EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"E-Ticaret" etiketli kararlar

2023/567

11/04/2023

Konu: Bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesinden alışveriş yapmak isteyen ilgili kişi, satın alma adımına geldiğinde işlemlere devam edebilmek için bilgilerini girdiği banka/kredi kartının siteye kaydedilmesinin zorunlu olduğunu fark eder. Kart bilgilerini kaydetmeden alışverişini tamamlayamayan kişi, açık rızanın hizmet koşuluna bağlanması ve kart bilgilerini kaydetmek için gerekli aydınlatma metinlerinin bulunmaması sebebiyle Kuruma şikayette bulunur. Kurum tarafından istenen savunmaya veri sorumlusu e-ticaret şirketi kişilerin alışveriş yapmak için kart bilgilerinin gerekli olduğu ve kaydedilmesinin de yine sözleşmenin kurulması için bir gereklilik olduğunu söyleyerek diğer iddiaları reddetmiştir. Kurum tarafından anonim bir hesap ile yapılan test alışverişinde ilgili kişinin iddialarındaki olayların gerçek olduğu anlaşılmıştır. Her ne kadar kaydedilen kart bilgileri sonradan silinebilir de bunun kanuna aykırı olduğu açıktır. Yapılan incelemede Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve bu suretle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına karar verilmiştir. İhlale konu özelliklerin değiştirilmesi için e-ticaret sitesine süre verilmiştir.

Ceza: 500.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/774

03/08/2022

Konu: Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 120.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/243

17/03/2022

Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/229

10/03/2022

Konu: E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

Kararı Paylaşın

Karar Özeti:

Kurul vermiş olduğu kararda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığına karar vermiştir. Bununla birlikte, veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınmasına karar verilmiştir. Sonuç olarak veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, KVKK’nın 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların KVKK’nın 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 800.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/1127

04/11/2021

Konu: Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda ilgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının bulunulmuş ve ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin kanıt niteliğinde bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS (Elektronik Belge Yönetim Sistemi) aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmıştır. Bununla birlikte Kurul tarafından yapılan incelenmeler sonucunda, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının KVKK’nın 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle KVKK’ya aykırılık teşkil etmediği sonucuna ulaşılmıştır. Diğer yandan ilgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; veri sorumlusunun kişisel bilgilerinin internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda KVKK’nın 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediğine karar verilmiştir.

Ceza: İdari para cezası uygulanmış, miktarı açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/603

22/06/2021

Konu: İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusuna yaptığı başvuruda bulunması gereken hukuki niteliklerin bulunmadığı, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirildiği, ilgili kişinin bu adreste olmaması nedeniyle teslimatın gerçekleşmediği, iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslim amacıyla taraflarına iletilen bilgiler neticesinde elde edildiği, taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlardan yasal zorunluluk nedeniyle silinemediği, bu hususun tekrar yaşanmaması için mevcut cari kayıtlar güncellenmiş ve ilgili kişinin yeni siparişlerde verdiği güncel bilgiler doğrultusunda yeniden cari açılımın yapılmış olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verilerinin silinmesi gereken sebebin oradan kalkmadığı ve cari bilgilerin pasifize edildiği, ilgili kişinin veri sorumlusuna yaptığı başvuruda ise ilgili kişinin yönlendirilmediği, eksik hususlara yönelik gerekli aksiyonların alınmadığı ve bunların da hukuka aykırılık teşkil ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/426

27/04/2021

Konu: Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme.

Kararı Paylaşın

Karar Özeti:

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verileri sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, patner firma tarafından Kurum’a bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır. Kurul tarafından yapılan incelemede, veri ihlalinin hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği, veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bunmaması sebebiyle veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğine sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 5 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 300.000,00-TL idari para cezası uygulanmasına, KVKK’nın 12’nci maddesinin 5 numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Karraı ile belirlenen 72 saat içerisinde bildirim yükümlülüğünün yerine getirilmemesi sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/358

13/04/2021

Konu: İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmiş olmasına rağmen, ilgili kişiye SMS’ler ve telefon aramalarının gittiği, ilgili kişinin buna ilişkin veri sorumlusuna yaptığı başvurunun mevzuatta belirlenen süre sonrasında cevaplanıp yetersiz kaldığı, verilen cevapta kişisel verilerin yurt dışına aktarılabileceği, ilgili kişinin buna yönelik açık rızasının bulunmadığı, KVKK’nın 9’uncu maddesindeki istisnaların da olayda yer almadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili iletiler kapsamında ilgili kişinin açık rızasına gerek olmadığı, veri sorumlusunun gerekli yasal bilgilendirmeyi yapması nedeniyle hukuka aykırılık bulunmamasıyla birlikte, ilgili kişinin kişisel verilerinin silinmesini talep etmesi nedeniyle veri sorumlusunun bunu kabul etmemesinin hukuka aykırı olduğu belirtilmiştir. Bu kapsamda, ilgili kişilerin başvurularını cevaplarken gerekli dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/85

03/02/2021

Konu: İlgili kişinin Kanunun 11’inci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerini işlenmesine ilişkin bir aydınlatmanın bulunmadığı, 26.06.2019 tarihinde veri sorumlusundan buna ilişkin bilgi talep ettiği, veri sorumlusunun 23.07.2019 tarihindeki cevabının ise yeterli bulunmadığı; zira veri sorumlusunun internet sitesinde bulunan ‘‘Kişisel Veriler Politikası’’ (Politika bölümünün bir aydınlatma olmadığı, ‘‘belirli ve açık’’ olmadığı, Politikada IP, Çerez gibi verilerin sayıldığı ancak verilen cevapta bu konulara ilişkin bir bilgilendirmenin yapılmadığı, cevap metni ile Politika’nın çeliştiği, Politikada veri bazında bir bilgilendirmenin bulunmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun detaylı bilgilendirme için ilgili kişileri Aydınlatma Metnine yönlendirmesi gerekliliğini yerine getirmediği, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer alan politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı belirtilmiştir. Bu kapsamda veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına  karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/715

17/09/2020

Konu: Bir e-ticaret şirketinin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası uyarınca veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası uygulanmasına ve ihlalden etkilenen kişilere en kısa sürede bildirimin gerçekleştirilmiş olması sebebiyle ayrıca bir işlem yapılmasına gerek bulunmadığına karar verilmiştir.

Ceza: 165.000 TL idari para cezası kesilmiş ve talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?