EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Mobil Uygulama" etiketli kararlar

2023/1309

03/08/2023

Konu: Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurula iletilen şikayette, ilgili kişi ailesi ile birlikte bir seyahat acentesinden bir tur satın almıştır. tur firması tarafından şikayete konu olan veri sorumlusu havayolu firması ile seyahatin panlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulaması üzerinden Check-in işlemi yapmak için Yolcu İsim Kaydını-passenger Name İnformation(PNR) ve soyadını girdiğinde tanımadığı başka yolcu bilgilerini gördüğü, ayrıca uçuşlarını iptal etmek ve değiştirmek gibi birçok işlem hakkının da tanındığı görülmektedir. Şikayet dilekçesine göre, havayolu şirketi tarafından tutulan kişisel verilerin, tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihmal ihtimali söz konusudur. Bu nedenle, kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi çerçevesinde hakları doğrultusunda, veri sorumlusu olarak yaşanan ihlal hakkında bilgi almak, mevcut ihlalin giderilmesini sağlamak, gerekli bildirimlerin yapılmasını talep etmektedir. Veri sorumlusundan gelen yanıtta, kişisel verilerinin hukuka aykırı olarak üçüncü kişilere aktarıldığının kabul edildiği ancak diğer talepleriyle ilgili herhangi bir cevap alamadığı belirtilmiştir. Bu bağlamda, kişi, şahsi verilerinin korunması adına alınan teknik ve idari tedbirler, verilerin işlenme amacı, üçüncü kişilere aktarılan bilgiler ve hukuka aykırı veri işleme faaliyetine son verilmesi hususlarında bilgi talep etmektedir. Kurul tarafından, İlgili kişinin şikayeti üzerine, havayolu şirketi tarafından yapılan bir PNR (Yolcu İsim Kaydı) sistemi incelemesinde, kişisel verilerin hukuka aykırı olarak paylaşıldığına dair bir ihlal tespit edilmiştir. Veri sorumlusunun iddia ettiği PNR + SOYADI kombinasyonuyla giriş işlemi sırasında sadece aynı soyada sahip kişilerin verilerinin görüntüleyebileceği açıklamasına rağmen, ilgili kişinin ekran görüntülerinde farklı soyadına sahip kişilerin verilerinin görüldüğü belirlenmiştir. Bu durum, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını ve Kanun’un 12. maddesi uyarınca kişisel verilerin güvenliğini sağlama yükümlülüğünü yerine getirmediğini göstermektedir. Bu nedenle, Kanun’un 18. maddesi çerçevesinde veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlanabilmesi konusundaki açıklamaları üzerine, veri sorumlusunun ilave teknik tedbirleri alması ve bu değişiklikleri Kurula bildirmesi için talimatlandırılmasına karar verilmiştir. Ancak, ilgili kişinin diğer sorularına veri sorumlusu tarafından yeterli yanıt verildiği belirlendiğinden, bu konuda ayrı bir işlem yapılmasına gerek olmadığına karar verilmiştir.

Ceza: 300.000 TL idari para cezası, ilave teknik tedbirlerin alınması ve Kurula bilgi verilmesi, veri sorumlusu tarafından bilgi verilmesi amacıyla cevap verilmemesi iddiası kapsamında yeterli yanıt verilmiş olup söz konusu şikayete ilişkin yapılacak bir işlem olmadığına ilişkin karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/653

07/07/2022

Konu: İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet dilekçesinde özetle; Veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışverişte girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim bilgisinin veri sorumlusundan talep edilidiği ancak veri sorumlusu tarafından bu talebe olumsuz yanıt verildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; igili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/359

13/04/2021

Konu: İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek KVKK kapsamında gerekli yaptırımların uygulanması talep edilmiştir. Kurulun konuya ilişkin yapmış olduğu inceleme sonucunda; Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin KVKK’nın 5’inci maddesinin 2 numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanunun 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000-TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/361

13/04/2021

Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/608

11/08/2020

Konu: İlgili kişinin, herhangi bir şekilde bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından veri sorumlusu havayolu şirketinden bilet satın almamasına rağmen uçak bileti satın aldığına dair uçuş bilgilerinin de yer aldığı SMS alması dolayısıyla veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusunun sistemlerinde kişilere manuel olarak ilgili kişi dışında farklı kişilerin telefon bilgilerinin girilerek bilet bilgilerinin iletilmesine yönelik sistem sağlandığı ve telefon numaralarının sisteme numarayı ekleyen kişiye ait olup olmadığını sorgulayacak bir alt yapının bulunmaması sebebiyle KVKK madde 12 kapsamında gerekli teknik ve idari tedbirlerin alınması ilişkin herhangi bir ihlalin bulunmadığına, bununla birlikte veri sorumlusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde süresi içerisinde ilgili kişinin yanıtlanması hakkında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/113

11/02/2020

Konu: Elektronik satış hizmeti sağlayan bir şirketin veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan ihlal bildiriminde, veri sorumlusunun internet sitesinden ve mobil uygulamasına ilişkin olarak veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlenmesinin bu sırada gerçekleşmiş olabileceği, azami 257.000 kişinin etkilenme ihtimalinin bulunduğu, ihlalden etkilenen kişisel verilerin kimlik, kriptolanmış kullanıcı hesabı şifreleri olduğu beliritlmiştir. Kurul tarafından veri sorumlusuna ait internet ağı dışında halka açık bağlantıların paylaşıldığı kafe ortamlarından sisteme herhangi bir ksıt bulunmaksızın erişldiği, sızma testlerinin ihlal öncesi yapılmadığı, mobil uygulama içerisinde SSL Sertifika olmaması, politika ve müdahale planlarının ihlal gerçekleştikten sonra oluşturulması, kurumsal eğitim ve farkındalık faaliyetlerinin düzenlenmemesi sebebiyle veri sorumlusu hakkında veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/65

27/01/2020

Konu: Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolcuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde veri sorumlusuna başvuruda bulunmuştur. Kurul tarafından gerçekleştirilen incelemeler sonucunda, müşterilerin ilişkin puanlanmasına dayanan veri işleme faaliyetinin KVKK’nın 4’üncü maddesinde belritilen kişisel verilerin işlenmesine ilişkin genel ilkelerden “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ve “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkelerine aykırılık teşkil ettiği, bununla birlikte uygulamanın yüklenmesi akabinde üye olunması esnasında iligli kişilere bir aydınlatma yapılmadığında Veri Sorumlusunun Aydınlatma Yükümlülüğü’nü yerine getirmemeiş olması sebebiyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının a bendi kapsamında veri sorumlusu hakkında idari yaptırım kararı uygulanmasına karar verilmiştir.

Ceza: 10.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?