EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Kişisel Verilerin Muhafazası" etiketli kararlar

2023/646

27/04/2023

Konu: Üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması ile kişisel veri işleme faaliyetinin Kanun’da yer alan İşleme Şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği hakkında Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilmiştir. Kanunun “”Kişisel Verilerin İşlenme Şartları”” başlıklı 5. maddesinin (1) numaralı fıkrasına göre kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak (2) numaralı fıkra, belirli şartlar altında rızanın aranmayabileceğini belirtmektedir. Bu şartlar arasında, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rıza alınamayacak durumlar, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri gibi durumlar bulunmaktadır.
Ancak, Kanunun 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlü olduğunu belirtir.
Yapılan inceleme sonucunda, ilgili kişinin izin durumuna ilişkin kişisel verilerinin paylaşımının, Kanunun 5. maddesinin belirlediği şartlara uymadığı ve bu durumun Kanunun 12. maddesine aykırılık teşkil ettiği kanaatine varılmıştır. Bu nedenle, veri sorumlusu bünyesinde görev yapan ilgili personele disiplin hükümleri uyarınca işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir.

Ceza: Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2018/91

26/07/2018

Konu: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen şikayet ile bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilere açık hale gelmesi sebebiyle veri sorumlusu şirkete başvuruda bulunarak verilerinin yok edilmesini talep etmesi üzerine veri sorumlusundan aldığı cevabın yetersiz olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler kapsamında şikayetçinin alışveriş işlemleri için girilen kişisel verilerinin başka müşteriler tarafından erişilebilir hale geldiği tespit edilmiş, veri sorumlusu şirket tarafından Kurum’a yapılan savunmada, şirketin bu durumdan olayla birlikte haberdar olduğu anlaşılmıştır. Bununla birlikte, veri sorumlusu şirket tarafından durumun sistemsel bir hata olduğu ve başka müşterilerin etkilenmemesi için önlemler alındığı beyan edilmiştir. Kurum tarafından şirket tarafından mağduriyet öncesinde gerekli teknik ve idari tedbirlerin alınmadığına karar verilerek veri sorumlusu şirket hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?