EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"İdari Tedbir" etiketli kararlar

2023/646

27/04/2023

Konu: Üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması ile kişisel veri işleme faaliyetinin Kanun’da yer alan İşleme Şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği hakkında Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilmiştir. Kanunun “”Kişisel Verilerin İşlenme Şartları”” başlıklı 5. maddesinin (1) numaralı fıkrasına göre kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak (2) numaralı fıkra, belirli şartlar altında rızanın aranmayabileceğini belirtmektedir. Bu şartlar arasında, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rıza alınamayacak durumlar, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri gibi durumlar bulunmaktadır.
Ancak, Kanunun 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlü olduğunu belirtir.
Yapılan inceleme sonucunda, ilgili kişinin izin durumuna ilişkin kişisel verilerinin paylaşımının, Kanunun 5. maddesinin belirlediği şartlara uymadığı ve bu durumun Kanunun 12. maddesine aykırılık teşkil ettiği kanaatine varılmıştır. Bu nedenle, veri sorumlusu bünyesinde görev yapan ilgili personele disiplin hükümleri uyarınca işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir.

Ceza: Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/902

02/09/2022

Konu: İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma yapılan bir şikayette özetle veri sorumlusu şirketle herhangi bir etkileşime geçilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rıza onayı alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği ve veri sorumlusunun ilgili kişiden özür dileyerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun yapılan yanlışın fark edilmesi üzerine iptal işlemini başlattığı fakat bazı müşterilere kısa mesaj gitmesine engel olamadığını beyan edildiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aukırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikayet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili veri ihlal bildiriminde bulunmadığı da dikkate alınarak 30.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 30.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/768

03/08/2022

Konu: Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin, şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edilidiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilgili başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin telefon numarasının, veri sorumlusu tarafından Kanunda yer alan işleme şartlarından herhangi birine dayanmadan ilgili sigorta şirketine aktarıldığı, bu minvalde gerekli idari ve teknik tedbirlerin alınmadığı da göz önünde bulundurularak 250.000 TL idari para cezası verilmiştir.

Ceza: 250.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1324

23/12/2021

Konu: Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildirimi ile veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği, ihlalden 21.504.083 kullanıcının etkilendiği, etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri ihlalinin çok büyük çapta olduğu, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı, 8 gün boyunca süren veri ihlalinin veri sorumlusu tarafından fark edilmemesinin veri sorumlusunun kusurundan kaynaklandığı, güvenlik uyarılarının hizmet alınan üçüncü taraflarca kontrol edilmediği sebebiyle veri sorumlusunun gerekli denetimleri sağlamadığı belirtilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.900.000.-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/470

06/05/2021

Konu: İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, ilgili kişi tarafından yemek kartına ait hesap hareketlerinin tarafına iletilmesine ilişkin veri sorumlusuna yaptığı başvuruda, veri sorumlusuna gmail hesabından ilettiği kişisel verilerine ek olarak kimlik doğruluğunun tespiti amacıyla telefon numarasının aranmasının hukuka aykılığına ilişkin hususlar değerlendirilmiştir. Bu kapsamda, Kurul tarafından KVKK’nın 11’inci maddesinin 1 numaralı fıkrasının b bendindeki hükmü kapsamında ilgili kişilnin kendisiyle ilgli kişisel veriler işlenmişse bilgi talep etme hakkının, söz konusu veriye erişim hakkkını da kapsadığı belirtilmiştir. Bununla birlikte, KVKK’nın 12’inci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğu beliritlmiştir. Bu doğrultuda, veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyaların şifrelenmesinin ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin derhal kişiyle paylaşılacağının belirtilmesinin kişisel verilere erişim hakkının engellenmediği, aksine KVKK’nın 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edilmesine yönelik uygun bir tedbir olduğuna karar verilmiştir.

Ceza: KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021 / 427

27/04/2021

Konu: Bir e-ticaret sitesi nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkilerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda taraflar arasında imzalanan “Gizlilik Sözleşmesi” öncesinde ” veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişim meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı belirtilmiştir. Bununla birlikte ihlalin veri sorumlusu tarafından tedarikçi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda, veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal ettiğine karar verilmiştir.

Ceza: Veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1’nci fıkrası uyarınca 600.000,00-TL idari para cezası ve 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılması sebebiyle 200.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/213

12/03/2020

Konu: Bir internet servis sağlayıcısının veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabilecekleri bir Online İşlem Merkezi bulunduğu, müşterinin ödeme yaptığı sırada ekranda fatura seçilmesi gerektiği uyarısının belirdiği, sorun giderilmek üzere çalışma yaparken açığa çıkan bir güvenlik açığı sebebiyle müşteri kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği, 69 kişiye ait kart bilgisinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksiliği olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde idari para cezası yaptırımı uygulanmasına karar verilmiştir.

Ceza: 300.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/103

06/02/2020

Konu: Bir Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak Kurula yapılan başvuru hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, veri sorumlusu bankanın potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelmediği tespit edilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri sorumlusu banka tarafından herhangi bir işleme şartı mevcut olmaksızın ilgili kişinin verilerinin işlenmesi sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırı şekilde güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 210.000,00-TL idari para cezası ugulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/58

27/01/2020

Konu: Bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirterek gerekli yasal işlemin yapılması talep edilmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından sosyal medya paylaşımlarında müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bazı durumlarda plaka numaralarına yer verildiği tespit edilmiştir. Söz konusu işleme faaliyetine ilişkin ilgili kişilerden açık rıza alınmaması sebebiyle işleme faaliyetlerinin hukuka aykırılık teşkil ettiğine ve bu çerçevede KVKK’nın 12’nci maddesi ile veri sorumlusuna yüklenmiş yükümlülükleri yerine getirmediğine karar verilmiştir.

Ceza: 22.500,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2018/63

31/05/2018

Konu: Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verileri işleme yetkisi olanlar tarafından, yetkisi ve amacı dışında veri işlenmesi hususunun değerlendirilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından verilen ilke kararı sonucunda; veri sorumlusu nezdinde bulundukları pozisyon ve/veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil edeceğine karar verilmiştir. Bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik her türkü teknik ve idari tedbirin alınması hususunda veri sorumluları bilgilendirilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?