EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Kamu Sektörü sektörü ile ilgili kararlar

2020/388

03/05/2022
Konu: Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılması

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılmasına istinaden inceleme başlatılmıştır. KVKK madde 12’ye göre hazırlanan Kişisel Veri Güvenliği Rehberinde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığına dikkat çekilmektedir. Bu sebeple de Kurul, çift faktörlü doğrulama için ilk doğrulamanın TC kimlik numarası, ad soyad, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağını değerlendirmiştir. Sonuç olarak belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak suretiyle Kanunun 12’nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

PS/00224/2021

13/01/2022
Konu: Veri sorumlusunun veri minimizasyonu ilkesini dikkate almaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda belediyenin taktırdığı halka açık otoyola dönük olan iki kameranın bilgilendirmesini içeren posterlerin yeterince açıklayıcı olmadığı sebebiyle araştırma başlatıldı. İnceleme sonucunda kameraları haklı bir neden olmaksızın kamuya açık alanları kaydetmek için kasıtlı veya ihmalkar bir şekilde konumlandırarak ve bu nedenle tanımlanabilir verileri işleyerek belediyenin birtakım ihlaller yaptığı kanısında bulunuldu. Bu nedenle, 1500 EURO para cezasının yanında kameraları GDPR’a uymaları için hareket ettirmelerini emredildi.

Ceza: 1.500 EURO ceza verildi.

2022/6

06/01/2022
Konu: İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin eski ortağı olduğu ve herhangi bir hukuki veya idari bağının olmadığı şirkete ait sicil bilgilerinin eski ortaklar başlığı altında yayınladığı ve veri sorumlusu Ticaret odasının ilgili kişinin kişisel verilerin üçüncü kişilerle izinsiz paylaşılmaması için yaptığı başvurunun reddedildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişinin işlenen verilerinin 5174 sayılı kanunda öngörülen yükümlülük kapsamında değerlendirileceği belirtilip söz konusu kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan hukuki yükümlülüğü yerine getirilmesi için zorunlu olması şartlarına dayandırılacağı kararlaştırılmıştır. İlgili kişinin talebine yönelik KVKK’nın 7’nci maddesi kapsamında işleme şartlarının ortadan kalkmaması sebebiyle ilgili kişinin talebi ile ilgili KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

2021/1214

02/12/2021
Konu: Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek şikayette bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda KVKK’nın 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde KVKK’nın “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine hüküm verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1218

02/12/2021
Konu: İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin işlenmesinde; Kurul tarafından belirlenen yeterli ve gerekli önlemleri gözetip gözetmediği”, “hangi tedbirleri aldığı”, “kişisel verilerini hangi ortamda muhafaza ettiği ve sakladığı”, “uygun güvenlik düzeyini temin edip etmediği”, “herhangi bir teknik veya idari tedbir alıp almadığı” ve “Kanun ve ilgili mevzuatta belirtilen yasal sürelere uygun olarak kişisel verilerini imha edip etmediği” hususlarında ilgili kişiyi bilgilendirmediği, ayrıca ilgili kişinin taleplerine ve sorularına cevap vermeyerek KVKK’nın 11’inci maddesi kapsamındaki her türlü bilgi alma hakkını ihlal ettiği, ilgili kişinin iş akdinin eylemli fesih yoluyla sona erdirilmesinden sonraki dönemde “hiçbir koşul altında iş yapmaması”, “işyerine gitmemesi” ve “irtibat bürosunda faal olarak görev yapmaması” konularında yazılı olarak bilgilendirildiği, ancak ilgili kişinin fotoğrafının ve sair kişisel verilerinin iş akdinin feshinden sonraki dönemde de veri sorumlusunun kurumsal internet sitesinden kaldırılmadığı, bahsi geçen internet sitesi yurtdışında bulunduğundan ilgili kişinin fotoğrafının ve sair kişisel verilerinin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama ilgili kişinin bu yönde bir rızayı hiçbir zaman vermediğini ileri sürerek gereği yapılmasını talep etmiştir. Bu doğrultuda Kurul tarafından ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından KVKK’nın 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1127

04/11/2021
Konu: Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda ilgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının bulunulmuş ve ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin kanıt niteliğinde bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS (Elektronik Belge Yönetim Sistemi) aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmıştır. Bununla birlikte Kurul tarafından yapılan incelenmeler sonucunda, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının KVKK’nın 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle KVKK’ya aykırılık teşkil etmediği sonucuna ulaşılmıştır. Diğer yandan ilgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; veri sorumlusunun kişisel bilgilerinin internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda KVKK’nın 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediğine karar verilmiştir.

