• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle

2020/787

09/10/2020
Konu: Sağlık sektöründe faaliyet gösteren bir şirketin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

İhlalin veri sorumlusundan değil bir uygulamadan kaynaklandığı, veri sorumlusunun ihlali kısa zamanda fark ettiği, etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık kaynaklardan rahatlıkla elde edilebileceği, veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim gerçekleştireceğini belirttiği, ihlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olduğu, veri sorumlusunun makul teknik ve idari tedbirleri almış olduğu dikkate alındığında; Kanunun md.12 kapsamında yapılacak ilave bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

2020/769

08/10/2020
Konu: İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, Kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı KVK Kanunu’nun 07.04.2016 itibariyle yürürlüğe girdiği, söz konusu tarihler itibariyle Kanun’un yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5. maddesinde yer alan ‘kanunlarda açıkça öngörülme’ ve ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine, igili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna, ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak somut delile rastlanılamadığından Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/766

08/10/2020
Konu: Bir banka tarafından Kurul Kararı ile verilen talimatların gereğinin yerine getirilmemesi hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu banka hakkında; internet sayfasında aydınlatma metni yerine veri sorumlusunun Kişisel Verilerin İşlenmesi ve Korunması Politikasına link verildiği, aydınlatma yükümlülüğünün gereğince yerine getirilmediği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca KVKK’nın5înci ve 6’incı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak cevap yazısı ile ekinde herhangi bir ifadeye ve tesvik edici belgeye yer verildiğinden bahisle aydınlatma yükümlülüğünün usulüne uygun şekilde yerine getirilmemesi dolayısıyla KVKK’nın 15’inci maddesinin 5 numaralı fıkrasına aykırı hareket edildiğine kanaat edilerek KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının c bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 120.000,00-TL idari para cezası uygulanmıştır.

2020/765

08/10/2020
Konu: Bir banka tarafından Kurul kararı ile verilen talimatın gereğinin yerine getirilmemesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemler sonucunda, aydınlatma metninin kategorik şekilde ve her bir işleme faaliyeti özelinde olacak şekilde yenilenmesine yönelik veri sorumlusunun talimatlandırılmış olmasına karşın, veri sorumlusu tarafından talimatlandırma kapsamında gerekli işlemlerin yapılmamış olması sebebiyle ve aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyuacak USul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmemesi sebebiyle KVKK’nın 15’inci maddesinin 5 numaralı fıkrası ve 18’inci maddesinin 1 numaralı fıkrasına aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 120.000,00-TL idari para cezası uygulanmıştır.

2020/744

29/09/2020
Konu: Bir bankanın veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde veri ihlalinin bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği, çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten e-postalara ilişkin kayıtların incelenmesi neticesinden çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanu e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği, söz konusu müşterilerinin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilemem kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu, veri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde ihlalden 346 banka müşterisinin etkilendiği, çalışana verilen “Kişisel Verilerin Korunması Kanunu” eğitiminin yeterli olmadığının anlaşıldığı, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden ola e-postanın DLP sistemleri tarafından engelllenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirebilmesi sebebiyle veri aktarımının önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz olduğu, banka tarafından alınan teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğuna karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi kapsamında 225.000-00-TL ve 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi sebebiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca 50.000,00-TL olmak üzere toplam 275.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/755

29/09/2020
Konu: İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, ilgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat Mülkiyeti Kanunu’nun 22. maddesinde yer alan hüküm uyarınca gerçekleştirildiği dikkate alınarak, veri sorumlusu site yönetimi tarafından ilgili kişiye iletilen cevap metninde yer verilen açıklamaların ilgili kişinin iddiasına konu hususları açıklayıcı nitelikte olduğuna, bu çerçevede, söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

2020/746

29/09/2020
Konu: İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesi kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına, ilgili kişilerin KVKK kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/715

17/09/2020
Konu: Bir e-ticaret şirketinin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına ve ihlalden etkilenen kişilere en kısa sürede bildirimin gerçekleştirilmiş olması sebebiyle ayrıca bir işlem yapılmasına gerek bulunmadığına karar verilmiştir.

Ceza: 165.000 TL idari para cezası kesilmiş ve talimatlandırılmasına karar verilmiştir.

2020/710

17/09/2020
Konu: İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, bir icra dosyasının tarafı olan ilgili kişinin akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi iddiası ile ilgili kişinin kurula yaptığı başvuruya istinaden kurulun yapmış olduğu inceleme sonucunda; İcra ve İflas Kanunu madde 89 kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, bu veri işleme faaliyetinin KVKK’nın 5’inci maddesinin 2 numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/691

10/09/2020
Konu: İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda, ilgili kişinin cep telefon numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, ancak ilgili kişinin açık rızası olmadığından bahisle Kurum’a şikayette bulunulmuştur. Kurul tarafından yapılan inceleme neticesinde, KVKK’nın 5’inci maddesinde belirtilen işleme şartlarının mevcut olmaması sebebiyle veri işleme faaliyetinin KVKK’ya aykırılık teşkil ettiği, bu kapsamda veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin birinci fıkrasının a bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.

