EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Kimlik" etiketli kararlar

2022/1358

23/12/2022

Konu: Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kuruma iletilen şikayette bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği göz önünde bulundurularak 300.000 TL idari para cezası uygulanmasına, sitede çerezlerle işlenen kişisel veriler bakımından ilgili Kanun ve Tebliğ’e uygun şekilde aydınlatma yapılması yönünde talimatlandırılmasına ve kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmakla birlikte aydınlatma metnindeki eksikliklerin giderilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: 300.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/896

02/09/2022

Konu: Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin Kuruma ilettiği şikayette ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu durumda veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızası alınmadığı, veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye ait kişisel verilerin Kanun’da sayılan şartlara dayalı olarak işlendiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına, Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işlemi Kanun’da sayılan işleme şartlarına dayanmadığından ve kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına ve şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: 150.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/850

26/08/2021

Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/670

06/07/2021

Konu: İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişiye gerekli aydınlatmalar yapılarak kişisel verilerinin işlendiği, ilgili kişinin şirket prensiplerine uygun olarak değerlendirilebilmesi için ve diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği, iş başvurusunun kabul edilmemesinin akabinde, işlenen kişisel verilerin ilgili kişinin talebi üzerine yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirmesine esas genel gerekçesinin muhafaza edildiği, saklama amacının ilgili kişiye iletildiği, ilgili kişinin sonraki başvurusunu müteakip ilgili kişiye ait kişisel verilerin ilk periyodik imha işleminde silineceği bilgisinin iletildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel verinin işlenmesinin sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek resen imha işleminin bu duruma uygun olmayacağı, ilgili kişinin talebi üzerine imha işleminin gerçekleştirilmesinin gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/407

20/04/2021

Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/935

08/12/2020

Konu: Bir sigorta şirketinin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (“Çağrı Merkezi”) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin iletildiği, Veri Kaybı Önleme Sistemi (“DLP”) düzenli kontrolleri sırasında sistemi kontrol eden görevli tarafından veri ihlalinin tespit edildiği, sehven iletilen poliçe muafiyet bildiriminde ilgili kişinin sağlık poliçesi kapsamında olmayan rahatsızlıklarının belirtildiği, veri ihlalinden bir kişinin etkilendiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihlalden bir kişinin etkilendiği, ihlalden etkilenen verilerin kimlik, iletişim ve sağlık bilgileri olduğu, veri sorumlusunun “en kısa sürede” (72 saat içerisinde) Kurum’a veri ihlalini bildirme yükümlülüğünü yerine getirilmesi, ilgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtilmesi göz önüne alınarak KVKK’nın 12’nci maddesi kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/296

01/10/2019

Konu: Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kurulun yapmış olduğu inceleme sonucunda; Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?