EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Biyometrik Veri " etiketli kararlar

2021/1258

16/12/2021

Konu: İş akdi sona eren çalışanın özel nitelikli verisinin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, veri sorumlusunun ilgili kişiyi açık rıza vermeye zorladığı, açık rızaya dayanmayan şekilde biyometrik verinin işlendiği ve gizlilik politikasının olmadığı belirtilmiştir. Kurul tarafından yapılan incelemede tarafların eşit konumda olmaması dolayısıyla iş sözleşmesi içerisinde bulunan rıza metnine verilen onayın özgür irade kapsamında değerlendirilemeyeceği, şirkete girerken parmak izi ve yüz tarama verilerini güvenliğin sağlanması amacıyla işlenmesi savunması orantısız bulunmuş ve ölçülülük ilkesine aykırı olduğu değerlendirmiştir. Bununla birlikte, gizlilik politikasının ise kanuni bir yükümlülük olmadığı belirtilmiştir. Sonuç olarak, biyometrik veri işleme faaliyetinin ölçülülük ilkesine aykırılığı kapsamında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/925

16/09/2021

Konu: İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, işyerinde çalışan işçilerin katıldığı toplantıların ve verilen bilgilerin iş yerinde çalışan tüm işçilerin bildiği aleni bilgiler olduğu ve tamamen duyuma dayalı olduğu, bu nedenle bu bilgilere ulaşım yolunun hukuka uygun olduğu, hukuka uygun elde edilen tüm aleni bilgilerin dava dilekçesinde paylaşılmasının kişisel verilerin hukuka aykırı paylaşımı anlamına gelmediği ve verilerin işlendiği iddiaların da geçerli olmadığı, dava dilekçesinin izah edilen süreç çerçevesince hazırlanmış olduğu ve gerçekleştirilen hukuki işlemlerin hiçbir aşamasında hukuka aykırı bir yol izlenmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, iş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında veri sorumlusu avukat tarafından işe iade davasında ilgili kişinin kişisel verilerinin paylaşılmasının hukuka aykırılık teşkil etmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/799

12/08/2021

Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/549

04/06/2021

Konu: İlgili kişinin işletmeye girerken rızası dışında ateş ölçümü yapılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette konu olan işletmeye giriş yaparken kendisinden rızası olmaksızın ateş ölçümünün alındığı belirtilmiştir. Kurul tarafından yapılan incelemede ateş ölçümü verisinin biyometrik veri ve sağlık verisi kapsamına girmediği bu sebeple özel nitelikli kişisel veri kapsamına girmeyeceği belirtilmiştir. Ateş ölçümü için ise pandemi koşulları nedeniyle yayınlanan genelge kapsamında ateş ölçümünün zorunlu olduğu belirtip KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/915

01/12/2020

Konu: Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir. Kurulun yapmış olduğu inceleme sonucunda, parmak izi verisi ile belediye binasına giriş yapmanın ölçüsüz bir tedbir olduğuna karar verilmiş, veri sorumlusu belediye, parmak izlerini imha etmesi ve kuruma bildirmesi konusunda talimatlandırılmıştır.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/649

27/08/2020

Konu: 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde biyometrik imza verisinin kullanılması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen başvuru ile, 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) sözleşme şekillerini düzenleyen hükümleri çerçevesinde imzaların yalnızca el ile atılması zorunluluğu kapsamında biyometrik imzaların KVKK’nın 6’ncı maddesinin üçüncü fıkrası uyarınca istisna kabul edilip edilmeyeceğine ilişkin olarak, ıslak imza ve biyometrik imzanın benzer yönleri bulunmakla birlikte, farklı kavramlar olduğu belirtilmiştir. Bu kapsamda, ıslak imzadan farklı olarak biyometrik imzanın biyometrik veri niteliğini haiz olması sebebiyle TBK’nın 15’inci maddesinde yer alan hükmün KVKK’nın 6’ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği bu sebeple ancak açık rıza ile temin edilebileceğine karar verilmiştir.

Ceza: Tesis edilecek bir işlem bulunmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/622

11/08/2020

Konu: 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun imha edilmesine yönelik ilgili kişinin babası tarafından veri sorumlusuna başvurulması ve cevap alınamaması üzerine ilgili kişinin kendisi tarafından Kuruma şikayette bulunulması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, gerçeğe aykırı olarak düzenlendiği iddia edilen 18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun kayıtlardan imha edilmesine yönelik ilgili kişinin babası tarafından başvuruda bulunulan veri sorumlusunun söz konusu talebe cevap vermemesi üzerine, ilgili kişinin kendisinin Kişisel Verileri Koruma Kuruluna (Kurul) yaptığı şikayetin Kurulca incelenmesi neticesinde alınan kararda, ilgili kişinin 18 yaşını doldurmadığı dikkate alındığında öncelikli olarak Kurula şikayette bulunulmasına dair hakkın ilgili kişi tarafından kullanılıp kullanılmayacağı ile veri sorumlusuna başvuran ile Kurula şikayette bulunan kişilerin farklı olması nedeniyle söz konusu şikayetin mevzuatta yer alan usul şartlarını taşıyıp taşımadığı hususunun incelenmesine karar verilmiştir. Kurulun yapmış olduğu inceleme sonucunda, küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği değerlendirildiğinden somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varılmış ve KVKK’nın 15’inci maddesinin 1’inci fıkrası kapsamında Kurula intikal eden dilekçe ile ilgili olarak inceleme başlatılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/508

30/06/2020

Konu: Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvuruları.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, muhtelif avukat sorgulama sitelerinde ilgili kişilere ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği ve yayımlandığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, bahsi geçen internet sitelerinden birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnıza ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı KVKK’nın 4’üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına, bu kapsamda KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: Bir işlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/507

30/06/2020

Konu: Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette İigili kişi vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile a babasına ait kayıtlı tüm sağlık verilerinin tarafına iletilmesini ilgili kamu kuruluşundan talep etmiş ancak ilgili kurum tarafından talebinin reddedilmesine ilişkin olarak, Kurul tarafından yapılan inceleme sonucunda ilgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kurum’a yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/167

27/02/2020

Konu: Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun Kararı.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda spor salonu hizmeti sunan veri sorumlusu tarafından, üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesinde biyometrik verileri içeren bazı özel nitelikli kişisel verilerin işlenmesine ilişkin olarak Kurum’a başvuruda bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda, spor salonuna giriş ve için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri atelp etme ilkesi ile uyumlu olmadığına karar verilmiştir. Bu kapsamda, avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının KVKK’nın “Genel İlkeler” başlıklı 4’üncü maddesinin 2 numaralı fıkrasının ç bendindeki ölçülülük ilkesine aykırı olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 225.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?