EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Kişisel Verilerin Hukuka Aykırı İşlenmesi" etiketli kararlar

2022/243

17/03/2022

Konu: Aynı isme sahip bir kişinin ilgili kişinin e-postasını kullanması üzerine faturanın farklı bir kişiye gönderilmesi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette kendisiyle aynı isme sahip bir kişinin faturasının kendi e-posta adresine gönderildiği ve bu konuyla alakalı herhangi bir onaylama metodunun kullanılmadığı belirtilmiştir. Veri sorumlusundan istenen savunmada veri sorumlusu misafir girişlerinde e-posta doğrulamasının yapılmadığını, üye olmaksızın yapılan alışverişlerde kullanılan bu yöntemde sehven hatalı girilen e-posta adreslerinin engellenmesi için gerekli teknik çalışmaların yapıldığını belirtilmiştir. Sonuç olarak Kurul teyit mekanizmasının olmamasından ötürü internet sitesinden yapılacak tüm işlemlerin veri ihlal riski taşıdığını belirterek veri sorumlusunun KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/224

10/03/2022

Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1304

23/12/2021

Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: Veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında çerçevesinde işlem tesis edileceği belirtilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/962

21/09/2021

Konu: İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı hekim tarafından e-nabız sistemine erişim sağlanması hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, özel bir hastane çalışanı doktorunun ilgili kişiye ait Sağlık Bakanlığı’nın e-nabız uygulamasına girdiğinin tespit edildiği, bununla birlikte yapılan araştırma sonucunda hekimin sekreteri tarafından ilgili kişinin bilgilerini elde ettiği anlaşılmıştır. Bu kapsamda, e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişinin, ilgili kişinin e-nabız sistemine girerek veri sorumlusunun kişisel veri güvenliğine ilişkin makul teknik ve idari tedbirleri almadığının göstergesi olduğuna karar verilmiştir. Bu doğrultuda KVKK’nın 12’inci maddesinin (1) numaralı fıkrasının (b) bendine aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: Ceza miktarı açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/891

03/09/2021

Konu: WhatsApp Uygulaması Hakkında Yürütülen Resen İncelemeye İlişkin Kamuoyu Duyurusu.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun Hizmet Koşullarının kullanıcı sözleşmesi niteliğinde olduğu, kullanıcıların kişisel verilerinin yurtdışına aktarımına ilişkin alınan açık rızanın tek metinde ayrılma bir biçimde ilgili kişiye sunulmasının açık rızanın özgür iradeyle açıklanması unsurunu zedelediği, uygulamanın kullanılmasının aktarım şartına bağlandığı ve bu kapsamda KVKK’nın 4’üncü maddesinde yer alan Hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edildiği belirtilmiştir. İşlenilen tüm verilerin aktarımına ilişkin istenilen açık rızaların işlendikleri amaçla orantılı ve sınırlı olmadığı belirterek KVKK’nın 4’üncü maddesinin ihlal edildiği, veri sorumlusunun Türkiye’de bulunan kişilerden elde ettiği kişisel veriler üzerinde yaptığı faaliyetlerin yurt dışına aktarım niteliğinde olduğu ve ilgili uygulamanın KVKK’nın 9’uncu maddesine aykırı şekilde gerçekleştirildiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca kişisel verilerin hukuka aykırı şekilde işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmaması sebebiyle veri sorumlusu hakkında 1.950.000-TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.950.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/470

06/05/2021

Konu: İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, ilgili kişi tarafından yemek kartına ait hesap hareketlerinin tarafına iletilmesine ilişkin veri sorumlusuna yaptığı başvuruda, veri sorumlusuna gmail hesabından ilettiği kişisel verilerine ek olarak kimlik doğruluğunun tespiti amacıyla telefon numarasının aranmasının hukuka aykılığına ilişkin hususlar değerlendirilmiştir. Bu kapsamda, Kurul tarafından KVKK’nın 11’inci maddesinin 1 numaralı fıkrasının b bendindeki hükmü kapsamında ilgili kişilnin kendisiyle ilgli kişisel veriler işlenmişse bilgi talep etme hakkının, söz konusu veriye erişim hakkkını da kapsadığı belirtilmiştir. Bununla birlikte, KVKK’nın 12’inci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğu beliritlmiştir. Bu doğrultuda, veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyaların şifrelenmesinin ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin derhal kişiyle paylaşılacağının belirtilmesinin kişisel verilere erişim hakkının engellenmediği, aksine KVKK’nın 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edilmesine yönelik uygun bir tedbir olduğuna karar verilmiştir.

Ceza: KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/359

13/04/2021

Konu: İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek KVKK kapsamında gerekli yaptırımların uygulanması talep edilmiştir. Kurulun konuya ilişkin yapmış olduğu inceleme sonucunda; Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin KVKK’nın 5’inci maddesinin 2 numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanunun 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000-TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/303

24/03/2021

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve diğer şirketlere aktarılması hakkındaki 2020/899 sayılı karara ilişkin itiraz hakkında.

Kararı Paylaşın

Karar Özeti:

2020/899 sayılı Kurul Kararıyla veri sorumlusuna verilen talimatta aydınlatma yükümlülüğünün gerçekleştirilip gerçekleştirilmediği hususunda bilgi istenmiş ancak veri sorumlusu Kuruma herhangi bir bilgi vermemiştir. Bunun üzerine kuruma yapılmış olan 2020/899 sayılı kararın itiraz niteliğinde olan başvuruda; veri sorumlusunun aydınlatma yükümlülüğünü yerine getirip getirmediği hususunda Kurula bilgi vermesi, veri sorumlusunun ilgili kişinin verilerini hukuka aykırı işlediği ve Kanunu ihlal ettiğinin tespitini, bu tespit doğrultusunda veri sorumlusuna idari yaptırım uygulanması ve söz konusu Kurul Kararı’nın kaldırılıp yerine yeni işlem tesis edilerek inceleme yapılması talep edilmiştir. Kurul yapılan incelemede; veri sorumlusunun talimatı yerine getirmemesi sebebiyle KVKK md.18 f.1 b.(c) kapsamında 75.000 TL idari para cezasına karar vermiştir. Kurul kararına ilişkin itiraz hususunda ise hukuki anlamda somut zemine oturan argümanların olmaması sebebiyle yapılacak bir işlem olmadığına karar vermiştir. 

Ceza: 75.000 TL -İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/205

09/03/2021

Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/140

25/02/2021

Konu: Belediyeler tarafından sunulan internet hizmetleri.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’ya aykırı şekilde yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanması şeklindeki uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.

Ceza: Ceza uygulanmamış, belediyelerin talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 3123

Türkçe dilinde GDPR karar özetlerini görmek ister misin?