EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Kişisel verilerin Hukuka Aykırı İşlenmesi" etiketli kararlar

2021/1304

23/12/2021
Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: Veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında çerçevesinde işlem tesis edileceği belirtilmiştir.

2021/359

13/04/2021
Konu: İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek KVKK kapsamında gerekli yaptırımların uygulanması talep edilmiştir. Kurulun konuya ilişkin yapmış olduğu inceleme sonucunda; Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin KVKK’nın 5’inci maddesinin 2 numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanunun 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000-TL idari para cezası verilmiştir.

2021/111

09/02/2021
Konu: İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet kapsamında yapılan incelemede, ilgili kişinin telefon numarasına yakınına ait olan bir borca ilişkin ve kendisine ait içerik barındırmayan iki adet kısa mesaj gönderilmesine ilişkin olarak ilgili kişinin telefon numarasının ilk hukuk bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak açık rıza dışındaki kişisel veri işleme şartlarından herhangi birinin mevcut olmadığı, veri sorumlusu şirket tarafından borç takibi amacıyla kullanılan sisteme girilen bilgilerin KVKK’nın 4’üncü maddesi gereğince doğruluk ve güncellik kapsamında denetim ve kontroller yapılmaksızın ikinci avukata gönderilmesi, teknik ve idari kontrollerin yapılmadığı, Yasal Takip Sistemi’nde bulanan telefon numarasının kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen ilgili kişiye SMS gönderen veri sorumlusu avukatın KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birisi bulanmamasına rağmen işlenmesi sebebiyle KVKK’nın 12’nci maddesinin birinci fıkrasının a bendi kapsamında veri güvenliğine ilişkin yükümlüklerin yerine getirilmediği gerekçesiyle veri sorumluları hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50 000 TL idari para cezası kesilmiştir.(İlk hukuk bürosu/veri sorumlusu avukat), 115 000 TL idari para cezası kesilmiştir.(Veri sorumlusu şirket), 50 000 TL idari para cezası kesilmiştir. (diğer hukuk bürosu veri sor. Av)

2021/84

03/02/2021
Konu: Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından ilgili kişilerin iletişim verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Başvuru sahibi Hastane tarafından, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptıkları, anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastane tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastanden ayrılan bir doktor adına yeni çalışmaya başladığı hastaneye numara taşınabilirlik kodu içeren SMS gönderimi sağlandığı beliritlmiştir. Kurul tarafından yapılan incelmeler neticesinde, 1. STH’nin hastane ile olan sözleşmeleri kapsamında veri işleyen sıfatını haiz olduğu, bu kapsamda KVKK’nın 12. maddesinin 4’üncü fıkrasında belirtilen yükümlülüüne aykırı davrandığı, Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle ilgili ihlalin gerçekleştiğine karar verilmiştir. Bununla birlikte, 1. STH’nin veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmasızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu ve kişisel verileri amacı dışında kullandığına karar verilmiştir.

Ceza: KVKK’nın12’nci maddesinin 1’inci fırkasının a bendi uyarınca gerekli teknik ve idari tedbirlerin alınmadığı sonucuna varılarak KVKK’nın 18’inci maddesinin 1’inci fıkrasının b bendi uyarınca 125.000,00-TL idari para cezası verilmiştir.

2020/769

08/10/2020
Konu: İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, Kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı KVK Kanunu’nun 07.04.2016 itibariyle yürürlüğe girdiği, söz konusu tarihler itibariyle Kanun’un yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5. maddesinde yer alan ‘kanunlarda açıkça öngörülme’ ve ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine, igili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna, ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak somut delile rastlanılamadığından Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2020/429

28/05/2020
Konu: İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanması ile ilgili şikayet.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişi tarafından banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibinin başlatıldığı, 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tessite ikamet eden sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerinelerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyinin cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 125.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/120

13/02/2020
Konu: İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a yapılan şikayette, ilgili kişinin çalışmakta olduğu mükellef kurum hakkında vergi müfettiş yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenenlenen “Veergi Tekniği Raporu”nda kendileri ile ilgili bir verhi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilmiştir. Kurul tarafından yapılan değerlendirmeler sonucunda, Vergi Usul Kanunu ve sair mevzuat hükümleri uyarınca şikayete konu veri işleme faaliyetinin vergi mevzuatı kapsamında mükallefle ilgil kimselerin hesap durumlarının elde edilebileceğinin düzenlendiği, iligli kişinin şirketi temsile yetkili kişi olması sebebiyle, mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerin işlenmesinin ölçülülük ilkesine uygun olduğuna karar verilerek şikayete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/103

06/02/2020
Konu: Bir Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak Kurula yapılan başvuru hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, veri sorumlusu bankanın potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelmediği tespit edilmiştir. Kurul tarafından yapılan inceleme sonucunda, veri sorumlusu banka tarafından herhangi bir işleme şartı mevcut olmaksızın ilgili kişinin verilerinin işlenmesi sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırı şekilde güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 210.000,00-TL idari para cezası ugulanmasına karar verilmiştir.

2020/78

30/01/2020
Konu: Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresini ilgili kişiye ait olmayan bir e-posta adresine göndererek bu bilgilerin üçüncü bir kişiyle paylaşılması sonucu veri sorumlusuna e-posta ve dilekçe yoluyla başvurulmuş fakat yazılı bir cevap alınamamıştır.

Kararı Paylaşın

Karar Özeti:

Kurul, veri sorumlusunun ilgili kişiye ait bilgileri Kanunda düzenlenen veri işleme şartlarından biri olmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle 8. Madde hükmüne aykırı veri aktarımı gerçekleştirdiğini saptamıştır.
Veri sorumlusu yazılı cevap vermeyip yalnızca telefonda bilgilendirme yaparak Kanun’un 13. Maddesini ihlal etmiştir; veri sorumlusunun bundan sonraki başvurularda azami dikkat ve özeni göstermesi için talimatlandırılmasına karar verilmiştir.

Ceza: 60 000 TL idari para cezası kesilmiştir.

2020/41

16/01/2020
Konu: İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu Bankadan talep ettiği tazminat talebinin karşılanmaması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından borcu olan veri sorumlusu bankanın iş yerini arayarak aile bilgilerini sorguladığı, ödeme yapıp yapmayacağının iş yeri sekterine defaten sorukduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırılması sebebiyle veri sorumlusundan 100.000,00-TL maddi ve manevi tazminat isteminde bulunduğu beliritlmiştir. Kurul tarafından yapılan incelemeler sonucunda, ilgili kişinin veri sorumlusuna başvurusunun KVKK’nın 11’inci maddesi kapsamında bir talep içermediği ve Kurum’a şikayetinde de iddialarını kanıtlayıcı bir belge sunamadığı, ayrıca zarara ilişkin taleplerini KVKK’nın 14’üncü maddesinin 3 numaralı fıkrasında yer alan genel mahkemeler huzurunda kullanması gerektiğine karar verilmiştir.

Ceza: Herhangi bir işlem tesis edilmemiştir.