EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

" Aydınlatma Metni" etiketli kararlar

2021/799

12/08/2021
Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/670

06/07/2021
Konu: İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişiye gerekli aydınlatmalar yapılarak kişisel verilerinin işlendiği, ilgili kişinin şirket prensiplerine uygun olarak değerlendirilebilmesi için ve diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği, iş başvurusunun kabul edilmemesinin akabinde, işlenen kişisel verilerin ilgili kişinin talebi üzerine yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirmesine esas genel gerekçesinin muhafaza edildiği, saklama amacının ilgili kişiye iletildiği, ilgili kişinin sonraki başvurusunu müteakip ilgili kişiye ait kişisel verilerin ilk periyodik imha işleminde silineceği bilgisinin iletildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verinin işlenmesinin sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek resen imha işleminin bu duruma uygun olmayacağı, ilgili kişinin talebi üzerine imha işleminin gerçekleştirilmesinin gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/389

20/04/2021
Konu: Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Kanunun 5’inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12’nci maddesinin 1 numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/85

03/02/2021
Konu: İlgili kişinin Kanunun 11’inci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerini işlenmesine ilişkin bir aydınlatmanın bulunmadığı, 26.06.2019 tarihinde veri sorumlusundan buna ilişkin bilgi talep ettiği, veri sorumlusunun 23.07.2019 tarihindeki cevabının ise yeterli bulunmadığı; zira veri sorumlusunun internet sitesinde bulunan ‘‘Kişisel Veriler Politikası’’ (Politika bölümünün bir aydınlatma olmadığı, ‘‘belirli ve açık’’ olmadığı, Politikada IP, Çerez gibi verilerin sayıldığı ancak verilen cevapta bu konulara ilişkin bir bilgilendirmenin yapılmadığı, cevap metni ile Politika’nın çeliştiği, Politikada veri bazında bir bilgilendirmenin bulunmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun detaylı bilgilendirme için ilgili kişileri Aydınlatma Metnine yönlendirmesi gerekliliğini yerine getirmediği, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer alan politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/765

08/10/2020
Konu: Bir banka tarafından Kurul kararı ile verilen talimatın gereğinin yerine getirilmemesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemler sonucunda, aydınlatma metninin kategorik şekilde ve her bir işleme faaliyeti özelinde olacak şekilde yenilenmesine yönelik veri sorumlusunun talimatlandırılmış olmasına karşın, veri sorumlusu tarafından talimatlandırma kapsamında gerekli işlemlerin yapılmamış olması sebebiyle ve aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyuacak USul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmemesi sebebiyle KVKK’nın 15’inci maddesinin 5 numaralı fıkrası ve 18’inci maddesinin 1 numaralı fıkrasına aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 120.000,00-TL idari para cezası uygulanmıştır.

2020/766

08/10/2020
Konu: Bir banka tarafından Kurul Kararı ile verilen talimatların gereğinin yerine getirilmemesi hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu banka hakkında; internet sayfasında aydınlatma metni yerine veri sorumlusunun Kişisel Verilerin İşlenmesi ve Korunması Politikasına link verildiği, aydınlatma yükümlülüğünün gereğince yerine getirilmediği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca KVKK’nın5înci ve 6’incı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak cevap yazısı ile ekinde herhangi bir ifadeye ve tesvik edici belgeye yer verildiğinden bahisle aydınlatma yükümlülüğünün usulüne uygun şekilde yerine getirilmemesi dolayısıyla KVKK’nın 15’inci maddesinin 5 numaralı fıkrasına aykırı hareket edildiğine kanaat edilerek KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının c bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 120.000,00-TL idari para cezası uygulanmıştır.

2020/769

08/10/2020
Konu: İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, Kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı KVK Kanunu’nun 07.04.2016 itibariyle yürürlüğe girdiği, söz konusu tarihler itibariyle Kanun’un yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5. maddesinde yer alan ‘kanunlarda açıkça öngörülme’ ve ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine, igili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna, ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak somut delile rastlanılamadığından Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/65

27/01/2020
Konu: Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolcuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde veri sorumlusuna başvuruda bulunmuştur. Kurul tarafından gerçekleştirilen incelemeler sonucunda, müşterilerin ilişkin puanlanmasına dayanan veri işleme faaliyetinin KVKK’nın 4’üncü maddesinde belritilen kişisel verilerin işlenmesine ilişkin genel ilkelerden “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ve “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkelerine aykırılık teşkil ettiği, bununla birlikte uygulamanın yüklenmesi akabinde üye olunması esnasında iligli kişilere bir aydınlatma yapılmadığında Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü yerine getirmemeiş olması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının a bendi kapsamında veri sorumlusu hakkında idari yaptırım kararı uygulanmasına karar verilmiştir.

Ceza: 10.000,00-TL idari para cezası uygulanmıştır.

2019/122

02/05/2019
Konu: Veri sorumlusu Ziraat Bankasına kişisel verileriyle ilgili talepte bulunmak için KEP üzerinden mail atmasına rağmen kanuni süre olan 30 gün içerisinde Bankadan geri dönüş alamayan ilgili kişinin başvurusu hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda sorumlu Banka görevlileri hakkında disiplin işlemi yapılmasına ve aydınlatma metninin gözden geçirilerek uygun hukuki sebep eklenip tekrardan yapılandırılmasına ilişkin talimat gönderilmesine karar verilmiştir.

Ceza: Disiplin işlemi uygulanmıştır.

2019/82

25/03/2019
Konu: Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından verilen kararda, ilgili kişinin market zincirinin sadakat kartı kullanmaya devam edebilmek için karşısına çıkan metinlerde kişisel verilerin işlenmesine izin vermeye mecbur bırakıldığı iddiasını incelenmiştir. Ayrıca bu süreçte 0,01TL hizmet bedeli alındığı tespit edilmiştir. Bu bağlamda kurulun yaptığı inceleme sonucu; firmadan alışveriş yapmanın sadakat kart varlığına bağlı olmadığı gerekçesiyle bu anlamda aykırılık bulunmamıştır. Ancak “üyelik ve rıza beyanı” belgesi ile “aydınlatma metni” arasındaki tutarsızlığı giderilmesi konusunda talimat verilmesine, ayrıca sosyal siteler ile paylaşılan kişisel verilerin kanuna uygun olarak anonimleştirilmediği konusunda şirkete talimat verilmesine, ve son olarak 0,01 TL lik bedelin sehven alınmış olup zaten iade edildiği gerekçesiyle işlem yapılmasına gerek olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.