EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Özel Sektör sektörü ile ilgili kararlar

PS/00368/2021

27/09/2022
Konu: Veri sorumlusunun rıza almadan kişisel verileri paylaşması

Kararı Paylaşın

Karar Özeti:

Veri koruma otoritesi tarafından alınan başvuruya göre Bir video konferans programında yapılan bir toplantının kaydını toplantıdaki diğer kuruluşları temsil eden katılımcıların bilgisi veya rızası olmadan paylaşmıştır. İncelemeler sonucunda ilgili kişilerin toplantının kaydedilmekte olduğu konusunda uyarıldığı ilk toplantının sadece başlangıcında olduğunu ve ikinci toplantının kaydedilmekte olduğu konusunda bilgilendirildiğini kanıtlanılamamıştır. Fakat veri koruma otoritesi, daha fazla bilgi verilmediğini ve gelecekteki toplantıların da kaydedileceği gerçeğinden bahsedilmediğini kaydetti. Ayrıca, ikinci toplantıdaki bazı katılımcıların ilk toplantıya katılmaması nedeniyle bu iletişimin yetersiz kalacağını gözlemledi. Ayrıca veri sorumlusunun kişisel verilerin işlenmesi için geçerli bir yasal dayanağı olduğunu tespit edilmiştir.

Ceza: 200.000 EURO para cezası verilmiştir.

PS/00068/2021

11/09/2022
Konu: Veri sorumlusu tarafından veri minimizasyonuna aykırılık yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir trambolin parkı olan URBAN PLANET’ın, tesislerine erişebilinmesi için orantısız miktarda veri istediği iddiasıyla soruşturma başlatıldı. Veri sahibi; ad ve soyadı, kimlik numarası, adres, telefon numarası, e-posta adresi, doğum tarihi ve fotoğrafını içeren kayıt formunu doldurmalıdır. Veri sorumlusu bu kayıt formu ile ziyaretçilerin kişisel verilerinin doğrulamanın en uygun maliyetli yol olduğunu açıkladı. Veri Koruma Otoritesi ise veri minimizasyonu kriterlerinin karşılanıp karşılanmadığını değerlendirdi. Kişisel Veri Otoritesi, ziyaretçilerin parka erişimi için fotoğraf talep etmenin ve veriyi işlemenin arkasındaki amaçların, gerekli veya orantılı olup olmadığını değerlendirmiştir. Tesise erişim ve kullanımı için talep edilen fotoğrafların bu amaçlara göre yeterli, yerinde ve ilgili veriler olmadığına kanaat getirildi. Bu sebeple veri sorumlusuna kınama cezası verilmiştir.

Ceza: Kınama cezası verilmesine karar verilmiştir.

PS/00080/2022

28/05/2022
Konu: Veri sorumlusu tarafından kişisel verilerin üçüncü kişiler ile paylaşılması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, veri sorumlusu olan bir sigorta şirketi tıbbi klinik testleri için yetkilendirmeler hakkında belgeler paylaşıyor. Testler veri sahibinin hiç tanımadığı üçüncü kişiye e-posta yoluyla birden fazla kez iletti. Üçüncü kişi, böyle bir e-posta aldığında durumu sigorta şirketine bildirdi, ancak sigorta şirketi üçüncü kişiyi şirket içerisindeki diğer departmanlara yönlendirdi. Bu nedenle sorun çözülmedi ve üçüncü kişi daha fazla e-posta almaya devam etti. Belgelerde yetki numarası, sigortalının bilgileri (adı, soyadı, sigorta poliçesi numarası) ve tıbbi testlerin türü yer aldı. Yapılan incelemeler sonucunda, tıbbi bilgilerini üçüncü taraflara göndererek veri sahibinin kişisel verilerinin uygun güvenliğini sağlamamanın bütünlük ve gizlilik ilkesini ihlal ettiğine karar verildi. Ayrıca Veri Koruma Otoritesi, güvenlik önlemlerinin eksikliği denetleyicinin yapısal bir sorununu temsil ettiğini ve denetleyicinin, veri sahiplerinin hak ve özgürlüklerine yönelik bir risk oluşturan kişisel veri ihlalini, bunu öğrendikten sonra en geç 72 saat içinde yetkili makama bildirmemesi sebebiyle birkaç ihlalin gerçekleştiğine karar verdi. Nihai karardan önce gönüllü ödeme için %20 ve sorumluluğun kabulü için %20 indirim uyguladıktan sonra 132.000 € para cezası verdi.

