EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Açık Rıza" etiketli kararlar

2023/1653

28/09/2023

Konu: Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusuna ait mağazadan alışveriş yaparken alışveriş kartı talep edilmiş ve bu kart için telefonuna gönderilen onay kodunu görevliye okumuştur. Ancak ilgili kişi, onay kodunu okuyarak “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan ettiğini fark etmiştir. Bu durum, kişisel verilerinin açık rızasının aldatma yoluyla ele geçirilmesi olarak değerlendirilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusundan gelen savunmaya göre; mağazalarda alışveriş kartı adı altında bir kart uygulaması bulunmamakta, ilgili kişinin belirttiği kartın bir “hediye kartı” olduğu, hediye kartının sadece ürün iadesi veya müşterinin isteği doğrultusunda kullanılabildiği belirtilmiştir. Hediye kartları için müşterilerden açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve müşterilere bu metne ulaşma yöntemleri sunulduğu ifade edilmiştir. Kasada yapılan işlemlerde müşterilere, aydınlatma metni ve kişisel veri işleme faaliyetleri hakkında bilgi verildiği ve müşterinin kayıt olup olmadığının sorulduğu, kayıt olmak isteyen müşterinin kendi cep telefonundan izin mesajı göndermesi gerektiği belirtilmiştir. Müşterinin gönderdiği mesaj üzerine şifre gönderildiği ve bu şifre içerisinde aydınlatma metni ve açık rıza beyanı gibi gerekli bilgilerin bulunduğu ifade edilmiştir. Kurulun değerlendirmeleri sonucunda; İlgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirilmiş ancak ilgili kişi rızasını geri çekmiştir. Bu durumda, Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirlenmiştir. Ancak, alışveriş sırasında ticari elektronik ileti gönderilerek kişisel verilerin işlenmesine ilişkin açık rıza alınmasının, ilgili kişilerin bu rızayı alışverişin bir parçası olarak verdiği izlenimi yaratabileceği ve bu durumun açık rızanın özgür irade ile açıklanma unsuruyla çelişebileceği değerlendirilmiştir. Bu çerçevede, ilgili uygulamanın, ilgili kişileri doğru bir şekilde bilgilendirerek alışverişin bir parçası olarak algılanmayacak şekilde revize edilmesine karar verilmiştir. Ayrıca, aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması, yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1321

03/08/2023

Konu: İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden şikâyete göre, ilgili kişi, eski ortağı olduğu veri sorumlusu Şirketten ayrılarak yeni bir şirket kurmuş, ancak eski ortağı olduğu döneme ait e-posta adresinin hala aktif olduğunu ve bu adres üzerinden gönderilen e-postaların okunduğunu tespit etmiştir. Bu durumun kendisi için haksız rekabet ve maddi zarara yol açtığını düşünen kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemlerin yapılmasını talep etmiştir. Yapılan inceleme sonucunda veri sorumlusundan alınan savunmada, ilgili kişinin ortaklıktan ayrılmasıyla e-posta adresinin kapatıldığı ve teknik olarak kullanılamaz hale getirildiği belirtilmiştir. Ayrıca, söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği ve iddialara rağmen bu e-postalarda kişisel veri bulunmadığı ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun değerlendirmeleri ışığında, ilgili kişinin eski e-posta adresine, şu anda pasif durumda olmasına rağmen, hala ileti gönderildiği tespit edilmiştir. Bu e-posta adresindeki veriler kişisel veri niteliğinde olup, ilgili kişinin işten ayrılmasına rağmen e-posta gönderiminin engellenmemesi sebebiyle tanımsız e-posta üzerinden iletiler görüntülenmeye devam edilmektedir. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi kapsamında bir dayanağa sahip olmadığı için, Kanun’un 18. maddesi uyarınca veri sorumlusuna idari para cezası uygulanması yönünde karar verilmiştir. Ayrıca, söz konusu sistemde işten ayrılan kişilere ilişkin kişisel veri işleme faaliyetinin sonlandırılması için düzenlemeler yapılması ve bu düzeltmelerin Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir. Şikayet konusu kişisel verilerin imha edilmesi de talep edilmiş ve bu yönde veri sorumlusuna talimatlandırma yapılmıştır.

Ceza: 50.000 TL idari para cezası verilmesi yönünde karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1041

15/06/2023

Konu: Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

İnternet sitesi sahibi bir veri sorumlusunun web sitesi üzerinden hizmet sunumu sırasında aydınlatma yükümlülüğünü yerine getirmemesi ve hizmetin açık rıza şartına bağlaması ile ilgil olarak gelen şikayeti değerlendiren Kurul, veri sorumlusunun hizmet sunumunda açık rızanın alınması sırasında alternatif satış kanallarının açık ve anlaşılır biçimde gösterilmemiş olmasını gerekçe göstererek veri sorumlusunu web sitesinde üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimatlandırmıştır.

