihlerde veri sorumlusundan söz konusu poliçelerin tesliminin talep edildiği, ancak veri sorumlusunun ilgili kişiye olan cevabı ile bunu reddettiği; bunun üzerine yeniden ihtarname düzenlenip veri sorumlusuna başvurulduğu ancak veri sorumlusunun talebi karşılamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, poliçeyi özetler bilgilerin de kişisel veri niteliği taşıdığı, veri sorumlusu tarafından poliçeyi özetler belgenin ilgili kişiye verildiği ve bu anlamda KVKK’nın 11’inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.
- Etiketler: Hayat Sigortası, İlgili Kişiye Cevap Verilmemesi, Miras, Poliçe
2021/230
11/03/2021
- Sektör: Kamu Sektörü
- Kanun Maddesi
Karara konu olan olayda ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından kendisinin erişimi olduğu sistem üzerinden, kişisel verilerine eriştiği ve bu şekilde gizliliğin ihlal edildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu kurum bünyesinde, kişilerin kimlik numaraları ile SGK sorgulaması yapılması kapsamında işlenen kişisel verilerin özel hayatın gizliliğini ihlal ettiği, kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Boşanma, SGK, TCKN, Veri İşleme Şartı
2021/228
11/03/2021
- Sektör: Hukuk
- Kanun Maddesi
Karara konu olan olayda ilgili kişinin telefon numaralarına mesajları ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi bulunduğu, avukat, veri işleme faaliyetini hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla gerçekleştirdiği, ilgili kişi tarafından usulüne uygun olarak yapılan ve taraflara tebliğ edilen bir başvurunun bulunmadığı, borcun alacaklısı şirket ile telekomünikasyon şirketi arasında vekalet ilişkisi bulunduğu, avukatların vekil olarak müvekkillerinin her türlü hak ve menfaatlerini gözetmek durumunda olduğu, ilgili kişinin ismine ulaşılmasının, hak arama hürriyeti kapsamında değerlendirilmesi gerektiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun hukuk bürosu adına hareket eden ilgili avukat olduğu, ilgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin yapılan başvuruda, veri sorumlusunun bunu teslim aldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Avukat, İcra Takibi, PTT, SMS, Telefon Numarası , Telekomünikasyon, Ticaret Sicil Gazetesi
2021/227
11/03/2021
- Sektör: Eğitim
- Kanun Maddesi
Karara konu olan olayda ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmiş, veri sorumlusuna yaptığı başvuruda ise yasal süre içerisinde yanıt alamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle olayda uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği, veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Açık Rıza, Anket, Cep Telefonu, Eğitim Kurumu, Reklam, SMS, Veri İşleme Şartı, Yasal Süre
2021/205
09/03/2021
- Sektör: Özel Sektör
- Kanun Maddesi
Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.
2021/85
03/02/2021
- Sektör: Özel Sektör
- Kanun Maddesi
İlgili kişinin ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerini işlenmesine ilişkin bir aydınlatmanın bulunmadığı, 26.06.2019 tarihinde veri sorumlusundan buna ilişkin bilgi talep ettiği, veri sorumlusunun 23.07.2019 tarihindeki cevabının ise yeterli bulunmadığı; zira veri sorumlusunun internet sitesinde bulunan ‘‘Kişisel Veriler Politikası’’ (Politika bölümünün bir aydınlatma olmadığı, ‘‘belirli ve açık’’ olmadığı, Politikada IP, Çerez gibi verilerin sayıldığı ancak verilen cevapta bu konulara ilişkin bir bilgilendirmenin yapılmadığı, cevap metni ile Politika’nın çeliştiği, Politikada veri bazında bir bilgilendirmenin bulunmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun detaylı bilgilendirme için ilgili kişileri Aydınlatma Metnine yönlendirmesi gerekliliğini yerine getirmediği, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer alan politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı belirtilmiştir. Bu kapsamda veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına karar verilmiştir.
2021/79
03/02/2021
- Sektör: Bankacılık
- Kanun Maddesi
İlgili kişinin veri sorumlusu bankanın kredi kartını kullandığı, banka, ilgili kişinin akrabalarını arayıp ilgili kişinin borcu hakkında bilgi verdiği, ilgili kişinin 15.11.2019 tarihinde veri sorumlusuna başvurarak buna ilişkin bilgi talep ettiği; veri sorumlusunun ise 19.11.20219 tarihinde verdiği cevapta, ilgili kişinin borcu için arandığı ancak ulaşılamadığından diğer kişilerin arandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğü, ilgili kişinin banka ile ilişkisinin yakınları ile paylaşılmasının KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: Banka, Cep Telefonu, Kredi Kartı, Risk Merkezi, Telefon Numarası , Veri Güvenliği, Veri İşleme Şartı
2021/78
03/02/2021
- Sektör: Telekomünikasyon
- Kanun Maddesi
Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, müşteri pasaport fotoğraflarının depolanıp üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli denetimleri yapmadığı veya yaptırmadığı, daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların, telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın KVKK’ya aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı ve buna yönelik herhangi bir bildirim yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.
