EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Özel Nitelikli Kişisel Veriler" etiketli kararlar

2020/744

29/09/2020
Konu: Bir bankanın veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde veri ihlalinin bankanın veri sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği, çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten e-postalara ilişkin kayıtların incelenmesi neticesinden çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanu e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği, söz konusu müşterilerinin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, ihlalden etkilemem kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu, veri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde ihlalden 346 banka müşterisinin etkilendiği, çalışana verilen “Kişisel Verilerin Korunması Kanunu” eğitiminin yeterli olmadığının anlaşıldığı, banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden ola e-postanın DLP sistemleri tarafından engelllenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirebilmesi sebebiyle veri aktarımının önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz olduğu, banka tarafından alınan teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğuna karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliği sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi kapsamında 225.000-00-TL ve 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı hareket edilmesi sebebiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi uyarınca 50.000,00-TL olmak üzere toplam 275.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2019/138

16/05/2019
Konu: Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu incelemede, şirket sahibi veri sorumlusunun, ilgili kişi çalışanının işyerindeki bilgisayarı üzerinden Whatsapp yazışmalarını okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntüsü almasının TCK kapsamında değerlendirilmesi gerektiği ve ilgili kişinin Türk Ceza Kanunun ilgili hükümleri kapsamında savcılığa suç duyurusunda bulunduğu ve sürecin devam ettiği dikkate alındığında, KVKK’nın 15’inci maddesinin 1 numaralı fıkrası çerçevesinde ilgili başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2019/82

25/03/2019
Konu: Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından verilen kararda, ilgili kişinin market zincirinin sadakat kartı kullanmaya devam edebilmek için karşısına çıkan metinlerde kişisel verilerin işlenmesine izin vermeye mecbur bırakıldığı iddiasını incelenmiştir. Ayrıca bu süreçte 0,01TL hizmet bedeli alındığı tespit edilmiştir. Bu bağlamda kurulun yaptığı inceleme sonucu; firmadan alışveriş yapmanın sadakat kart varlığına bağlı olmadığı gerekçesiyle bu anlamda aykırılık bulunmamıştır. Ancak “üyelik ve rıza beyanı” belgesi ile “aydınlatma metni” arasındaki tutarsızlığı giderilmesi konusunda talimat verilmesine, ayrıca sosyal siteler ile paylaşılan kişisel verilerin kanuna uygun olarak anonimleştirilmediği konusunda şirkete talimat verilmesine, ve son olarak 0,01 TL lik bedelin sehven alınmış olup zaten iade edildiği gerekçesiyle işlem yapılmasına gerek olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.