EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"E-Ticaret" etiketli kararlar

2022/243

17/03/2022
Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

2021/603

22/06/2021
Konu: İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusuna yaptığı başvuruda bulunması gereken hukuki niteliklerin bulunmadığı, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirildiği, ilgili kişinin bu adreste olmaması nedeniyle teslimatın gerçekleşmediği, iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslim amacıyla taraflarına iletilen bilgiler neticesinde elde edildiği, taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlardan yasal zorunluluk nedeniyle silinemediği, bu hususun tekrar yaşanmaması için mevcut cari kayıtlar güncellenmiş ve ilgili kişinin yeni siparişlerde verdiği güncel bilgiler doğrultusunda yeniden cari açılımın yapılmış olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verilerinin silinmesi gereken sebebin oradan kalkmadığı ve cari bilgilerin pasifize edildiği, ilgili kişinin veri sorumlusuna yaptığı başvuruda ise ilgili kişinin yönlendirilmediği, eksik hususlara yönelik gerekli aksiyonların alınmadığı ve bunların da hukuka aykırılık teşkil ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/426

27/04/2021
Konu: Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme.

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 5 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına, KVKK’nın 12’nci maddesinin 5 numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Karraı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünün yerine getirilmemesi sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2021/358

13/04/2021
Konu: İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmiş olmasına rağmen, ilgili kişiye SMS’ler ve telefon aramalarının gittiği, ilgili kişinin buna ilişkin veri sorumlusuna yaptığı başvurunun mevzuatta belirlenen süre sonrasında cevaplanıp yetersiz kaldığı, verilen cevapta kişisel verilerin yurt dışına aktarılabileceği, ilgili kişinin buna yönelik açık rızasının bulunmadığı, KVKK’nın 9’uncu maddesindeki istisnaların da olayda yer almadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili iletiler kapsamında ilgili kişinin açık rızasına gerek olmadığı, veri sorumlusunun gerekli yasal bilgilendirmeyi yapması nedeniyle hukuka aykırılık bulunmamasıyla birlikte, ilgili kişinin kişisel verilerinin silinmesini talep etmesi nedeniyle veri sorumlusunun bunu kabul etmemesinin hukuka aykırı olduğu belirtilmiştir. Bu kapsamda, ilgili kişilerin başvurularını cevaplarken gerekli dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/85

03/02/2021
Konu: İlgili kişinin Kanunun 11’inci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerini işlenmesine ilişkin bir aydınlatmanın bulunmadığı, 26.06.2019 tarihinde veri sorumlusundan buna ilişkin bilgi talep ettiği, veri sorumlusunun 23.07.2019 tarihindeki cevabının ise yeterli bulunmadığı; zira veri sorumlusunun internet sitesinde bulunan ‘‘Kişisel Veriler Politikası’’ (Politika bölümünün bir aydınlatma olmadığı, ‘‘belirli ve açık’’ olmadığı, Politikada IP, Çerez gibi verilerin sayıldığı ancak verilen cevapta bu konulara ilişkin bir bilgilendirmenin yapılmadığı, cevap metni ile Politika’nın çeliştiği, Politikada veri bazında bir bilgilendirmenin bulunmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun detaylı bilgilendirme için ilgili kişileri Aydınlatma Metnine yönlendirmesi gerekliliğini yerine getirmediği, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer alan politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/715

17/09/2020
Konu: Bir e-ticaret şirketinin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına ve ihlalden etkilenen kişilere en kısa sürede bildirimin gerçekleştirilmiş olması sebebiyle ayrıca bir işlem yapılmasına gerek bulunmadığına karar verilmiştir.

Ceza: 165.000 TL idari para cezası kesilmiş ve talimatlandırılmasına karar verilmiştir.

2020/173

27/02/2020
Konu: Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Amazon Turkey hakkında ilgili kişilerin bilgilerini işlemek suretiyle ticari elektonik ileti göndermek hususunda ilgili kişilerin açık rızasının usulüne uygun olarak alınmadığı, açık rıza dışında da bir işleme dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızaları olmaksızın işlendiği, açık rızanın usulüne uygun alınmadığı, yurtdışına aktarıma ilişkin açık rıza alınmadığı belirtilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.100.000,00-TL idari para cezası uygulanmıştır.

2020/113

11/02/2020
Konu: Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan ihlal bildiriminde, veri sorumlusunun internet sitesinden ve mobil uygulamasına ilişkin olarak veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlenmesinin bu sırada gerçekleşmiş olabileceği, azami 257.000 kişinin etkilenme ihtimalinin bulunduğu, ihlalden etkilenen kişisel verilerin kimlik, kriptolanmış kullanıcı hesabı şifreleri olduğu beliritlmiştir. Kurul tarafından veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir ksıt bulunmaksızın erişldiği, sızma testlerinin ihlal öncesi yapılmadığı, mobil uygulama içerisinde SSL Sertifika olmaması, politika ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulması, kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmemesi sebebiyle veri sorumlusu hakkında veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezası uygulanmıştır.