EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Açık Rıza" etiketli kararlar

2022/172

24/02/2022
Konu: Yurt dışı merkezli veri sorumlusunun Türkiye’deki irtibat bürosu tarafından iş alımlarda adaylardan özel nitelikli kişisel veri talep etmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin Türkiye’deki irtibat bürosu için işe alım yapan yurt dışı merkezli şirketin işe alım belgelerinde talep ettiği özel nitelikli kişisel verilerin işlenmesi için açık rıza almadığı ve ilgili kişinin bu verilerin imhasına yönelik başvurusuna veri sorumlusu tarafından yasal sürede yanıt verilmediği belirtilmiştir. Kurul tarafından yapılan incelemede, irtibat bürosunun yaptığı iş sözleşmesinin veri sorumlusunun kendisine akdedilmesi ile ilgili veri işleme faaliyetinin halihazırda taabi olduğu yabancı mevzuat sebebiyle ile yurt dışında işlemesinin zorunlu olması nedeniyle veri işleme faaliyetinin bir hukuka aykırılık taşımadığını ama açık rızanın alınmasının gerekliliğini belirtmiştir. Veri sorumlusuna ilgili kişi tarafından yapılan başvurunun geçerli olduğu ve bahse konu olan veri işleme faaliyetinin gerektirdiği yegane yolun açık rıza alınması gerekmesi sebebiyle Kurum, veri sorumlusunun başvuruları konusunda azami dikkat ve özeni göstermesi, buna ek olarak ilgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösteren bir belge ile Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2022/137

17/02/2022
Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

2022/31

18/01/2022
Konu: Sağlık sektöründe ilgili kişinin açık rızası alınmaksızın veri sorumlusu tarafından ticari elektronik ileti gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin açık rızası olmaksızın kendisine ticari elektronik ileti gönderildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgli kişiye KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında ilgili kişiye veya hasta yakınlarına tıbbi bilginin iletilmesi amacıyla ileti gönderilebilinir lakin somut olayda gönderilen e-posta içeriğinin tıbbi amaçla değil ticari amaçla atıldığı tespit edilmiştir. Sonuç olarak söz konusu kişisel verinin elde edilme amacı dışında kullanılmasından ötürü veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası verilmiştir.

2022/13

06/01/2022
Konu: İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (“YKS”) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemelerde öncelikle kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirilerek kişisel veri niteliğini haiz olduğuna karar verilmiştir. Bununla birlikte, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu belirtilmiştir. Karar’a konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü, ilgili kişi açısından kişisel verilerinin korunmasını isteme hakkının söz konusu olduğu, bu doğrultuda basın özgürlüğü ve kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkının karşı karşıya olması sebebiyle haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği belirtilerek bunun temel ölçüsünün ise kamu yararının bulunması ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunması gerektiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, haber konusu yapılan olayda kamu yararı bulunmadığı kanaatine varılarak haber ile gerçekleştirilen veri işleme faaliyetinin KVKK’nın 28’inci maddesinin 1 numaralı fıkrası kapsamında ifade özgürlüğü içerisinde değerlendirilemeyeceğine ve söz konusu veri işleme faaliyetinin istisna kapsamında olmadığına karar verilmiştir. Bu kapsamda veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırı veri işleme faaliyeti uyarınca KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 30.000-TL idari para cezası uygulanmıştır.

2021/1258

16/12/2021
Konu: İş akdi sona eren çalışanın özel nitelikli verisinin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, veri sorumlusunun ilgili kişiyi açık rıza vermeye zorladığı, açık rızaya dayanmayan şekilde biyometrik verinin işlendiği ve gizlilik politikasının olmadığı belirtilmiştir. Kurul tarafından yapılan incelemede tarafların eşit konumda olmaması dolayısıyla iş sözleşmesi içerisinde bulunan rıza metnine verilen onayın özgür irade kapsamında değerlendirilemeyeceği, şirkete girerken parmak izi ve yüz tarama verilerini güvenliğin sağlanması amacıyla işlenmesi savunması orantısız bulunmuş ve ölçülülük ilkesine aykırı olduğu değerlendirmiştir. Bununla birlikte, gizlilik politikasının ise kanuni bir yükümlülük olmadığı belirtilmiştir. Sonuç olarak, biyometrik veri işleme faaliyetinin ölçülülük ilkesine aykırılığı kapsamında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

