EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

" İlgili Kişi" etiketli kararlar

2022/229

10/03/2022
Konu: E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

Kararı Paylaşın

Karar Özeti:

Kurul vermiş olduğu kararda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığına karar vermiştir. Bununla birlikte, veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınmasına karar verilmiştir. Sonuç olarak veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, KVKK’nın 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların KVKK’nın 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 800.000 TL idari para cezası uygulanmıştır.

2022/137

17/02/2022
Konu: İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapılması

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan haberde olayın ilgili kişi ve çocuğu hakkında olmadığı, gerçeğe aykırı haber yapılırken ilgili kişinin Facebook sayfasından alınan fotoğrafın amacı dışında kullanılmasının ve yayılmasının hukuka açıkça aykırı olduğu, hukuka aykırı olarak kullanılan fotoğrafla yapılan haber nedeniyle 5237 sayılı Türk Ceza Kanunu’nun 132 ila 138’inci maddelerinde düzenlenen suçların işlendiğinden bahisle Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, konuya ilişkin olarak medya şirketine yapılan başvuruya rağmen otuz günlük yasal süre içerisinde hukuka aykırılığın giderilmediği, başvuruculara da bilgi verilmediğinden kişisel verilerin imha edilmesi, uğranılan zararların giderilmesi, ayrıca medya şirketi hakkında idari ve cezai yaptırım uygulanmasına karar verilmesi talep edilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, kişisel verilerin herhangi bir veri işleme şartına dayanmadığından işlenmesi sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

2022/137

17/02/2022
Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

2022/103

10/02/2022
Konu: Unvanında ilgili kişinin adının geçtiği şirket hakkındaki hukuki dokümanın sosyal medyada paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette bir tüzel kişinin unvanında ilgili kişinin adının geçtiği ve şirket hakkındaki icra takibinin sosyal medyada paylaşılmasından ötürü KVKK’nın 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişi kavramı üzerinden gerçek kişi tüzel kişi ayrımı tanımlanmış olup her ne kadar şirketin adında ilgili kişinin adı geçse de sosyal medyadaki paylaşım tüzel kişiliğe yönelik olup KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2021/1304

23/12/2021
Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: Veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında çerçevesinde işlem tesis edileceği belirtilmiştir.

2021/1210

02/12/2021
Konu: İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından yapılan başvuruda farklı tarihlerde bir şirket adına kampanyalar hakkında bilgilendirilmek üzere arandığı, reklam ve pazarlama faaliyetlerine ilişkin açık rızasının bulunmadığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, adına arama yapılan şirket ve bayisinin veri sorumlusu olarak hareket ettiğine yönelik bir tespitte bulunamadığı, herhangi bir işleme şartı bulunmaksızın telefon numarası işleyen veri sorumlusu gerçek kişi bayiye çağrı merkezi hizmeti sunan kişi hakkında KVKK’nın 12’nci maddesi kapsamında idari para cezası uygulanmasına, ilgili kişi tarafından kullanılmakta olan telefon numarasının imha edilmesine karar verilmiştir.

Ceza: İdari para cezası uygulanmıştır.

2021/1187

25/11/2021
Konu: Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü, veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği, KVKK’nın 11’inci maddesi kapsamında veri sorumlusuna başvuruda bulunulduğu ve ayrıca KVKK’nın 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartı haiz olmadan işlenen kişisel verilerinin silindiğini veya yok edildiğini gösterir bilgi ve belgelerin iletilmesinin talep edilmiştir. Kurul tarafından yapılan inceleme sonucunda , ilgili kişiye KVKK ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin KVKK’nın 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, KVKK’nın 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000-TL idari para cezası uygulanmıştır.

2021/1104

02/11/2021
Konu: İlgili kişinin verilerin silinmesi için veri sorumlusu Bankadan talepte bulunmasına rağmen Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen olayda banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı ve ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 2019 tarihinde kapatılmış ve ilgili kişinin, verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunmuştur. Banka, ilgili kişinin verilerinin 6102 sayılı Türk Ticaret Kanunu’nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu’nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı belirtilmiş ve ilgili kişinin kişisel verilerinin silinmesi talebine olumsuz yanıt vermiştir. Buna rağmen veri sorumlusu Banka tarafından ilgili kişiye bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerinin işlendiği tespit edilmiştir. Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin KVKK’nın 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alınarak KVKK’nın 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.

2021/1111

02/11/2021
Konu: Veri sorumlusu avukatın vekillik görevi üstlendiği işçilik alacakları davası kapsamında karşı tarafın tanığı olan ilgili kişinin kişisel verilerinin, veri sorumlusu avukat tarafından hukuka aykırı bir şekilde elde edilmesi ve mahkemeye sunulması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun vekillik görevi üstlendiği işçilik alacakları davası kapsamında ilgili kişinin davalı tanığı olarak bilgi ve görgüsüne başvurulması üzerine, ilgili kişinin özel nitelikte kişisel verisi olan adli sicil kaydına ilişkin bilgilerin veri sorumlusu tarafından hukuka aykırı olarak ele geçirildiği ve ilgili kişinin onayı ve bilgisi olmadan mahkeme dosyasına sunulduğu belirtilmiştir. Veri sorumlusunca dosyaya sunulan ilgili kişiye ait adli sicil kaydı bilgilerinin dosyanın esasıyla ilgisinin bulunmamasına istinaden ilgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından KVKK’nın 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alınarak KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

Ceza: İlk hukuk bürosu/veri sorumlusu avukat hakkında 50.000-TL, veri sorumlusu şirket hakkında 115.000-TL, diğer hukuk bürosu olan veri sorumlusu avukat hakkında 50.000-TL idari para cevazı verilmiştir.

2021/1110

02/11/2021
Konu: Veri sorumlusu olarak bir holding bünyesinde faaliyet gösteren ikinci el araç satımı yapan şirketin icra takibi başlatılan müşterilerin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurula iletilen ihbar ile veri sorumlusu şirketin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde icra takibi başlatıldığı ve şirket tarafından icra takibi başlatılan müşterilerin T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı kişisel verilerin bir internet adresinde herkese açık bir şekilde paylaşıldığı ve bu bilgiler arasında araç plakası, şehir, ve ilçeye göre arama yapılabildiği tespit edilmiştir. Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının KVKK’nın 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak idari yaptırım uygulanmıştır.

Ceza: 200.000-TL idari para cezası uygulanmıştır.