Ceza: 132,000 EURO para cezası verilmesine karar verilmiştir.

PS/00140/2020

18/05/2022
Konu: Veri Sorumlusu tarafından kişisel verilerin yasa dışı bir şekilde üçüncü bir tarafa aktarılması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, Veri Sorumlusu (Google LCC)’nin İlgili Kişiler (Kullanıcılar) tarafından yapılan kaldırma taleplerinin kopyalarını yasa dışı bir şekilde üçüncü bir tarafa gönderdiği iddia edildi. Yargılamaların başlangıcında, İspanya Veri Koruma Otoritesi şikayeti DPC’ye (İrlanda Veri Koruma Otoritesi) iletmiştir. Bir yıl sonra, DPC, söz konusu işlemin denetleyicisi Google Ireland Ltd değil, Google LLC olduğundan, şikayeti ele almaya yetkili olmadığına karar verdi.Bu, Google’ın GDPR Madde 17 uyarınca kaldırma isteklerini ve silme hakkını nasıl ele aldığı konusunda Veri Koruma Otoritesi’nin daha geniş bir araştırma yapmasına sebep oldu. Sistemi incelediğinde şikayette iddia edildiği gibi, Google’ın GDPR’ınn 17’nci Maddesi kapsamında yapılanlar dışında, üçüncü tarafa kaldırma talepleri gönderdiğini de tespit etti. Bununla birlikte, üçüncü taraf tarafından uygulanan otomatik redaksiyon sürecinin genellikle işe yaramadığını ve taleplerde bulunan kişisel verilerin veritabanında redaksiyon yapılmadan bırakıldığını tespit etti. Cezanın miktarını belirlerken, DPA özellikle üçüncü tarafın üye olmayan bir durumda bulunmasını, veri sahiplerinin aktarıma itiraz etme imkanının olmamasını, ihlalin uzun sürmesini ağırlaştırıcı faktörler olarak değerlendirmiştir.

Ceza: 10,000,000 EURO ceza verilmiştir.

PS/00267/2021

13/05/2022
Konu: Veri sorumlusunun, ilgili kişi tarafından gelen taleplere yanıt vermemesi ve verileri silmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusunun mağazalarından birinde, denetleyici tarafından videoyla izlenen bir kaza geçirdi. Veri sahibi, veri sorumlusuna karşı tazminat talep etmek amacıyla, kaza meydana geldikten sonra video görüntülerine erişim talebinde bulundu. Aynı gün, ilgili kişi, veri sorumlusundan mesajının başarıyla gönderildiğine dair bir otomatik yanıt aldı. İlgili kişi ayrıca isim, e-posta adresi, telefon numarası, kazanın açıklaması ve maruz kaldığı zararları içeren e-posta yoluyla kontrolöre kaza hakkında şikayette bulunmuştur. Erişim talebine bir aydan fazla bir süre boyunca yanıt vermemesinin ardından, ilgili kişinin avukatı, erişim talebini takip eden veri sorumlusunun DPO’suna bir e-posta gönderdi. DPO, herhangi bir erişim talebinden haberdar olmadıklarını belirtmiştir. Bu olumsuz cevabını aldıktan sonra, veri sahibi Veri Koruma Otoritesi’ne şikayette bulunmuştur. Yapılan incelemer sonucunda talep edilen videoların silindiği tespit edilmiştir. Nihai kararda. veri sahibinin erişim talebine yanıt vermediği için 70.000 EURO ve video kaydını yasal bir dayanak olmaksızın sildiği içinse 100.000 EURO para cezası verilmiştir.

Ceza: 170.000 EURO para cezası verildi.

