EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"İlgili Kişinin Rızası Dışı Veri İşleme" etiketli kararlar

2022/790

04/08/2022

Konu: Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu kurumuna aktarılması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet dilekçesinde özetle; bir kamu kurumu ile ilgili kişi arasında idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edildiği, söz konusu talep üzerine üniversite hastanesi tarafından ilgili kişiye ait sağlık verilerinin kamu kurumuna teslim edildiği, üniversitenin yapmış olduğu ihlal nedeni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulunulduğu, üniversite tarafından yapılan hukuka aykırı eylem nedeni ile hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenlenen hasta formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor” içerikli beyan üzerine hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ilgili kişinin gözaltında kaldığı, konutu ve arabasının arandığı, ilgili kişinin üniversite hastanesinde çalışmakta olan doktora böyle bir beyanda bulunmadığı, üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği cevabın doktor tarafından yanlış anlaşılarak hasta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, yapılan soruşturma neticesinde ilgili kişi hakkında kovuşturmaya yer olmadığına dair karar verildiği, uyuşturucu madde kullanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olduğu, bu nedenle ilgili kişiye ait sağlık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin açık rızası mevcut olmadığı halde ilgili kişiye ilişkin özel nitelikli kişisel veri olan sağlık verilerinin Kanun’a aykırı olarak kamu kurumuna aktarıldığı, işisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirildiğinden sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına, Şikayete konu edilen verilerin aktarıldığı kamu kurumu nezdinde de bu verilerin imha edilmesinin sağlanması hususunda gerekli işlemlerin tesis edilmesine ve yapılan işlemin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: Disiplin Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/489

18/05/2022

Konu: Kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerin Birliğin vekili tayin edilen avukat ile paylaşılması ve müteakiben söz konusu belgelerin avukat tarafından Baroya aktarılması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma yapılan ilgili kişi şikayetinde özetle; kendisi de avukatlık mesleğini icra eden ilgili kişinin kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerinin, Birliğin vekili tayin edilen avukat ile rızası dışında paylaşıldığı belirtilmiştir. Kurumun yapmış olduğu inceleme sonucunda; Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına, Veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarması hakkında Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1239

09/12/2021

Konu: Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda banka ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamaması gösterilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/303

24/03/2021

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve diğer şirketlere aktarılması hakkındaki 2020/899 sayılı karara ilişkin itiraz hakkında.

Kararı Paylaşın

Karar Özeti:

2020/899 sayılı Kurul Kararıyla veri sorumlusuna verilen talimatta aydınlatma yükümlülüğünün gerçekleştirilip gerçekleştirilmediği hususunda bilgi istenmiş ancak veri sorumlusu Kuruma herhangi bir bilgi vermemiştir. Bunun üzerine kuruma yapılmış olan 2020/899 sayılı kararın itiraz niteliğinde olan başvuruda; veri sorumlusunun aydınlatma yükümlülüğünü yerine getirip getirmediği hususunda Kurula bilgi vermesi, veri sorumlusunun ilgili kişinin verilerini hukuka aykırı işlediği ve Kanunu ihlal ettiğinin tespitini, bu tespit doğrultusunda veri sorumlusuna idari yaptırım uygulanması ve söz konusu Kurul Kararı’nın kaldırılıp yerine yeni işlem tesis edilerek inceleme yapılması talep edilmiştir. Kurul yapılan incelemede; veri sorumlusunun talimatı yerine getirmemesi sebebiyle KVKK md.18 f.1 b.(c) kapsamında 75.000 TL idari para cezasına karar vermiştir. Kurul kararına ilişkin itiraz hususunda ise hukuki anlamda somut zemine oturan argümanların olmaması sebebiyle yapılacak bir işlem olmadığına karar vermiştir. 

Ceza: 75.000 TL -İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/899

24/11/2020

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve üçüncü taraflara aktarılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurum’a iletilen şikayette; bir dönem Veri Sorumlusu bünyesinde çalışmış olan ilgili kişi , veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği bu sebeple de kişisel verileri hukuka aykırı işlediği, ilgili kişinin kişisel verilerini diğer şirketlere aktardığı, veri sorumlusuna KVKK md.13 kapsamında başvurduğunu ancak herhangi bir dönüş alamadığını ayrıca veri sorumlusunun, özel nitelikli kişisel veri olan ceza mahkumiyeti verisini rıza alınmaksızın ve hatalı işlediğini, bu veriyi diğer şirketlere aktarmış olduğunun kuvvetle muhtemel olduğu iddialarında bulunmuştur. Veri Koruma Otoritesi iddialar ve cevaplarla sunulan belgeler doğrultusunda yapmış olduğu incelemede; veri sorumlusunun kendisine yapılmış olunan başvuruya makul sürede yanıt verdiği ve bu noktada hukuka aykırı bir eylem olmadığı için bir işlem tesis etmemiştir. İlgili kişinin çok sayıda verisinin (özellikle özel nitelikli kişisel verisi olan ceza mahkumiyeti verisi) diğer şirketlere aktarıldığı iddiası hususunda ilgili kişinin kanıtlayıcı bir belge sunmaması sebebiyle bir işlem tesis edilmemiştir. İlgili kişinin, veri sorumlusunun gerekli aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin veri sorumlusu tarafından herhangi bir belge Kurum ile paylaşılmamış bu sebeple işbu hususta veri sorumlusunun Kurula bilgi vermesi konusunda talimat verilmiştir. Son olarak özel nitelikli kişisel verisi olan ceza mahkumiyeti verisinin ilgili kişinin rızası alınmaksızın işlenmiş olduğu iddiasında; şikayete konu verinin ceza mahkumiyeti kapsamına giremeyeceği bu sebeple özel nitelikli veri olmadığı değerlendirmesine varılmış olup, bu verinin işlenmesinin KVKK md.5 f.2 b.(e) kapsamında olduğu için herhangi bir işlem tesis edilmemiştir.

Ceza: Veri sorumlusu talimatlandırılmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/32

16/01/2020

Konu: İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi, kredi kartını kendi rızası dışında 3. kişilere teslim ederek kişisel verilerinin açığa çıkmasına sebep olan bankayı Kurul’a şikayet eder. Olayda esasen kredi kartının ilk adrese teslim için geldiği ancak kimse olmadığı için geri döndüğü ve SMS bilgilendirmesi yapıldığı, ancak buna rağmen servis dışı tel numarasına mesaj gitmediği, bunun üzerine sistemde kayıtlı ikinci adrese gidildiği ve orada birine teslim edildiği, ancak sisteme kartın ilk adreste birine teslim edildiğinin işlendiği, bu kişinin taınmıyor olduğunun beyanı üzerine kartın bloke edildiği anlaşılmıştır. Kurul, bankanın bilgilerin güncelliğini sağlamak adına yeterli çabayı göstermediğini, kuryenin/kargonun de teslim sırasında yeterli özeni göstermediği, ancak kuryenin kredi kartı verisinden sorumlusu olmadığı, ancak kuryenin mevzuat gereği gönderici ve alıcılara ilişkin isim, unvan, kimlik gibi bilgileri doğru girmekle ilgili sorumluluğu olduğunu, ancak bunun kuryenin sözleşmeye aykırılıktan borçlar kanunu konusu olduğu, mevcut olayla ilgili bankanın veri güvenliği açısından yeterli idari ve teknik tedbirleri almadığına karar verildi. Kurul idari para cezası uygulamıştır.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?