Ceza: Herhangi bir idari para cezası uygulanmamıştır, ancak veri sorumlusuna üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimat verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/890

25/05/2023

Konu: Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması.

Kararı Paylaşın

Karar Özeti:

Bir hava yolu şirketinin özel yolcu programına katılımın açık rızaya bağlanmış olup olmadığı Kurul tarafından değerlendirilmiştir ve kararda belirtilen sadakat programına katılmadan da yolcuların hava yolu şirketinin hizmetlerinden faydalanabilmeleri sebebiyle programın, üyelere ek imkanlar sunması ve bu ek menfaatlerin açık rıza koşuluna bağlanması sebebiyle, açık rızanın özgür irade ile verilmesini engelleyici bir durum olmadığı ve şikayet edilen durumda, açık rızanın koşul olarak dayatılmasının söz konusu olmadığına karar verilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/692

02/05/2023

Konu: Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması

Kararı Paylaşın

Karar Özeti:

Özel sektörde faaliyet gösteren bir sağlık kuruluşunun internet sitesinin randevu alma bölümündeki ilgili formda, kullanıcıların randevu ilemelerini tamamlayabilmeleri için kurumun pazarlama amaçlı duyurularını almayı kabul etmeleri zorunlu tutulmuştur. Kullanıcılar iletişim faaliyeti için onay vermedikleri sürece randevu işlemini tamamlayamamaktadırlar. Kuruma yapılan şikayetin ardından yapılan incelemenin sonucunda açık rızanın işlem koşuluna bağlandığına, Kanun gereği açık rızanın özgür irade ve hiçbir koşula bağlanmadan alınması gerektiğinden bahisle bu unsurların sağlık kuruluşu tarafından ihlal edildiğini tespit etmiştir. İletişim izni için ayrıca bir onay alınması mümkünken bunun yapılmayıp randevu ilemi için zorunlu tutulması aldatıcı hakkın kötüye kullanılmasını oluşturacağından hukuka aykırı olduğunu tespit etmiştir. Kurul incelemenin sonucunda özel sağlık kuruluşuna bu eyleminden dolayı idari para cezası uygulamıştır.

Ceza: 300.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/134

01/03/2023

Konu: İntenet ve sosyal medya platformlarında bulunan TikTok uygulaması nezdinde gerçekleşen veri ihlalinin değerlendirilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu olan sosyal medya platformu TikTok hakkında, açık rızanın Kanun kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı bulunduğuna dair yer alan muhtelif haberler ve şikayetler yayımlanması sonucunda Kurul, resen inceleme başlatmıştır. Kurulun yapmış olduğu inceleme sonucunda; TikTok’un 2021 yılı Ocak ayında gizlilik politikasını güncellediği ve güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği ancak belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlama bulunmamasının hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği tespit edilmiştir. Ayrıca veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde, Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği, kullanıcının onayına sunulan Hizmet Koşulları metninin Türkçe tercümesi bulunmaması, Gizlilik Politikasının esasen bir aydınlatma metni olduğu ancak açık rıza metni olarak kullanıldığı, platformda hesap oluşturulurken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı tespit edilmiştir. Kurul yapmış olduğu bu incelemeler sonucunda veri sorumlusu TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına, Hizmet Koşulları metninin bir ay içinde Türkçeye çevrilmesine, söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesine ve Kanun’un 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.

Ceza: 1.750.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/86

19/01/2023

Konu: Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma ilgili kişi tarafından iletilen şikayette özetle ilgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine aktarılması ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınıp kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu belirtilmiştir. Aynı zamanda İşe başlarken şirket tarafından imzalatılan iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza şeklinde olduğu, şirketin e-posta içeriklerini izlediği, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulduğu belirtilmiştir. Veri sorumlusunun şikayete ilişkin cevabi yazısı ve Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin imzalamış olduğu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiğine, e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde sayılan işleme şartları kapsamında gerçekleştirildiğine, e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesi hususunda herhangi bir hukuka aykırılık bulunmadığı değerlendirilmiş olup veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığu hususunda somut bir emareye ulaşılmadığına, ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına ve e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması konusunda Kanun’a aykırılık bulunmadığına, bu kapsamnda ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddiaların yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1357

22/12/2022

Konu: Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette, bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini, biyometrik verilerini ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak 100.000 TL idari para cezası uygulanmasına, Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1072

07/10/2022

Konu: İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette özetle; İlaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edilidiğine ilişkin veri sorumlusuna başvurduğu ve e-posta adresinin ecza depoları vasıstasıyla elde edildiği ifade edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusuna 50.000 TL İdari Para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/923

08/09/2022

Konu: İlgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette özetle, ilgili kişinin 2018 yılında hastanede bir doktor tarafından muayene edildiği, söz konusu doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numarasına açık rızası olmaksızın SMS gönderdiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda, söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği dikkate alındığında hastana hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, Veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin ediliğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alınarak veri sorumlusu doktor hakkında 100.000 TL İdari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?