EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"E-Posta" etiketli kararlar

2020/388

03/05/2022
Konu: Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılması

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılmasına istinaden inceleme başlatılmıştır. KVKK madde 12’ye göre hazırlanan Kişisel Veri Güvenliği Rehberinde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığına dikkat çekilmektedir. Bu sebeple de Kurul, çift faktörlü doğrulama için ilk doğrulamanın TC kimlik numarası, ad soyad, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağını değerlendirmiştir. Sonuç olarak belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak suretiyle Kanunun 12’nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2022/243

17/03/2022
Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

2021/1243

09/12/2021
Konu: İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, veri sorumlusu bir insan kaynakları firmasının ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak KVKK’nın 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrası uyarınca idari para cezası uygulanmasına karar verilmiştir. Aynı zamanda ilgili kişinin e-posta adresi bilgisinin KVKK’ya aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.

2021/1187

25/11/2021
Konu: Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü, veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği, KVKK’nın 11’inci maddesi kapsamında veri sorumlusuna başvuruda bulunulduğu ve ayrıca KVKK’nın 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartı haiz olmadan işlenen kişisel verilerinin silindiğini veya yok edildiğini gösterir bilgi ve belgelerin iletilmesinin talep edilmiştir. Kurul tarafından yapılan inceleme sonucunda , ilgili kişiye KVKK ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin KVKK’nın 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, KVKK’nın 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000-TL idari para cezası uygulanmıştır.

2021/993

30/09/2021
Konu: Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin 2018-2020 yılları arasında kişisel verilerinin kargo taşıma sözleşmesinin gereği olarak işlendiği, ileride meydana gelecek olası uyuşmazlıklarda delil teşkil etmek üzere saklandığı, meslek kuruluşunun üyelerine indirim sağlanan sözleşme kapsamında veri sorumlusunun arşivinde bu verilerin yer aldığı, veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir ‘‘True/False’’ yanıtının iletildiği, aktarım yapılmadığı, şikayete konu olan faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, kişisel verilerin sözleşmenin ifası nedeniyle işlendiği, ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, üçüncü kişilere aktarım olmadığının kanıtlanmadığı, belirtilen süreler boyunca muhafaza etmenin hukuka uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/799

12/08/2021
Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/671

06/07/2021
Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

2021/670

06/07/2021
Konu: İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişiye gerekli aydınlatmalar yapılarak kişisel verilerinin işlendiği, ilgili kişinin şirket prensiplerine uygun olarak değerlendirilebilmesi için ve diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği, iş başvurusunun kabul edilmemesinin akabinde, işlenen kişisel verilerin ilgili kişinin talebi üzerine yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirmesine esas genel gerekçesinin muhafaza edildiği, saklama amacının ilgili kişiye iletildiği, ilgili kişinin sonraki başvurusunu müteakip ilgili kişiye ait kişisel verilerin ilk periyodik imha işleminde silineceği bilgisinin iletildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verinin işlenmesinin sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek resen imha işleminin bu duruma uygun olmayacağı, ilgili kişinin talebi üzerine imha işleminin gerçekleştirilmesinin gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/548

04/06/2021
Konu: İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması.

Kararı Paylaşın

Karar Özeti:

Dijital platformun ilgili kişiye pazarlama faaliyetleri kapsamında yaptığı aramalar ve sonucu ilgili kişinin irtibat formu ile veri sorumlusuna başvurduğu ancak yeterli bir yanıt alamadığı, işlenen suçun kabul edildiği ancak detay içermeyen cevap ile geçiştirilmeye çalışıldığı belirtilmiştir. Dijital platform tarafından, ilgili kişinin kendilerinin müşterileri olmadığını ve ilgili kişiyi arayan numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar faaliyet gösteren bir bayiye tahsis edildiği; bahsi geçen aramanın kendilerinin bilgisi ve izni dahilinde yapılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, bayinin, kendi iradesiyle ve dijital platformdan bağımsız şekilde ilgili kişinin açık rızası ve kanunda belirtilen veri işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle veri sorumlusu sıfatını haiz olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/426

27/04/2021
Konu: Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme.

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 5 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına, KVKK’nın 12’nci maddesinin 5 numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Karraı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünün yerine getirilmemesi sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.