EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Aydınlatma Yükümlülüğü" etiketli kararlar

2023/1041

15/06/2023

Konu: Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

İnternet sitesi sahibi bir veri sorumlusunun web sitesi üzerinden hizmet sunumu sırasında aydınlatma yükümlülüğünü yerine getirmemesi ve hizmetin açık rıza şartına bağlaması ile ilgil olarak gelen şikayeti değerlendiren Kurul, veri sorumlusunun hizmet sunumunda açık rızanın alınması sırasında alternatif satış kanallarının açık ve anlaşılır biçimde gösterilmemiş olmasını gerekçe göstererek veri sorumlusunu web sitesinde üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimatlandırmıştır.

Ceza: Herhangi bir idari para cezası uygulanmamıştır, ancak veri sorumlusuna üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimat verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/924

01/06/2023

Konu: Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi hususunda inceleme.

Kararı Paylaşın

Karar Özeti:

“Otopark işletmecisi, araç sahiplerinden tahsil edilmesi gereken park borçlarına ilişkin olarak açtığı itirazın iptali davasında, ilgili kişinin kimlik bilgilerine ulaşabilmek amacıyla veri işleme faaliyeti gerçekleştirmiştir. Ancak, bu işlem Kanun’un 5. maddesi ikinci fıkrasının (e) bendi kapsamında değildir, çünkü araç sahibinin kimliğini ispat etmek için gereken deliller mahkemeye sunulabilmektedir. Ayrıca, bu süreçte kullanılan çevrimiçi borç sorgulama hizmetinde çift faktörlü doğrulama yapılmamıştır, bu da Kişisel Veri Güvenliği Rehberi’ne aykırıdır. Öte yandan, veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmemiş ve Kanun’un 18. maddesi uyarınca 75.000 TL idari para cezasına çarptırılmıştır. Bu nedenle, veri sorumlusuna Kanun ve Tebliğ’e uygun bir Aydınlatma Metni hazırlama ve sonucunu Kurula bildirme talimatı verilmiştir.

Sonuç olarak, ilgili kişinin araç plakası üzerinden yapılan kimlik sorgulama ve veri işleme faaliyetleri, Kanun’a uygun olmadığı için işlem yapılmamıştır. Ayrıca, çevrimiçi ödeme sisteminde çift faktörlü doğrulama sağlanması veya bu mümkün değilse veri işleme faaliyetine son verilmesi gerekmektedir. Bu işlemlerin sonuçlarının Kurula bildirileceği karara bağlanmıştır. “

Ceza: Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/437

22/03/2023

Konu: Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında Kurum’a iletilen şikayet dilekçesinde; Veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmediği ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmediği, toplamda 5 kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderildiği belirtilmiş, Veri sorumlusunun “hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulama kullanılıp kullanılmadığı hususunda denetim yapılması talep edilmiştir. Konuya ilişkin Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin hukuka uygun olduğu değerlendirilmiş, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik veya iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kuruma iletilmemiş olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/86

19/01/2023

Konu: Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma ilgili kişi tarafından iletilen şikayette özetle ilgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine aktarılması ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınıp kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu belirtilmiştir. Aynı zamanda İşe başlarken şirket tarafından imzalatılan iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza şeklinde olduğu, şirketin e-posta içeriklerini izlediği, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulduğu belirtilmiştir. Veri sorumlusunun şikayete ilişkin cevabi yazısı ve Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin imzalamış olduğu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiğine, e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde sayılan işleme şartları kapsamında gerçekleştirildiğine, e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesi hususunda herhangi bir hukuka aykırılık bulunmadığı değerlendirilmiş olup veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığu hususunda somut bir emareye ulaşılmadığına, ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına ve e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması konusunda Kanun’a aykırılık bulunmadığına, bu kapsamnda ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddiaların yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1358

23/12/2022

Konu: Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kuruma iletilen şikayette bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği göz önünde bulundurularak 300.000 TL idari para cezası uygulanmasına, sitede çerezlerle işlenen kişisel veriler bakımından ilgili Kanun ve Tebliğ’e uygun şekilde aydınlatma yapılması yönünde talimatlandırılmasına ve kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmakla birlikte aydınlatma metnindeki eksikliklerin giderilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: 300.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/594

22/06/2022

Konu: Özel nitelikli kişisel verilerin ilgili kişilerin açık rızası alınmaksızın veri sorumlusu tarafından üçüncü kişilerle paylaşılması

Kararı Paylaşın

Karar Özeti:

İşveren tarafından bünyesinde çalışan personelden edinilen bilgi neticesinde mağazanın alt katındaki depodan uyuşturucu dumanı kokusu olduğu düşünülen bir koku geldiği ve bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı ifade edilmiştir. Aynı zamanda yine işveren tarafından personellerin test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri iddia edilmiştir. Ancak kuruma intikal eden dilekçelerde ilgili kişilerin hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı ve test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı ifade edilmiştir. Kurumun yapmış olduğu inceleme sonucunda, ilgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyeti hakkında veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık rızasının bulunduğunun ispat edilememesi nedeniyle veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiğine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/545

02/06/2022

Konu: İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği belirtilmesi üzerine Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı da dikkate alınarak aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/224

10/03/2022

Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1214

02/12/2021

Konu: Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek şikayette bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda KVKK’nın 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde KVKK’nın “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine hüküm verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/799

12/08/2021

Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 41234

Türkçe dilinde GDPR karar özetlerini görmek ister misin?