EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Özel Sektör sektörü ile ilgili kararlar

2023/1154

25/07/2023

Konu: VERBİS kaydı istisnasını belirleyen mali bilanço sınırının değiştirilmesi

Kararı Paylaşın

Karar Özeti:

Kurum tarafından yayınlanan bir karar ile belli bir mali bilanço eşiğine ulaşmış işletmelerin kişisel verileri işlemek için kayıt olmaları gereken sistem olan VERBİS’e ilişkin mali bilanço sınırları değiştirildi. Yapılan değişiklikle yıllık mali bilanço sınırı 25 milyon TL’den 100 milyon TL’ye çıkartıldı. 25.07.2023 tarihinden itibaren yıllık toplam mali bilançosu 100 milyon TL’yi aşan işletmeler kişisel veri işleyebilmek için VERBİS’e kayıt olmak zorunda.

Ceza: Yıllık toplam mali bilanço sınırı 25 milyonTL’den 100 milyon TL’ye çıkarıldı.

İlgili GDPR kararlarını görmek ister misin?

2023/437

22/03/2023

Konu: Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında Kurum’a iletilen şikayet dilekçesinde; Veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmediği ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmediği, toplamda 5 kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderildiği belirtilmiş, Veri sorumlusunun “hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulama kullanılıp kullanılmadığı hususunda denetim yapılması talep edilmiştir. Konuya ilişkin Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin hukuka uygun olduğu değerlendirilmiş, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik veya iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kuruma iletilmemiş olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/426

22/03/2023

Konu: Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Bir Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden ihbar dilekçelerinde özetle; Tüketici finansman kredisiyle alışveriş imkanı sunan bir şirketin; hizmetin sunumu sırasında veya öncesinde, ilgili kişi müşterilerinin e-Devlet şifrelerini talep ettiği belirtilmiştir. Veri sorumlusu şirket tarafından ihbar dilekçelerine ilişkin cevap yazılarında özetle; kişisel verilerin korunması ve işlenmesi konusunda azami düzeyde teknik ve idari tedbir aldıklarını, e-Devlet gibi kişiye ait özel bir alanı kullandıkları iddiasının Şirket politikası ve uygulamaları ile ters düşeceğini, bu açıdan hiçbir müşteriden herhangi bir şifre talep etme durumunun söz konusu olmadığını belirtmişlerdir. Konuya ilişkin kurum tarafından yapılan inceleme sonucunda ilgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, igili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle 400.000 TL idari para cezası uygulanmasına, hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’inci maddesi doğrultusunda imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir.

Ceza: 400.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/134

01/03/2023

Konu: İntenet ve sosyal medya platformlarında bulunan TikTok uygulaması nezdinde gerçekleşen veri ihlalinin değerlendirilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu olan sosyal medya platformu TikTok hakkında, açık rızanın Kanun kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı bulunduğuna dair yer alan muhtelif haberler ve şikayetler yayımlanması sonucunda Kurul, resen inceleme başlatmıştır. Kurulun yapmış olduğu inceleme sonucunda; TikTok’un 2021 yılı Ocak ayında gizlilik politikasını güncellediği ve güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği ancak belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlama bulunmamasının hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği tespit edilmiştir. Ayrıca veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde, Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği, kullanıcının onayına sunulan Hizmet Koşulları metninin Türkçe tercümesi bulunmaması, Gizlilik Politikasının esasen bir aydınlatma metni olduğu ancak açık rıza metni olarak kullanıldığı, platformda hesap oluşturulurken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı tespit edilmiştir. Kurul yapmış olduğu bu incelemeler sonucunda veri sorumlusu TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına, Hizmet Koşulları metninin bir ay içinde Türkçeye çevrilmesine, söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesine ve Kanun’un 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.

Ceza: 1.750.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/67

12/02/2023

Konu: Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet yazısında özetle; Veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, şirket vekilinin ilgili kişinin şahsi vekili olmadığından bahisle yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, gönderim yapılan e-posta adresi şikayetçiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan açık rıza beyanının geçersiz olduğu,veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği, daha sonraki tarihlerde yapılan işlemlerde veri sorumlusu tarafından şikayetçiye e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı belirtilmiştir. Kurul yapmış olduğu inceleme sonucunda şikayete konu yanlış e posta adresinin ilgili kişi talebi üzerine hemen değiştirilmesine imkan sağladığı için veri sorumlusunun özen yükümlülüğünü yerine getirdiğine, kişilerin iletişim bilgilerini belirli periyotlara güncel tutmadığı için veri sorumlusunun uyarılmasına, Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/78

19/01/2023

Konu: İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı, gili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği ve şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun cevabi yazısını da değerlendirerek ilgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının bir hukuka aykırı veri işleme faaliyeti olduğu belirtilmiştir. Bıu doğrultuda veri sorumlusunun, veri güvenliğine ilişkin yükümlülüklerini de yerine getirmediği değerlendirlerek 85.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 85.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/4

05/01/2023

Konu: Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikâyete konu olayın; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği belirtilmiştir. İşlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği belirtilmiştir. İlgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği çalışanlara eğitim verildiği üstelik kargo üstündeki isim bilgilerinin de Karayolu Taşıma Kanunu’nun 43. maddesi uyarınca üzerine yazıldığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda, ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı tespit edilmiş, 75.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1358

23/12/2022

Konu: Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kuruma iletilen şikayette bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği göz önünde bulundurularak 300.000 TL idari para cezası uygulanmasına, sitede çerezlerle işlenen kişisel veriler bakımından ilgili Kanun ve Tebliğ’e uygun şekilde aydınlatma yapılması yönünde talimatlandırılmasına ve kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmakla birlikte aydınlatma metnindeki eksikliklerin giderilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: 300.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1357

22/12/2022

Konu: Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette, bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini, biyometrik verilerini ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak 100.000 TL idari para cezası uygulanmasına, Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1281

01/12/2022

Konu: İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle borçlu hakkında başlatılan icra takibi ile ilgili olarak avukat tarafından defalarca oğlunun aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı belirtilmiştir. Kurulun yapmış olduğu inceleme sonucunda; Borçlunun haciz esnasında haciz mahallinde olduğu ve haczedilen malların yediemin sıfatıyla kendisine bırakılmış olduğu da dikkate alındığında veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına, Veri sorumlusunun Kuruma ilettiği belgelerden, borçlunun oğlunun da söz konusu borcun hacizle tahsili sırasında haciz mahallinde bulunduğu ve Haciz Tutanağını imzaladığı, dolayısıyla babasının borcu hakkında hâlihazırda bilgi sahibi olduğu, şikâyet konusu aramalara dair kayıtların ise anılan Haciz Tutanağının tanzim edildiği tarihin ertesi gününe ait olduğu, bu nedenlerle borçlunun “aynı zamanda da kişisel verisi olan, kendisinin borçlu olduğuna dair bilginin veri sorumlusu tarafından oğluna iletilmesi” şeklindeki şikâyetine ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?