EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Kişisel Veri Güvenliği Rehberi" etiketli kararlar

2023/924

01/06/2023

Konu: Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi hususunda inceleme.

Kararı Paylaşın

Karar Özeti:

“Otopark işletmecisi, araç sahiplerinden tahsil edilmesi gereken park borçlarına ilişkin olarak açtığı itirazın iptali davasında, ilgili kişinin kimlik bilgilerine ulaşabilmek amacıyla veri işleme faaliyeti gerçekleştirmiştir. Ancak, bu işlem Kanun’un 5. maddesi ikinci fıkrasının (e) bendi kapsamında değildir, çünkü araç sahibinin kimliğini ispat etmek için gereken deliller mahkemeye sunulabilmektedir. Ayrıca, bu süreçte kullanılan çevrimiçi borç sorgulama hizmetinde çift faktörlü doğrulama yapılmamıştır, bu da Kişisel Veri Güvenliği Rehberi’ne aykırıdır. Öte yandan, veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmemiş ve Kanun’un 18. maddesi uyarınca 75.000 TL idari para cezasına çarptırılmıştır. Bu nedenle, veri sorumlusuna Kanun ve Tebliğ’e uygun bir Aydınlatma Metni hazırlama ve sonucunu Kurula bildirme talimatı verilmiştir.

Sonuç olarak, ilgili kişinin araç plakası üzerinden yapılan kimlik sorgulama ve veri işleme faaliyetleri, Kanun’a uygun olmadığı için işlem yapılmamıştır. Ayrıca, çevrimiçi ödeme sisteminde çift faktörlü doğrulama sağlanması veya bu mümkün değilse veri işleme faaliyetine son verilmesi gerekmektedir. Bu işlemlerin sonuçlarının Kurula bildirileceği karara bağlanmıştır. “

Ceza: Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/388

03/05/2022

Konu: Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılması

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılmasına istinaden inceleme başlatılmıştır. KVKK madde 12’ye göre hazırlanan Kişisel Veri Güvenliği Rehberinde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığına dikkat çekilmektedir. Bu sebeple de Kurul, çift faktörlü doğrulama için ilk doğrulamanın TC kimlik numarası, ad soyad, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağını değerlendirmiştir. Sonuç olarak belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak suretiyle Kanunun 12’nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/407

20/04/2021

Konu: Bir hastanenin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a iletilen veri ihlali bildiriminde hastanede çalışan hekimin hastalarına ait dosyaların bazı hastane çalışanları aracılığıyla hastaneden çıkarılması suretiyle ihlalin gerçekleştiği, ilgili ihlalin 17 gün sonra kamera kayıtlarının incelemesi neticesinde tam olarak tespit edildiği, ihlalden 789 hastanın etkilendiği ve kimlik, sağlık verileri ve genetik veriler, iletişim ve hasta kartında yer alan diğer bilgilerin etkilendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, veri sorumlusu tarafından veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmaması ve ihlalin tespit edilmesinin ardından 25 gün sonra Kurum’a bildirilmesi sebebiyle idari para cezası uygulanmıştır.

Ceza: 600.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/311

25/03/2021

Konu: Bir kozmetik şirketinin veri ihlal bildirimi hakkında inceleme yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan inceleme neticesinde; , fonksiyonun canlı ortama alınmadan önce teste tabi tutulmasına rağmen yoğunluğa uygun şekilde yazılımların kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişikliklerin ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı ve bu kapsamda Kişisel Veri Güvenliği Rehberinin Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yükümlülüklerine aykırılık teşkil ettiği, veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Rehberin Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini yerine getirmediği ve bu kapsamda veri sorumlusunun Rehberin Mevcut Risk ve Tehditlerin Belirlenmesine ilişkin yükümlülüklerinden risk odaklı yaklaşım çerçevesinde aykırılık teşkil ettiği belirtilmiştir.

