EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Bilgi Talebi" etiketli kararlar

2023/932

01/06/2023

Konu: İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi

Kararı Paylaşın

Karar Özeti:

ilgili kişi, cep telefonu numarası üzerinden online olarak veri sorumlusu Banka’ya müşteri olduğunu bildirmiş ve aynı gün bireysel kredi başvurusunda bulunmuştur. Ancak aynı gün içinde, hem ilgili Banka’ya verdiği telefon numarasına hem de adına kayıtlı ancak Banka işlemlerinde kullanılmayan başka bir telefon numarasına kredi başvurusuyla ilgili farklı içerikte kısa mesajlar gönderildiği belirtilmektedir. İlgili kişi tarafından yapılan ilk başvuruya verilen cevapta, Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığı belirtilmiştir. Ancak ikinci başvuruya verilen cevapta ise, şikayet konusu numaranın diğer bankalardan alındığı ifade edilmiştir. KKB’nin internet sitesinde yapılan araştırmada ise ilgili kuruluşta kayıtlı telefon numarasının, Banka’ya verilen telefon numarası ile aynı olduğu, yani şikayet konusu numaranın Banka’ya ait olmadığı belirtilmiştir. Veri sorumlusu, ilgili kişinin bildirmediği iletişim numarasını kredi işlemleriyle ilgili bilgilendirme yapmak amacıyla işlemiştir. Bu işlemin Kanun’un 5. maddesinin 2. fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir. KKB kayıtlarına ilişkin talep ve iddiaların KKB nezdinde ileri sürülmesi gerektiği ilgili kişiye hatırlatmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/1357

22/12/2022

Konu: Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette, bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini, biyometrik verilerini ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak 100.000 TL idari para cezası uygulanmasına, Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/853

01/09/2022

Konu: Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma tarafından incelenen ilgili kişi şikayetinde özetle; veri sorumlusu olan yasal bahis platformuna hiç kayıt olmamış olmasına rağmen veri sorumlusu tarafından ilgili kişiye, içinde ilgili kişinin kişisel verilerinin bulunduğu bir e-posta iletildiği ve hemen arkasından gelen ikinci bir e-posta ile “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği, İlgili kişinin talebi üzerine e-posta adresinin kayıtlı olduğu üyelikten kaldırıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun ilgili kişinin kişisel verisi olan e-posta adresini Kanun’da öngörülen herhangi bir hukuki şarta dayanmaksızın işlendiğine, bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini Kanun’da sayılan herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına ve şikâyete konu olayda asıl üyenin kişisel verilerinin şikâyetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili Kanun gereği ilgili kişilere ve Kurula bildirim yapılması gerektiği husunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: 250.000 TL İdari Para Cezası Uygulanmasına Karar Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/691

10/09/2020

Konu: İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda, ilgili kişinin cep telefon numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, ancak ilgili kişinin açık rızası olmadığından bahisle Kurum’a şikayette bulunulmuştur. Kurul tarafından yapılan inceleme neticesinde, KVKK’nın 5’inci maddesinde belirtilen işleme şartlarının mevcut olmaması sebebiyle veri işleme faaliyetinin KVKK’ya aykırılık teşkil ettiği, bu kapsamda veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğine karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin birinci fıkrasının a bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/86

06/02/2020

Konu: Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayet başvurusu.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda veri sorumlusu tarafından Kurul’un talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kurallarına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmaması sebebiyle KVKK’nın 15’nci maddesinin 5 numaralı fıkrasına aykırılık sebebiyle idari yaptırım kararı uygulanmıştır.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/65

27/01/2020

Konu: Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolcuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde veri sorumlusuna başvuruda bulunmuştur. Kurul tarafından gerçekleştirilen incelemeler sonucunda, müşterilerin ilişkin puanlanmasına dayanan veri işleme faaliyetinin KVKK’nın 4’üncü maddesinde belritilen kişisel verilerin işlenmesine ilişkin genel ilkelerden “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ve “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkelerine aykırılık teşkil ettiği, bununla birlikte uygulamanın yüklenmesi akabinde üye olunması esnasında iligli kişilere bir aydınlatma yapılmadığında Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü yerine getirmemeiş olması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının a bendi kapsamında veri sorumlusu hakkında idari yaptırım kararı uygulanmasına karar verilmiştir.

Ceza: 10.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/41

16/01/2020

Konu: İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu Bankadan talep ettiği tazminat talebinin karşılanmaması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından borcu olan veri sorumlusu bankanın iş yerini arayarak aile bilgilerini sorguladığı, ödeme yapıp yapmayacağının iş yeri sekterine defaten sorukduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırılması sebebiyle veri sorumlusundan 100.000,00-TL maddi ve manevi tazminat isteminde bulunduğu beliritlmiştir. Kurul tarafından yapılan incelemeler sonucunda, ilgili kişinin veri sorumlusuna başvurusunun KVKK’nın 11’inci maddesi kapsamında bir talep içermediği ve Kurum’a şikayetinde de iddialarını kanıtlayıcı bir belge sunamadığı, ayrıca zarara ilişkin taleplerini KVKK’nın 14’üncü maddesinin 3 numaralı fıkrasında yer alan genel mahkemeler huzurunda kullanması gerektiğine karar verilmiştir.

Ceza: Herhangi bir işlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/159

31/05/2019

Konu: Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin.

Kararı Paylaşın

Karar Özeti:

Kurul yapmış olduğu inceleme sonucunda; ilgili kişinin, firmanın cevabını esasen teslim almış olduğunu, firmanın banka ile yapmış olduğu sözleşme sonucunda veri sorumlusu şirketçe alacağın temlik alındığını, dolayısıyla yeni alacaklı olarak borcun taksitinin ödenmesi adına iletişime geçtiğini ve bu anlamda yapacak bir işlem olmadığına karar vermiştir. Ancak, söz konusu SMS’in birden fazla kere gönderilmesini sahip olunan hakkı kötüye kullanma olarak değerlendiren kurum veri işlemede kanuna ve dürüstlük kurallarına aykırılık sebebiyle idari para cezası uygulanmasına karar vermiştir.

Ceza: 20.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2018/131

19/11/2018

Konu: Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından başvuruda bulunulmuştur.. Kurul tarafından tüzel kişilere ait verilere erişilmesi yönünde talebin KVKK’nın 2’nci maddesi gereğince KVKK kapsamında değerlendirilemeyeceği, veri sorumlusu ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil veri sorumlusu tüzel kişilik tarafından talep edilmesi nedeniyle başvurunun KVKK madde 11 kapsamında değerlendirilmeyeceğine karar verilmiştir.

Ceza: Herhangi bir işlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?