EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Özel Sektör sektörü ile ilgili kararlar

2023/1653

28/09/2023

Konu: Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusuna ait mağazadan alışveriş yaparken alışveriş kartı talep edilmiş ve bu kart için telefonuna gönderilen onay kodunu görevliye okumuştur. Ancak ilgili kişi, onay kodunu okuyarak “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan ettiğini fark etmiştir. Bu durum, kişisel verilerinin açık rızasının aldatma yoluyla ele geçirilmesi olarak değerlendirilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusundan gelen savunmaya göre; mağazalarda alışveriş kartı adı altında bir kart uygulaması bulunmamakta, ilgili kişinin belirttiği kartın bir “hediye kartı” olduğu, hediye kartının sadece ürün iadesi veya müşterinin isteği doğrultusunda kullanılabildiği belirtilmiştir. Hediye kartları için müşterilerden açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve müşterilere bu metne ulaşma yöntemleri sunulduğu ifade edilmiştir. Kasada yapılan işlemlerde müşterilere, aydınlatma metni ve kişisel veri işleme faaliyetleri hakkında bilgi verildiği ve müşterinin kayıt olup olmadığının sorulduğu, kayıt olmak isteyen müşterinin kendi cep telefonundan izin mesajı göndermesi gerektiği belirtilmiştir. Müşterinin gönderdiği mesaj üzerine şifre gönderildiği ve bu şifre içerisinde aydınlatma metni ve açık rıza beyanı gibi gerekli bilgilerin bulunduğu ifade edilmiştir. Kurulun değerlendirmeleri sonucunda; İlgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirilmiş ancak ilgili kişi rızasını geri çekmiştir. Bu durumda, Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirlenmiştir. Ancak, alışveriş sırasında ticari elektronik ileti gönderilerek kişisel verilerin işlenmesine ilişkin açık rıza alınmasının, ilgili kişilerin bu rızayı alışverişin bir parçası olarak verdiği izlenimi yaratabileceği ve bu durumun açık rızanın özgür irade ile açıklanma unsuruyla çelişebileceği değerlendirilmiştir. Bu çerçevede, ilgili uygulamanın, ilgili kişileri doğru bir şekilde bilgilendirerek alışverişin bir parçası olarak algılanmayacak şekilde revize edilmesine karar verilmiştir. Ayrıca, aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması, yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1645

28/09/2023

Konu: Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

Oyuncu olan İlgili kişinin Türkiye’de tek dağıtıcısı bulunan global oyun şirketine Kanunun 11. maddesi kapsamındaki haklarını öğrenmek için başvurduğu ancak birçok konuda tatmin edici cevap alamadığı ve oyun oynarken çalışan harici bir yazılımla kişisel verilerinin yurt dışına aktarıldığı iddiasıyla Kuruma başvurmuştur. Kurum hem yazılı hem de yerinde yaptığı işlemler sonucunda; kullanılan harici yazılımın sadece dolandırıcılık önlemekte kullanılan ve bilgi aktarımı gerçekleştirmeyen bir yazılım olduğuna ancak üyelik oluşturulurken sunulan aydınlatma metnindeki muğlak ve açık olmayan ifadeler gerekçesiyle Kanunun 10. maddesine uygun olmadığına, çerez aydınlatma metinlerinin tutarsız bilgiler içeriğine ve tutarlı hale getirilmesi gerektiğine 12. maddede düzenlenen veri güvenliği hükmüne aykırı olmaktan Kanunun 18. maddesi 1. fıkra uyarınca 750.000 TL idari para cezası verilmiştir. Eksikliklerin düzeltilmesi için süre verilmiştir.

