EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Dürüstlük Kuralı" etiketli kararlar

2021/389

20/04/2021

Konu: Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Kanunun 5’inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12’nci maddesinin 1 numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/191, 2020/192, 2020/193, 2020/194

03/03/2020

Konu: Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarda sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamarın kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde KVKK’nın 4’üncü madesinde sayılan genel ilkelere riayet edilmediği, söz konusu faalieytelerin KVKK’nın 12’nci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel veriler hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muahfazasını sağlamak yükümlülüklerine aykırılık teşkil ettiğinin tespit edildiği ve veri ihlali süresi, veri ihalalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak veri sorumlusu 4 şirket hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlanmaması sebebiyle 950.000,00-TL ve Kurum’a ve ilgili kişilere bildirim yapılmadığından bahisle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde 450.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/173

27/02/2020

Konu: Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Amazon Turkey hakkında ilgili kişilerin bilgilerini işlemek suretiyle ticari elektonik ileti göndermek hususunda ilgili kişilerin açık rızasının usulüne uygun olarak alınmadığı, açık rıza dışında da bir işleme dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızaları olmaksızın işlendiği, açık rızanın usulüne uygun alınmadığı, yurtdışına aktarıma ilişkin açık rıza alınmadığı belirtilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.100.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/65

27/01/2020

Konu: Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolcuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde veri sorumlusuna başvuruda bulunmuştur. Kurul tarafından gerçekleştirilen incelemeler sonucunda, müşterilerin ilişkin puanlanmasına dayanan veri işleme faaliyetinin KVKK’nın 4’üncü maddesinde belritilen kişisel verilerin işlenmesine ilişkin genel ilkelerden “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ve “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkelerine aykırılık teşkil ettiği, bununla birlikte uygulamanın yüklenmesi akabinde üye olunması esnasında iligli kişilere bir aydınlatma yapılmadığında Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü yerine getirmemeiş olması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının a bendi kapsamında veri sorumlusu hakkında idari yaptırım kararı uygulanmasına karar verilmiştir.

Ceza: 10.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/294

01/10/2019

Konu: Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/165

31/05/2019

Konu: Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine.

Kararı Paylaşın

Karar Özeti:

Kurulun vermiş olduğu kararda, veri sorumlusu spor salonlarında özel nitelikli kişisel veri işlendiğini (biyometrik veriler), üye doğrulama işleminin biyometrik veri işlemeksizin başka yöntemlerle de gerçekleştirilebileceğini vurgulamıştır. Ayrıca Özel Nitelikli Kişisel Veri işlenmesi için kanunda açıkça hüküm bulunmaması halinde açık rıza gerektiği ve açık rızanın da servis/hizmet alımına bağlı olmaması gerektiğini dile getirmiştir. Bunun sonucunda Kurul, KVKK’nın 4’üncü maddesi gereği Kişisel Veri işleme ilkelerine aykırılık bulunduğuna ve 12’nci maddesinin 1 numaralı fıkrası gereği açık rızanın alınmadığı tespitiyle idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7’nci Maddesi gereği ivedilikle yok edilmesi, eğer ilgili özel nitelikteki verilerin üçüncü kişilere aktarılması söz konusu ise, yok edilmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/159

31/05/2019

Konu: Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin.

Kararı Paylaşın

Karar Özeti:

Kurul yapmış olduğu inceleme sonucunda; ilgili kişinin, firmanın cevabını esasen teslim almış olduğunu, firmanın banka ile yapmış olduğu sözleşme sonucunda veri sorumlusu şirketçe alacağın temlik alındığını, dolayısıyla yeni alacaklı olarak borcun taksitinin ödenmesi adına iletişime geçtiğini ve bu anlamda yapacak bir işlem olmadığına karar vermiştir. Ancak, söz konusu SMS’in birden fazla kere gönderilmesini sahip olunan hakkı kötüye kullanma olarak değerlendiren kurum veri işlemede kanuna ve dürüstlük kurallarına aykırılık sebebiyle idari para cezası uygulanmasına karar vermiştir.

Ceza: 20.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/104

11/04/2019

Konu: Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook tarafından duyurulan ihlalde kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül – 25Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirlenmiştir. Kurul tarafından yapılan inceleme neticesinde veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?