Ceza: Veri sorumlusu hakkında 200.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/187

04/03/2021

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dahil olan çalışanlarına dair(sigortalılara) “Rapor” iletildiği, 28 müşteri şirkete diğer 31 müşteri şirketin çalışanlarına dair “Rapor” dosyası gönderildiği, ihlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği, ihlale konu yazılımın canlıya alınmadan önce test edildiği ve ihlalden etkilenen kişisel verilerin TCKN, mavi kart no, ad-soyad ve planlanan ara verme bitiş tarihi sözleşme durumu bilgileri olduğu ifade edilmiştir. Kurul tarafından yapılan incelemeler neticesinde; veri ihlaline sebep olan sistemsel hatanın uygulama yazılımdan kaynaklanması sebebiyle Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) yer alan Bilgi Teknolojileri sistemleri Tedariği, Geliştirme ve Bakımına ilişkin yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önüne alınmasının gerektiği, ihlale konu olayın gerçekleşme tarihi ile tespit tarihi arasında yaklaşık 2 yıllık gecikmenin bulunması sebebiyle Rehberde belirtilen Kişisel Veri Güvenliğinin Takibine ilişkin yükümlüklere ilişkin olarak gerekli kontrol ve denetimlerin zamanında gerçekleştirilmemesi, ve ihlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edilmesi sebebiyle Rehberin Kişisel Veri Güvenliğinin Takibine ilişkin bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesine ilişkin yükümlülüğü aykırılık teşkil ettiği belirtilmiştir.

Ceza: 125.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/190

04/03/2021

Konu: Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Bir müşterinin şikayeti üzerine banka tarafından yapılan inceleme neticesinde bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini iş sözleşmesine aykırı şekilde söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlenmesi, müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafınan üçüncü kişiyle paylaşılması suretiyle gerçekleştiği, olaya ilişkin olarak banka sistemleriyle ilgili bir güvenlik açığından değil çalışanın münferit davranışından kaynaklı olduğu, söz konusu ihlalin 1 (bir) müşterinin kimlik bilgilerinin yetkisiz kişiyle paylaşılmasından kaynaklandığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde; çalışan tarafından gerçekleştirilen eylem Kurul tarafından çalışana veri gizliliği ve güvenliği eğitimi sağlanmış olmasına rağmen Kişisel Veri Güvenliği Rehberinin Çalışanların Eğitilmesi ve Farkındalık Çalışmalarında belirtilen yükümlülükler açısından çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanmasına ilişkin yükümlülüğüne aykırılık teşkil ettiği, bankada takım lideri olarak çalışan personelin müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yapabilmesi Rehber’deki “İzin Verilmedikçe Her Şey Yasaktır” prensibine aykırılık teşkil ettiği, çağrı merkezi takım lideri olarak görev yapan çalışanların müşterilerin bilgilerine sınırsız sayıda sorgulama yaparak erişebilmesi Rehberin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği ve KVKK’nın 12’inci maddesinin 1 numaralı fıkrasına aykırı olduğu belirtilmiştir.

Ceza: 100.000-TL idari para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/140

25/02/2021

Konu: Belediyeler tarafından sunulan internet hizmetleri.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’ya aykırı şekilde yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanması şeklindeki uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.

Ceza: Ceza uygulanmamış, belediyelerin talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/154

25/02/2021

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde; veri sorumlusu tarafından DLP sistemleri ile kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına iletilmesinin engelleneceğinin belirtilmesine rağmen söz konusu faaliyetin yapılmaması sebebiyle Kişisel Veri Güvenliği Rehberi’nin Siber Güvenliğin Sağlanmasına ilişkin hükümlerine aykırılık teşkil ettiği, eski çalışanın yaptığı aktarımların DLP raporuna yansımamış olması Rehberin Kişisel Veri Güvenliği Takibine ilişkin hükümlerine aykırılık teşkil ettiği, ihlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı göz önüne alınarak Rehberde belirtilen Çalışanların Eğitilmesi ve Farkındalık Çalışmalarına ilişkin hükümler uyarınca veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önem vermediğini gösterdiği belirtilmiştir. Bu kapsamda Kurul tarafından veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığına karar verilmiştir.

Ceza: 150.000-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/511

30/06/2020

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla oluşturulan excel dosyasının kimlik ve ilaç kullanım bilgilerini içerdiği, sisteme kişi bazlı giriş yapılması sırasında excel dokümanın sehven bütün halinde yüklendiği belirtilmiştir. ihlalden 683 kişi etkilenirken, kayıt sayısının ise 2413 olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi’ne ilişkin yükümlülüklere uyulmadığına, özel nitelikli kişisel verilerin işlenmesinde “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in göz önünde bulundurulmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: KVKK’nın 18’nci maddesinin 1 numaralı fırkasının b bendi uarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/464

16/06/2020

Konu: Bir otoyol işletmesinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildiriminde, kullanılan bordro sistemlerinden kaynaklı bir hata sebebiyle çalışanların diğer çalışanlara ait bordro bilgilerinin görüldüğü ve ihlalden etkilenen kişi sayısının 489 olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda veri güvenliğini sağlamya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 60.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?