2020/667

03/09/2020
Konu: Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet dilekçesi kapsamında yapılan incelemeler sonucunda, ilgili kişi tarafından ailesi adına düzenlettiği sağlık poliçesini yenilemek amacıyla veri sorumlusu sigorta şirketine yaptığı başvurunun sağlık verilerinin işlenmesine ilişkin ilgili kişinin açık rızasının istenmesine ilişkin olarak, sağlık poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği ve poliçede yer alan sağlık verilerinin KVKK’nın 6’ncı maddesinin 3 numaralı fıkrası kapsamında işlenemeyeceği ve ancak açık rıza alınması yoluyla ileme faaliyetinin gerçekleştirilebileceğine karar verilmiştir.

Ceza: Tesis edilecek bir işlem bulunmadığına karar verilmiştir.

2020/649

27/08/2020
Konu: 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde biyometrik imza verisinin kullanılması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen başvuru ile, 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) sözleşme şekillerini düzenleyen hükümleri çerçevesinde imzaların yalnızca el ile atılması zorunluluğu kapsamında biyometrik imzaların KVKK’nın 6’ncı maddesinin üçüncü fıkrası uyarınca istisna kabul edilip edilmeyeceğine ilişkin olarak, ıslak imza ve biyometrik imzanın benzer yönleri bulunmakla birlikte, farklı kavramlar olduğu belirtilmiştir. Bu kapsamda, ıslak imzadan farklı olarak biyometrik imzanın biyometrik veri niteliğini haiz olması sebebiyle TBK’nın 15’inci maddesinde yer alan hükmün KVKK’nın 6’ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği bu sebeple ancak açık rıza ile temin edilebileceğine karar verilmiştir.

Ceza: Tesis edilecek bir işlem bulunmadığına karar verilmiştir.

2020/608

11/08/2020
Konu: İlgili kişinin, herhangi bir şekilde bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından veri sorumlusu havayolu şirketinden bilet satın almamasına rağmen uçak bileti satın aldığına dair uçuş bilgilerinin de yer aldığı SMS alması dolayısıyla veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusunun sistemlerinde kişilere manuel olarak ilgili kişi dışında farklı kişilerin telefon bilgilerinin girilerek bilet bilgilerinin iletilmesine yönelik sistem sağlandığı ve telefon numaralarının sisteme numarayı ekleyen kişiye ait olup olmadığını sorgulayacak bir alt yapının bulunmaması sebebiyle KVKK madde 12 kapsamında gerekli teknik ve idari tedbirlerin alınması ilişkin herhangi bir ihlalin bulunmadığına, bununla birlikte veri sorumlusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde süresi içerisinde ilgili kişinin yanıtlanması hakkında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/622

11/08/2020
Konu: 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun imha edilmesine yönelik ilgili kişinin babası tarafından veri sorumlusuna başvurulması ve cevap alınamaması üzerine ilgili kişinin kendisi tarafından Kuruma şikayette bulunulması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, gerçeğe aykırı olarak düzenlendiği iddia edilen 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik ilgili kişinin babası tarafından başvuruda bulunulan veri sorumlusunun söz konusu talebe cevap vermemesi üzerine, ilgili kişinin kendisinin Kişisel Verileri Koruma Kuruluna (Kurul) yaptığı şikayetin Kurulca incelenmesi neticesinde alınan kararda, ilgili kişinin 18 yaşını doldurmadığı dikkate alındığında öncelikli olarak Kurula şikayette bulunulmasına dair hakkın ilgili kişi tarafından kullanılıp kullanılmayacağı ile veri sorumlusuna başvuran ile Kurula şikayette bulunan kişilerin farklı olması nedeniyle söz konusu şikayetin mevzuatta yer alan usul şartlarını taşıyıp taşımadığı hususunun incelenmesine karar verilmiştir. Kurulun yapmış olduğu inceleme sonucunda, küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği değerlendirildiğinden somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varılmış ve KVKK’nın 15’inci maddesinin 1’inci fıkrası kapsamında Kurula intikal eden dilekçe ile ilgili olarak inceleme başlatılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/567

22/07/2020
Konu: Bir oyuncak şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan veri ihlalinde, kötü niyetli kullanıcılar tarafından başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan üye girişi sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle, 29 müşteriye ait ad, soyadı, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisindeki kişisel verilerinin elde belirtilmiştir. Kurul tarafından, veri sorumlusu tarafından veri güvenliğinin sağlanması amacıyla iki faktörlü kimlik doğrulama yönetimi kullanılmaması, yeni hesap açarken müşterilerin güçlü şifre oluşturması hususunda zorlanmadığı, veri sorumlusunun web uygulama güvenlik duvarının yetkisiz erişim işlemini tespit edememesi sebebiyle veri sorumlusunun uygulama güvenliğini sağlayamadığı sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000,00-TL idari para cezası uygulanmasına karar verilmiştir.