Ceza: 750.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1578

14/09/2023

Konu: İlgili Kişinin Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Mahkemeye Aktarılması

Kararı Paylaşın

Karar Özeti:

Şikayet dilekçesine göre, ilgili kişi bir üniversiteye bağlı tıp merkezinde tedavi hizmeti alırken, şahsi terapi ve evlilik terapisi kayıtlarını içeren hasta dosyası, boşanma davası sürecinde görev yapan tıp merkezi mesul müdürü hekim tarafından mahkemeye gönderilmiştir. Bu dosyanın hiçbir önlem alınmadan, herkesin erişebileceği bir şekilde gönderilmesi sonucunda özel hayatına ait mahrem bilgilerin mahkeme tarafından taranarak geniş bir çevre tarafından öğrenildiği ifade edilmektedir. Hastanenin gereksiz detayları içeren notları paylaşmasının, ilgili kişinin özel hayatının açıkça ifşa edilmesine neden olduğu belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Tıp Merkezi hakkında işlem yapılması talep edilmektedir. İlgili kişinin özel nitelikli kişisel verilerinin, üniversitenin bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6. maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğu belirtilmiştir. İlgili kişinin özel nitelikli kişisel verisinin sağlık kayıtları, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221. maddesine dayanarak mahkemeye aktarılmıştır. Bu durumda, söz konusu kişisel veri aktarımının Kanun’un 8. maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğu ifade edilmiştir. Aktarım faaliyetlerinde, 2018/10 sayılı Kurul Kararı’na uygun olarak önlemlerin alınması gerektiği belirtilmiş ve özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilerek seçilmesi gerektiği vurgulanarak, veri sorumlusuna hatırlatma yapılmıştır. İlgili kişinin iddiaları arasında, belgenin UYAP’a yüklenerek üçüncü kişilerin erişimine açıldığına dair bir belirtilme olmasına rağmen, veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28. maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1563

07/09/2023

Konu: İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması

Kararı Paylaşın

Karar Özeti:

“İlgili kişi, Borsa İstanbul’da satılamaz durumda olan hisselerini satılabilir hale getirmek amacıyla aracı kuruma başvuruda bulunmuştur. Başvuru, Merkezi Kayıt Kuruluşu AŞ (MKK) tarafından Kamuyu Aydınlatma Platformu (KAP) üzerinden duyurulmuş, ilanın içeriği adı-soyadı bilgisi dahil olmak üzere hangi hisseden ne kadarının satılabilir hale getirildiğini içermiştir. İlgili kişi, ad-soyadı bilgisinin ilandan çıkarılması talebiyle MKK’ye başvuruda bulunsa da talebinin kabul edilmediğini ifade etmiştir. MKK’nin cevabında ise payların borsada işlem gören niteliğe dönüştürülmesi işleminin Pay Tebliği’nin 15. maddesinin 3. fıkrasına dayanarak gerçekleştirildiği belirtilmiştir. Şikayetin Kanun kapsamında değerlendirilerek gerekli işlemlerin yapılması talep edilmektedir. Kurul tarafından değerlendirilmesi neticesinde; tebliğin ilgili maddesi kapsamında, “”MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.”” ifadesini içermektedir. Bu nedenle, MKK’nın işleminin Pay Tebliği uyarınca Kanun’un 5. maddesinin 2. fıkrasının ç bendi kapsamında hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak yapıldığı ve veri sorumlusu tarafından yeterli açıklamalarda bulunulduğu sonucuna varılmıştır. Bu bağlamda, ilgili kişinin MKK hakkındaki şikayetine ilişkin Kanun kapsamında bir işlem yapılmasına gerek bulunmamaktadır.”

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1548

07/09/2023

Konu: İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu ve yüklenici firma arasında akdedilen hizmet alım sözleşmesi, eklerinde bulunan teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdü gibi belgeler çerçevesinde bir asıl işveren-alt işveren ilişkisi kurulmuştur. İş Kanunu’nun 2. maddesinin (6) numaralı fıkrasına göre, asıl işveren-alt işveren ilişkisi, işletmenin gereği ve teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçileri sadece o işyerinde çalıştıran işveren ile iş aldığı işveren arasında kurulan bir ilişkidir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak doğan yükümlülüklerinden sorumludur. İş Kanunu’na uygun olarak kurulan bu ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esası benimsenmiştir. Veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi bulunduğundan, hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden kaynaklanan sorumluluklar mevcuttur. İlgili kişi, sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme görevi ile yüklenici firma bünyesinde çalışan bir işçidir. Ancak İş Kanunu’nun 25. maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “”İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması”” nedeniyle iş sözleşmesi feshedilmiştir. Feshin hukuka uygunluğu yargı merciine intikal eden bir konudur ve bu süreçte feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususları değerlendirilmelidir. İlgili kişiye ait ses kaydı, uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında bir delil niteliği taşımaktadır. Hukuk Muhakemeleri Kanunu’nun 190. maddesi, ispat yükünün iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa ait olduğunu belirtmektedir. Ancak, hukuka aykırı olarak elde edilen delillerin dikkate alınamayacağı HMK’nun 189. maddesi ile belirtilmiştir. İzinsiz ses kaydının, belirli durumlarda Türk Ceza Kanunu’na aykırı olmadığı ve hukuka uygun delil niteliği taşıdığı Yargıtay içtihatları tarafından kabul edilmiştir. İşverenin iş sözleşmesini haklı nedenle feshetmesini ispat etme imkânı olmadığı durumlarda veya kaybolma ihtimali bulunan kanıtların korunması amacıyla alınan ses kaydı, hukuka uygun delil olarak kabul edilebilmektedir. Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda, ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği belirtilmiştir. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine dair iddialar ise dosya içerisinde tevsik edilememiştir.

