EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

" Özel Nitelikli Kişisel Verilerin İşlenme Şartları" etiketli kararlar

2021/761

06/08/2021
Konu: Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin çocuğuna ait olan 11 adet epikriz raporunun sisteme doktorlar tarafından eklenmesi gerekirken arşiv memuru tarafından eklendiği, raporların log kayıtlarının incelendiği ve raporlarda değişiklik yapılmadığının görüldüğü, hastanedeki tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, doktorun, başvuran kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi ile kendisine teslim ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, hastanenin otomasyon sisteminden çıktı alması ile sadece belirli personele yetki verilmesinin güvenlik risklerini azaltacağı belirtilmiştir. Bu kapsamda, veri sorumlusunun politikalar, kişisel verilerin işlenmesinde yetki kapsamları ve alınan eğitimleri kuruma sunma, sistemin güncellenmesi, yetki matrisini sağlama konularında talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/667

03/09/2020
Konu: Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet dilekçesi kapsamında yapılan incelemeler sonucunda, ilgili kişi tarafından ailesi adına düzenlettiği sağlık poliçesini yenilemek amacıyla veri sorumlusu sigorta şirketine yaptığı başvurunun sağlık verilerinin işlenmesine ilişkin ilgili kişinin açık rızasının istenmesine ilişkin olarak, sağlık poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği ve poliçede yer alan sağlık verilerinin KVKK’nın 6’ncı maddesinin 3 numaralı fıkrası kapsamında işlenemeyeceği ve ancak açık rıza alınması yoluyla ileme faaliyetinin gerçekleştirilebileceğine karar verilmiştir.

Ceza: Tesis edilecek bir işlem bulunmadığına karar verilmiştir.

2020/407

20/05/2020
Konu: İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda İlgili kişinin hastanın tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde e-posta yoluyla üçüncü kişiyle paylaşılması sonucu, ilgili kişi veri sorumlusu olan hastaneye başvurmuş, veri sorumlusu hastaneden hatanın kabul edildiğini içeren bir cevap almıştır. Hastanenin cevabına istinaden ilgili kişinin kurula yapmış olduğu başvuruda Kurulun yapmış olduğu inceleme sonucunda, Hastanenin veri sorumlusu olarak mesul müdürü göstermesi üzerine KVKK’nın 3. Maddesi gereği tüzel kişilerin veri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin sorumlu olduğu, hukuki sorumluluğu tüzel kişiliğin şahsında doğacağı ve kamu-özel tüzel kişisi ayrımı yapılmaksızın Hastane’nin bizatihi veri sorumlusu olduğunun hastaneye hatırlatılmasına, ilgili kişinin özel nitelikteki verisinin kişinin açık rızası ve KVKK’nın 6’ncı Maddesinde düzenlenen işleme şartları olmaksızın üçüncü kişiye aktarmak suretiyle hukuka aykırı şekilde işlenmesi suretiyle “Veri Güvenliğine İlişkin Yükümlülükler ”in ihlali nedeniyle veri sorumlusu hakkında idari para cezası verilmesine karar verilmiştir.

Ceza: 100.000-TL idari para cezası verilmiştir.

2020/167

27/02/2020
Konu: Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun Kararı.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda spor salonu hizmeti sunan veri sorumlusu tarafından, üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesinde biyometrik verileri içeren bazı özel nitelikli kişisel verilerin işlenmesine ilişkin olarak Kurum’a başvuruda bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda, spor salonuna giriş ve için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri atelp etme ilkesi ile uyumlu olmadığına karar verilmiştir. Bu kapsamda, avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının KVKK’nın “Genel İlkeler” başlıklı 4’üncü maddesinin 2 numaralı fıkrasının ç bendindeki ölçülülük ilkesine aykırı olduğuna karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrasının a bendine aykırılık sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 225.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

2020/59

27/01/2020
Konu: İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası üzerine.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişinin ortağı bulunduğu …Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek kurula başvurmuştur. Kurulun yapmış olduğu inceleme sonucunda kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin KVKK’nın 5 inci maddesinin 2 numaralı fıkrasının e bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise KVKK’nın 28 inci maddesinin 1 numaralı fıkrasının d bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.