2021/1243

09/12/2021
Konu: İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, veri sorumlusu bir insan kaynakları firmasının ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak KVKK’nın 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrası uyarınca idari para cezası uygulanmasına karar verilmiştir. Aynı zamanda ilgili kişinin e-posta adresi bilgisinin KVKK’ya aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.

2021/1214

02/12/2021
Konu: Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek şikayette bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda KVKK’nın 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde KVKK’nın “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine hüküm verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1218

02/12/2021
Konu: İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin işlenmesinde; Kurul tarafından belirlenen yeterli ve gerekli önlemleri gözetip gözetmediği”, “hangi tedbirleri aldığı”, “kişisel verilerini hangi ortamda muhafaza ettiği ve sakladığı”, “uygun güvenlik düzeyini temin edip etmediği”, “herhangi bir teknik veya idari tedbir alıp almadığı” ve “Kanun ve ilgili mevzuatta belirtilen yasal sürelere uygun olarak kişisel verilerini imha edip etmediği” hususlarında ilgili kişiyi bilgilendirmediği, ayrıca ilgili kişinin taleplerine ve sorularına cevap vermeyerek KVKK’nın 11’inci maddesi kapsamındaki her türlü bilgi alma hakkını ihlal ettiği, ilgili kişinin iş akdinin eylemli fesih yoluyla sona erdirilmesinden sonraki dönemde “hiçbir koşul altında iş yapmaması”, “işyerine gitmemesi” ve “irtibat bürosunda faal olarak görev yapmaması” konularında yazılı olarak bilgilendirildiği, ancak ilgili kişinin fotoğrafının ve sair kişisel verilerinin iş akdinin feshinden sonraki dönemde de veri sorumlusunun kurumsal internet sitesinden kaldırılmadığı, bahsi geçen internet sitesi yurtdışında bulunduğundan ilgili kişinin fotoğrafının ve sair kişisel verilerinin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama ilgili kişinin bu yönde bir rızayı hiçbir zaman vermediğini ileri sürerek gereği yapılmasını talep etmiştir. Bu doğrultuda Kurul tarafından ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından KVKK’nın 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1210

02/12/2021
Konu: İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından yapılan başvuruda farklı tarihlerde bir şirket adına kampanyalar hakkında bilgilendirilmek üzere arandığı, reklam ve pazarlama faaliyetlerine ilişkin açık rızasının bulunmadığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, adına arama yapılan şirket ve bayisinin veri sorumlusu olarak hareket ettiğine yönelik bir tespitte bulunamadığı, herhangi bir işleme şartı bulunmaksızın telefon numarası işleyen veri sorumlusu gerçek kişi bayiye çağrı merkezi hizmeti sunan kişi hakkında KVKK’nın 12’nci maddesi kapsamında idari para cezası uygulanmasına, ilgili kişi tarafından kullanılmakta olan telefon numarasının imha edilmesine karar verilmiştir.

Ceza: İdari para cezası uygulanmıştır.

2021/1104

02/11/2021
Konu: İlgili kişinin verilerin silinmesi için veri sorumlusu Bankadan talepte bulunmasına rağmen Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen olayda banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı ve ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 2019 tarihinde kapatılmış ve ilgili kişinin, verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunmuştur. Banka, ilgili kişinin verilerinin 6102 sayılı Türk Ticaret Kanunu’nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu’nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı belirtilmiş ve ilgili kişinin kişisel verilerinin silinmesi talebine olumsuz yanıt vermiştir. Buna rağmen veri sorumlusu Banka tarafından ilgili kişiye bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerinin işlendiği tespit edilmiştir. Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin KVKK’nın 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alınarak KVKK’nın 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.