Sonuç olarak, iş sözleşmesinin feshine neden olan ses kaydı, Kanun’un 8. maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5. maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “”Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulmuştur. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddialar ise dosya kapsamında tevsik edilememiştir. Bu nedenle, veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek bulunmamaktadır.”

Ceza: Herhangi bir işlem yapılmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1509

31/08/2023

Konu: lgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu AŞ’ye aktarılması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Bankacılık hizmetleri ve kişisel veri işleme konularında yapılan bir başvuruya dair alınan karar metni, Kişisel Verilerin İşlenme Şartları, Kişisel Verilerin Aktarılması, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, 5411 sayılı Kanun ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik hükümlerine dayanarak açıklanmıştır. Karar metni, Kişisel Verilerin İşlenme Şartları’nı düzenleyen 5. maddeye atıfta bulunarak, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtir. Ayrıca, açık rızanın yanı sıra belirli şartlara dayalı olarak da kişisel verilerin işlenebileceğine dikkat çekilmiştir. Bu şartlar arasında, hukuki yükümlülüklerin yerine getirilmesi, sözleşme kurma veya ifa etme, hayati tehlikenin önlenmesi gibi durumlar bulunmaktadır. Kişisel Verilerin Aktarılması’nı düzenleyen 8. maddeye atıfla, kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı vurgulanmış, ancak belirli şartlar sağlandığında açık rıza aranmaksızın aktarımın mümkün olduğu ifade edilmiştir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre, veri sorumlusunun başvuruları etkin, hukuka uygun ve dürüstlük kurallarına uygun bir şekilde sonuçlandırmak üzere gerekli tedbirleri alması gerektiği belirtilmiştir. 5411 sayılı Kanun’un “”Risk Merkezi”” başlıklı Ek 1. maddesine atıfla, Risk Merkezi’nin kuruluş amacı ve işleyişi detaylı bir şekilde açıklanmıştır. Ayrıca, bu maddenin bankalar ve finansal kuruluşlar arasında bilgi alışverişini düzenlediği ifade edilmiştir. Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik, sır saklama yükümlülüğünden istisna tutulan halleri düzenlerken, özellikle bankalar arasındaki bilgi alışverişini bu istisna kapsamında değerlendirmiştir. Karar metni, şirketin internet sitesindeki bilgileri de referans alarak, bankaların Risk Merkezi’ne üye olma zorunluluğunu ve bilgi paylaşımının bu çerçevede gerçekleştiğini belirtmiştir.

Sonuç olarak, ilgili başvurunun, bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve yasal düzenlemelere uygun olarak gerçekleştirildiği gerekçesiyle veri sorumlusu hakkında herhangi bir işlem tesis edilmemesine karar verilmiştir. Ancak, başvurunun reddedilmesi durumunda gerekçenin açıklanması gerektiği hususu da vurgulanmıştır.”

