EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Cep Telefonu" etiketli kararlar

2022/1147

20/10/2022

Konu: İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet yazısında özetle; Mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı, iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı belirtilmiştir. Kurumun yapmış olduğu inceleme sonucunda,ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu, ilgili kişinin iş akdi sonlandırıldıktan sonra bile kişisel verilerinin paylaşımına devam edilmesinin Kanun kapsamında geçerli bir işleme şartı olmadığı sonucuna varılmış, 250.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca, ilgili kişinin hukuka aykırı şekilde işlenen kişisel verilerinin imha edilmesi ve buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve belgelerin Kurula gönderilmesi talep edilmiştir.

Ceza: 250.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/137

17/02/2022

Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/107

10/02/2022

Konu: Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevap yazısında ise İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığını ve istenildiği zaman İYS sisteminden çıkılabildiğinin belirtildiği, ilgili kişi tarafından ise İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alınarak 75.000 TL idari para cezası verilmesine, söz konusu verilerin uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/859

26/08/2021

Konu: İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi.

Kararı Paylaşın

Karar Özeti:

Şirket tarafından gerekli operasyonları yönetmek için kişisel verilerin işlenebildiği, kişisel verilerin işlenmesinin abonelik sözleşmesi kapsamında olduğu, çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, mevzuatın izin verdiği veya yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı, düzenli olarak kontrol edildiği ve denetlendiği, kişisel verilerin ilgili mevzuata uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği, ilgili durumlarda ilgili mercie yanıt verebilmek ve bilgi/belge sunabilmek için asgari olarak kimlik bilgilerinin tutulduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği, söz konusu işleme şartının ortadan kalktığı, asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu, verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/545

04/06/2021

Konu: Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, ilgili kişi tarafından da buna yönelik olarak açık rıza verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu, veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikayetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/548

04/06/2021

Konu: İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması.

Kararı Paylaşın

Karar Özeti:

Dijital platformun ilgili kişiye pazarlama faaliyetleri kapsamında yaptığı aramalar ve sonucu ilgili kişinin irtibat formu ile veri sorumlusuna başvurduğu ancak yeterli bir yanıt alamadığı, işlenen suçun kabul edildiği ancak detay içermeyen cevap ile geçiştirilmeye çalışıldığı belirtilmiştir. Dijital platform tarafından, ilgili kişinin kendilerinin müşterileri olmadığını ve ilgili kişiyi arayan numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar faaliyet gösteren bir bayiye tahsis edildiği; bahsi geçen aramanın kendilerinin bilgisi ve izni dahilinde yapılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, bayinin, kendi iradesiyle ve dijital platformdan bağımsız şekilde ilgili kişinin açık rızası ve kanunda belirtilen veri işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle veri sorumlusu sıfatını haiz olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/361

13/04/2021

Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/227

11/03/2021

Konu: Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmiş, veri sorumlusuna yaptığı başvuruda ise yasal süre içerisinde yanıt alamadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle olayda uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği, veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/78

03/02/2021

Konu: Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, müşteri pasaport fotoğraflarının depolanıp üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli denetimleri yapmadığı veya yaptırmadığı, daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların, telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın KVKK’ya aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı ve buna yönelik herhangi bir bildirim yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/79

03/02/2021

Konu: Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu bankanın kredi kartını kullandığı, banka, ilgili kişinin akrabalarını arayıp ilgili kişinin borcu hakkında bilgi verdiği, ilgili kişinin 15.11.2019 tarihinde veri sorumlusuna başvurarak buna ilişkin bilgi talep ettiği; veri sorumlusunun ise 19.11.20219 tarihinde verdiği cevapta, ilgili kişinin borcu için arandığı ancak ulaşılamadığından diğer kişilerin arandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğü, ilgili kişinin banka ile ilişkisinin yakınları ile paylaşılmasının KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?