- Etiketler: BTK, Cep Telefonu, Pasaport, Portal, Telekomünikasyon, Whatsapp
2021/32
12/01/2021
- Sektör: Bankacılık
- Kanun Maddesi
Veri sorumlusu banka aracılığıyla, ilgili kişinin kişisel verilerinin sorgulandığı, bu bilgilerin boşanma davası dosyasına sunulduğu, kişisel verilerin kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğin ihlal edildiği, veri sorumlusu bankaya yapılan başvuru 30 günlük yasal süre içerisinde cevaplanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlularının her türlü teknik ve idari tedbiri almaları için bilgilendirilmeleri gerektiği, veri sorumlusu tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki varlığından haberdar olunmasına rağmen veri ihlal bildirimi yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.
- Etiketler: Açık Rıza, Banka, Boşanma Davası, İnternet Sitesi, Özel Hayatın Gizliliği
2021/891
03/09/2021
- Sektör: Telekomünikasyon
- Kanun Maddesi
Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun Hizmet Koşullarının kullanıcı sözleşmesi niteliğinde olduğu, kullanıcıların kişisel verilerinin yurtdışına aktarımına ilişkin alınan açık rızanın tek metinde ayrılma bir biçimde ilgili kişiye sunulmasının açık rızanın özgür iradeyle açıklanması unsurunu zedelediği, uygulamanın kullanılmasının aktarım şartına bağlandığı ve bu kapsamda KVKK’nın 4’üncü maddesinde yer alan Hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edildiği belirtilmiştir. İşlenilen tüm verilerin aktarımına ilişkin istenilen açık rızaların işlendikleri amaçla orantılı ve sınırlı olmadığı belirterek KVKK’nın 4’üncü maddesinin ihlal edildiği, veri sorumlusunun Türkiye’de bulunan kişilerden elde ettiği kişisel veriler üzerinde yaptığı faaliyetlerin yurt dışına aktarım niteliğinde olduğu ve ilgili uygulamanın KVKK’nın 9’uncu maddesine aykırı şekilde gerçekleştirildiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca kişisel verilerin hukuka aykırı şekilde işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmaması sebebiyle veri sorumlusu hakkında 1.950.000-TL idari para cezası uygulanmasına karar verilmiştir.
2019/308
18/10/2019
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan inceleme sonucunda, avukatlar/ hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişiler ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkan tanıyan yazılım/program/uygulamalar hakkında ilgili uygulamaları kullananlar hakkında 5271 sayılı Ceza Muhakemesi Kanunu’nun 158’inci maddesi hükmü uyarınca ihtaren ilgili Cumhuriyet Başsavcılıklarına bildirimde bulunulacağına, ve veri sorumluları hakkında KVKK’nın 18’inci maddesi çerçevesinde idari işlem tesis olunacağına karar verilmiştir.
2019/271
18/09/2019
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından, veri sorumluları tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak; ihlalinin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler, ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerektiğine karar verilmiştir.
- Etiketler: Başvuru Usulü, Veri İhlal Bildirimi
2019/10
24/01/2019
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından; KVKK’nın 12’nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına, ve Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına karar verilmiştir.
- Etiketler: Banka, Veri İhlal Bildirimi, Veri Sorumlusuna Başvuru
2019/9
24/01/2019
- Sektör: Kamu Sektörü, Özel Sektör
- Kanun Maddesi
Kurul tarafından KVKK’nın 14’üncü maddesinin (1) numaralı fırkası uyarınca ilgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı, ilgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği, İlgili kişi tarafından yapılan başvuruya veri sorumlusunca KVKK’da tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, KVKK’da veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceğine karar verilmiştir.
- Etiketler: Başvuru Usulü, Veri Sorumlusuna Başvuru
2018/119
16/10/2018
- Sektör: Özel Sektör
- Kanun Maddesi
Kurul tarafından yapılan incelemeler neticesinde, ilgili kişilerin rızaları alınmadan veya KVKK’nın 5’inci maddesinin (2) numaralı fırkasında hüküm altına alınan işleme şartlarını sağlamada, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta gömdermek suretiyle rerklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanun’un 15’inci maddesinin (7) numaralı fırkası uyarınca derhal durdurulmasına karar verilmiştir.
- Etiketler: Açık Rıza, Aydınlatma Yükümlülüğü, E-Posta, SMS