PS/00476/2021

11/04/2022
Konu: Veri sorumlusunun ilgili kişinin rızası olmadan sözleşmeyi değiştirmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, üçüncü bir tarafın izni olmadan elektrik sözleşmesinde değişiklik yaptığını iddia ederek veri sorumlusuna karşı veri koruma otoritesine bir talepte bulundu. Kanıt olarak,ilgili kişi, şirkete yapılan ve bir kadının ilgili kişinin kız kardeşi olduğunu belirttiği bir aramanın ses kaydını sunmuştur. Kadın, erkek kardeşinin evinde yaşadığını da belirtiyor ve son zamanlarda elektrik kesintisi yaşadığından yakınıyor. Kadına, şirketin web sitesinde çevrimiçi olarak elektrik gücünün 1.8KW’dan 1.4KW’a düşürüldüğü bilgisi verildi. Kadın, şirketin güç kaynağını 1.8KW’a geri değiştirmesini talep etti. Şirket iç protokolüne göre, elektrik akımını 1.8KW’a geri döndürmek için kadından güvenlik sorusu olarak sözleşmeyle ilgili bazı kişisel verileri (ad, soyad, kimlik numarası, telefon numarası ve adres) vermesini istedi.Veri sorumlusu savunmasında, kadının bu soruları yanıtlayarak güvenlik protokolünü başarıyla aştığını ve bu nedenle şirket tarafından veri sahibi adına sözleşmeyi değiştirmeye fiilen yetkili olarak kabul edildiğini iddia etti. Veri koruma otoritesi, birisinin bu veriler hakkında bilgi sahibi olabileceği gerçeğinin, elektrik şirketi ile sözleşmeyi değiştirmek için veri sahibi adına hareket edebilecekleri anlamına gelmemesi gerektiğini belirtti. Yeterli bir güvenlik protokolüne sahip olmamakla, şirketin güç kaynağı sözleşmesini veri sahibinin rızası olmadan değiştirerek ihlallerde bulunduğuna karar verildi.

Ceza: 150.000 EURO para cezası verilmiştir.

2022/229

10/03/2022
Konu: E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

Kararı Paylaşın

Karar Özeti:

Kurul vermiş olduğu kararda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığına karar vermiştir. Bununla birlikte, veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınmasına karar verilmiştir. Sonuç olarak veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, KVKK’nın 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların KVKK’nın 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 800.000 TL idari para cezası uygulanmıştır.

2022/224

10/03/2022
Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

2022/184

04/03/2022
Konu: Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin alacak devir sözleşmesiyle devredilmiş telekominasyon borçlarının alacağını devralan veri sorumlusu tahsil etmek amacıyla ilgili kişinin açık rızasını almadan firmayla görüşme yaptığı üçüncü kişi numaralarıyla paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almadığı tespit edilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 50.000-TL İdari para cezası uygulanmıştır.

PS/00420/2021

28/02/2022
Konu: Veri sorumlusunun kişisel verilerin ihlalini önlemek için yeterince önlem almaması

Kararı Paylaşın

Karar Özeti:

Bir kiracı, ilgili kişinin hesabına kira ödemesi yaptı ve veri sorumlusundan bir makbuz istedi. Buna karşılık, veri sorumlusu kiracıya ilgili kişinin hesap bakiyesini içeren bir belge verdi.
İlgili kişi daha sonra veri koruma otoritesine şikayette bulundu. Soruşturma, kişisel veri güvenliği ihlali olarak kategorize edildi. Veri koruma otoritesi, ilgili kişinin hesap bakiyesini içeren bir belgeyi üçüncü bir tarafla paylaştığında veri sorumlusunun kişisel verilerin bütünlüğünü ve gizliliğini ihlal ettiğine karar verdi. Ayrıca, ihlal gerçekleştiğinde, ilgili kişinin hesap bakiyesinin ödeme kanıtı talep eden kişi tarafından görülmesini önlemek için teknik ve organizasyonel önlemlerin mevcut olmadığına karar verildi.

Ceza: 48.000 EURO para cezası verilmiştir.