EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"İnternet Sitesi" etiketli kararlar

2023/1041

15/06/2023

Konu: Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

İnternet sitesi sahibi bir veri sorumlusunun web sitesi üzerinden hizmet sunumu sırasında aydınlatma yükümlülüğünü yerine getirmemesi ve hizmetin açık rıza şartına bağlaması ile ilgil olarak gelen şikayeti değerlendiren Kurul, veri sorumlusunun hizmet sunumunda açık rızanın alınması sırasında alternatif satış kanallarının açık ve anlaşılır biçimde gösterilmemiş olmasını gerekçe göstererek veri sorumlusunu web sitesinde üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimatlandırmıştır.

Ceza: Herhangi bir idari para cezası uygulanmamıştır, ancak veri sorumlusuna üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimat verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1358

23/12/2022

Konu: Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kuruma iletilen şikayette bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği göz önünde bulundurularak 300.000 TL idari para cezası uygulanmasına, sitede çerezlerle işlenen kişisel veriler bakımından ilgili Kanun ve Tebliğ’e uygun şekilde aydınlatma yapılması yönünde talimatlandırılmasına ve kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmakla birlikte aydınlatma metnindeki eksikliklerin giderilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: 300.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1201

10/11/2022

Konu: İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soy adı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma yapılan şikayette özetle; ilgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle yapılan arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak taraflarına verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususları beyan edilerek ilgili kişinin ismiyle veri sorumlusu arama motoru üzerinde arama yapıldığında ilgili adresin çıkmamasının sağlanması için gereğinin yapılması talep edilmiştir. Kurum tarafından yapılan inceleme sonucunda arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikayete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/774

03/08/2022

Konu: Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 120.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/491

18/05/2022

Konu: Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi hakkında

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sitesinde paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ve veri sorumlusu arasındaki sözleşmeye istinaden internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/137

17/02/2022

Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/13

06/01/2022

Konu: İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a iletilen olayda, ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (“YKS”) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemelerde öncelikle kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirilerek kişisel veri niteliğini haiz olduğuna karar verilmiştir. Bununla birlikte, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu belirtilmiştir. Karar’a konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü, ilgili kişi açısından kişisel verilerinin korunmasını isteme hakkının söz konusu olduğu, bu doğrultuda basın özgürlüğü ve kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkının karşı karşıya olması sebebiyle haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği belirtilerek bunun temel ölçüsünün ise kamu yararının bulunması ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunması gerektiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, haber konusu yapılan olayda kamu yararı bulunmadığı kanaatine varılarak haber ile gerçekleştirilen veri işleme faaliyetinin KVKK’nın 28’inci maddesinin 1 numaralı fıkrası kapsamında ifade özgürlüğü içerisinde değerlendirilemeyeceğine ve söz konusu veri işleme faaliyetinin istisna kapsamında olmadığına karar verilmiştir. Bu kapsamda veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırı veri işleme faaliyeti uyarınca KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 30.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/1127

04/11/2021

Konu: Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda ilgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının bulunulmuş ve ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin kanıt niteliğinde bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS (Elektronik Belge Yönetim Sistemi) aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmıştır. Bununla birlikte Kurul tarafından yapılan incelenmeler sonucunda, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının KVKK’nın 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle KVKK’ya aykırılık teşkil etmediği sonucuna ulaşılmıştır. Diğer yandan ilgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; veri sorumlusunun kişisel bilgilerinin internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda KVKK’nın 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediğine karar verilmiştir.

Ceza: İdari para cezası uygulanmış, miktarı açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/989

30/09/2021

Konu: İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu, haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceği, ilgili kişinin kendilerine yaptığı başvurunun usulüne uygun yapılmaması nedeniyle hukuka aykırı olduğu ve reddedilmesi gerektiği, başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı, ilgili veri işleme faaliyetinin ise kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili içeriğin KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca istisna olarak ele alınamayacağı, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesine yönelik uygun teknik ve idari tedbirleri almadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/859

26/08/2021

Konu: İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi.

Kararı Paylaşın

Karar Özeti:

Şirket tarafından gerekli operasyonları yönetmek için kişisel verilerin işlenebildiği, kişisel verilerin işlenmesinin abonelik sözleşmesi kapsamında olduğu, çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, mevzuatın izin verdiği veya yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı, düzenli olarak kontrol edildiği ve denetlendiği, kişisel verilerin ilgili mevzuata uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği, ilgili durumlarda ilgili mercie yanıt verebilmek ve bilgi/belge sunabilmek için asgari olarak kimlik bilgilerinin tutulduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği, söz konusu işleme şartının ortadan kalktığı, asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu, verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?