EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Kişisel Verilerin Üçüncü Kişilere Aktarılması" etiketli kararlar

2023/67

12/02/2023

Konu: Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet yazısında özetle; Veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, şirket vekilinin ilgili kişinin şahsi vekili olmadığından bahisle yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, gönderim yapılan e-posta adresi şikayetçiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan açık rıza beyanının geçersiz olduğu,veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği, daha sonraki tarihlerde yapılan işlemlerde veri sorumlusu tarafından şikayetçiye e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı belirtilmiştir. Kurul yapmış olduğu inceleme sonucunda şikayete konu yanlış e posta adresinin ilgili kişi talebi üzerine hemen değiştirilmesine imkan sağladığı için veri sorumlusunun özen yükümlülüğünü yerine getirdiğine, kişilerin iletişim bilgilerini belirli periyotlara güncel tutmadığı için veri sorumlusunun uyarılmasına, Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/896

02/09/2022

Konu: Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin Kuruma ilettiği şikayette ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu durumda veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızası alınmadığı, veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye ait kişisel verilerin Kanun’da sayılan şartlara dayalı olarak işlendiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına, Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işlemi Kanun’da sayılan işleme şartlarına dayanmadığından ve kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına ve şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: 150.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/798

04/08/2022

Konu: İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki iş yeri ile paylaşılması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmaktayken başka bir şirketle gerçekleştirdiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda, Veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile işl görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması ve veri sorumlusunun 1997 yılından beri faaliyet gösterdiği, Türkiye genelinde 7 ofis, 1 depo ve 135 çalışan ile lojistik faaliyetlerini yürüttüğü ve ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında 100.000 TL idari para cezası verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/768

03/08/2022

Konu: Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin, şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edilidiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilgili başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin telefon numarasının, veri sorumlusu tarafından Kanunda yer alan işleme şartlarından herhangi birine dayanmadan ilgili sigorta şirketine aktarıldığı, bu minvalde gerekli idari ve teknik tedbirlerin alınmadığı da göz önünde bulundurularak 250.000 TL idari para cezası verilmiştir.

Ceza: 250.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/774

03/08/2022

Konu: Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 120.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/594

22/06/2022

Konu: Özel nitelikli kişisel verilerin ilgili kişilerin açık rızası alınmaksızın veri sorumlusu tarafından üçüncü kişilerle paylaşılması

Kararı Paylaşın

Karar Özeti:

İşveren tarafından bünyesinde çalışan personelden edinilen bilgi neticesinde mağazanın alt katındaki depodan uyuşturucu dumanı kokusu olduğu düşünülen bir koku geldiği ve bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı ifade edilmiştir. Aynı zamanda yine işveren tarafından personellerin test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri iddia edilmiştir. Ancak kuruma intikal eden dilekçelerde ilgili kişilerin hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı ve test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı ifade edilmiştir. Kurumun yapmış olduğu inceleme sonucunda, ilgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyeti hakkında veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık rızasının bulunduğunun ispat edilememesi nedeniyle veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiğine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/6

06/01/2022

Konu: İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin eski ortağı olduğu ve herhangi bir hukuki veya idari bağının olmadığı şirkete ait sicil bilgilerinin eski ortaklar başlığı altında yayınladığı ve veri sorumlusu Ticaret odasının ilgili kişinin kişisel verilerin üçüncü kişilerle izinsiz paylaşılmaması için yaptığı başvurunun reddedildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişinin işlenen verilerinin 5174 sayılı kanunda öngörülen yükümlülük kapsamında değerlendirileceği belirtilip söz konusu kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan hukuki yükümlülüğü yerine getirilmesi için zorunlu olması şartlarına dayandırılacağı kararlaştırılmıştır. İlgili kişinin talebine yönelik KVKK’nın 7’nci maddesi kapsamında işleme şartlarının ortadan kalkmaması sebebiyle ilgili kişinin talebi ile ilgili KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/671

06/07/2021

Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/303

24/03/2021

Konu: İlgili kişinin rızası dışında verilerinin işlenmesi ve diğer şirketlere aktarılması hakkındaki 2020/899 sayılı karara ilişkin itiraz hakkında.

Kararı Paylaşın

Karar Özeti:

2020/899 sayılı Kurul Kararıyla veri sorumlusuna verilen talimatta aydınlatma yükümlülüğünün gerçekleştirilip gerçekleştirilmediği hususunda bilgi istenmiş ancak veri sorumlusu Kuruma herhangi bir bilgi vermemiştir. Bunun üzerine kuruma yapılmış olan 2020/899 sayılı kararın itiraz niteliğinde olan başvuruda; veri sorumlusunun aydınlatma yükümlülüğünü yerine getirip getirmediği hususunda Kurula bilgi vermesi, veri sorumlusunun ilgili kişinin verilerini hukuka aykırı işlediği ve Kanunu ihlal ettiğinin tespitini, bu tespit doğrultusunda veri sorumlusuna idari yaptırım uygulanması ve söz konusu Kurul Kararı’nın kaldırılıp yerine yeni işlem tesis edilerek inceleme yapılması talep edilmiştir. Kurul yapılan incelemede; veri sorumlusunun talimatı yerine getirmemesi sebebiyle KVKK md.18 f.1 b.(c) kapsamında 75.000 TL idari para cezasına karar vermiştir. Kurul kararına ilişkin itiraz hususunda ise hukuki anlamda somut zemine oturan argümanların olmaması sebebiyle yapılacak bir işlem olmadığına karar vermiştir. 

Ceza: 75.000 TL -İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/407

20/05/2020

Konu: İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda İlgili kişinin hastanın tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde e-posta yoluyla üçüncü kişiyle paylaşılması sonucu, ilgili kişi veri sorumlusu olan hastaneye başvurmuş, veri sorumlusu hastaneden hatanın kabul edildiğini içeren bir cevap almıştır. Hastanenin cevabına istinaden ilgili kişinin kurula yapmış olduğu başvuruda Kurulun yapmış olduğu inceleme sonucunda, Hastanenin veri sorumlusu olarak mesul müdürü göstermesi üzerine KVKK’nın 3. Maddesi gereği tüzel kişilerin veri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin sorumlu olduğu, hukuki sorumluluğu tüzel kişiliğin şahsında doğacağı ve kamu-özel tüzel kişisi ayrımı yapılmaksızın Hastane’nin bizatihi veri sorumlusu olduğunun hastaneye hatırlatılmasına, ilgili kişinin özel nitelikteki verisinin kişinin açık rızası ve KVKK’nın 6’ncı Maddesinde düzenlenen işleme şartları olmaksızın üçüncü kişiye aktarmak suretiyle hukuka aykırı şekilde işlenmesi suretiyle “Veri Güvenliğine İlişkin Yükümlülükler ”in ihlali nedeniyle veri sorumlusu hakkında idari para cezası verilmesine karar verilmiştir.

Ceza: 100.000-TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?