Ceza: İdari para cezası uygulanmış, miktarı açıklanmamıştır.

PS/00377/2021

18/10/2021
Konu: Veri sorumlusunun gözetim kameralarının yerleştirilmesiyle ilgili olarak ilgili kişilere karşı bilgilendirme yükümlülüklerini yerine getirmemesi

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen şikayete göre: kendisinden hiçbir rıza alınmadığı halde bina içinde eylemlerini bir video gözetim sistemi ile kaydedilmesi sebebiyle şikayette bulunmuştur. Ayrıca kameralar ses kaydı da yapabildiğinden, çalışanların ve ziyaretçilerin kişisel konuşmaları kayıt altına alınabiliyordu. Son olarak, ziyaretçilere ve çalışanlara video güvenlik kameralarının varlığı konusunda bilgi veren bir tabela olmasına rağmen, bu kameraların hangi amaçla kurulduğu belli değildi. Veri koruma otoritesi, veri sorumlusunu, ses de kaydeden video gözetim kameralarının yerleştirilmesiyle ilgili olarak çalışanlarına karşı bilgilendirme yükümlülüklerini yerine getirmediği konusunda uyardı.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

PS/00314/2021

04/10/2021
Konu: Veri sorumlusunun veri koruma güvenliğinin (DPO) olmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen bildiriye göre; belediye, bir DPO’dan yoksundur. Verilerin korunmasının güvenliği ile ilgili olan görevleri önce geçici olarak belirli bir kişiye verildi, ancak daha sonra tamamen yerine getirilmeleri durduruldu. Veri koruma otoritesi, veri sorumlusunun GDPR Madde 37’nin gerektirdiği şekilde bir DPO’ya sahip olmadığını tespit etti. Bunun üzerine AEPD belediyeyi kınadı.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

PS/00250/2021

01/07/2021
Konu: Veri sorumlusunun kişisel verilerin korunması için yeterli önlem almaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen şikayete göre; ilgili kişi, bölgesel sağlık servisi (SES) tarafından istihdam edilen bir hemşirenin, şikayetçinin izni olmadan ve herhangi bir ilişkisi olmaksızın tıbbi geçmişine hukuka aykırı olarak eriştiğini iddia etmiştir. SES, Veri Koruma Otoritesi tarafından talep edilen risk değerlendirmesini veya veri koruma etki değerlendirmesini sağlamadı. İnceleme sonucunda, zorunlu risk analizinin ve önerilen etki değerlendirmesinin SES tarafından yürütüldüğüne dair kanıt bulamadı. Ayrıca AEPD, SES’in işleme güvenliğini garanti altına almak için teknik ve organizasyonel tedbirlerin etkinliğinin bir doğrulama, değerlendirme ve sürekli değerlendirme sürecini uygulamaya koymada başarısız olduğuna işaret etti.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

PS/00427/2020

29/06/2021
Konu: Veri sorumlusunun kişisel verileri işleme kaydını elinde tutmaması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesine gelen bu talep , ilgili kişinin e-posta yoluyla veri sorumlusunun veri koruma görevlisinden işleme faaliyetlerinin kaydına erişmesini talep etmesinin sonucudur. Veri sorumlusu,veri koruma otoritesinin soruşturma taleplerine, siyasi sorunlar ve pandemi durumu nedeniyle işleme faaliyetlerine ilişkin bir kayıt uygulamadığını doğrulayarak yanıt verdi. Veri koruma otoritesi, işleme faaliyetlerine ilişkin hiçbir kayıt bulunmadığı ve sonuç olarak veri sorumlusunun GDPR’ın 30’uncu maddesini ve İspanya Veri Koruma Yasası’nın 31’inci Maddesini ihlal ettiği sonucuna varmıştır.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.