Ceza: Veri sorumlusu hakkında tesis edilecek bir işlem bulunmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1465

24/08/2023

Konu: Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi

Kararı Paylaşın

Karar Özeti:

Bir araç kiralama internet sitesindeki hesabına giriş yapan ilgili kişi, kendi giriş bilgilerini girmesine rağmen başka bir kişinin hesabına giriş yapmış ve kişiye ait isim, adres ve TC kimlik numarasını görmüştür. İhlali veri sorumlusuna bildiren başvuran, ihlalin düzeltildiğini görmüş ama herhangi bir cevap alamamıştır. Bunun üzerine Kuruma başvurmuştur. Kurum veri sorumlusundan savunma istemiştir. Savunmada; algoritmalarında kısa süreli bir hata olduğu ve toplam 4 kişinin bu sorunu yaşadığı tespit edilmiş ve düzeltildiği söylenmiştir. Ancak veri ihlali Kuruma bildirilmemiştir. Kurum veri 12/5 uyarınca ihlal bildiriminin yapılmaması sebebiyle ceza uygulamıştır.

Ceza: 200000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1461

24/08/2023

Konu: Bir eğitim kurumu tarafından kamera vasıtası ile görüntü ve ses kaydı alınması neticesinde Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu, muhatap cevap yazısında, okulun genel kullanımına açık alanlarda Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca görüntü ve ses kaydı alındığını belirtmiştir. Ancak, ilgili mevzuat incelendiğinde, görüntü kaydı alınabilecek yerlerin sınırlı olduğu ve belirli bazı yerlere kamera yerleştirilmesinin yasaklandığı tespit edilmiştir. Bu yasaklamaların sadece görüntü kaydına yönelik olduğu ve ses kaydını meşru kılan özel bir hüküm olmadığı ifade edilmiştir. Metinde, kameralar aracılığıyla alınan görüntü kaydının her durumda meşru bir gereklilik oluşturmadığı vurgulanmıştır. Görüntü kaydının alınmasını gerektiren sebebin, kişilerin temel hak ve özgürlükleri ile çatışması durumunda üstün tutulan bir menfaate işaret etmesi gerektiği belirtilmiştir. Ayrıca, ses kaydının alınmasıyla ilgili olarak da, kişisel verinin işlenmesi açısından meşru bir menfaatin olup olmadığı, çatışan menfaatlerin varlığı ve meşru menfaatin dahi ölçülü olup olmadığının değerlendirilmesi gerektiği ifade edilmiştir. Veri sorumlusunun bir eğitim kurumu olarak faaliyet gösterdiği ve öğrencilerinin okul öncesi, ilk ve orta öğretim öğrencileri olduğu belirtilmiş, güvenlik ve iş sağlığı güvenliği amaçlarının bir arada düşünüldüğünde kamera aracılığıyla görüntü kaydının meşru, ölçülü ve amaçları gerçekleştirmeye elverişli bir işleme faaliyeti olduğu savunulmuştur. Ancak, bu durumda ses kaydının alınmasına gerek olmadığı ve ses kaydının fazladan veri işlemesiyle ilgili olarak özel hayatın gizliliği ve kişisel verilerin korunması haklarına zarar verebileceği ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun 2019/78 sayılı Kararı referans alınarak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali değerlendirilmiştir. Bu bağlamda, kamera ile görüntü kaydı alınmasının güvenlik amacıyla uygun olduğu ancak ses kaydının aynı gerekçeyle uygun olmadığı belirtilmiştir. Ses kaydının, ilgili kişilerin makul beklentilerinin ötesinde olduğu ve genel olarak güvenlik gerekçesiyle kamera kaydının yapıldığı koşullarda aşırı bir müdahale olduğu vurgulanmıştır.

Sonuç olarak, veri sorumlusunun ses kaydı alma uygulamasının Kanun’a uygun olmadığı ve bu nedenle hukuka aykırı olduğu sonucuna varılmıştır. Bu doğrultuda, ses kaydı alınmasında herhangi bir meşru sebep bulunmaması, aydınlatma yükümlülüğünün yerine getirilmemesi ve Kanun’un hükümlerine aykırı davranılması nedeniyle toplamda 230.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ilgili kişilerin veri sorumlusuna başvurularına erişememesi ve sorularının yanıtlanmaması nedeniyle veri sorumlusuna talimatlandırma yapılmıştır. İlgili kişilerin başvurularının etkin, hukuka uygun ve süresi içinde sonuçlandırılması için veri sorumlusuna hatırlatma yapılmıştır.”

Ceza: Kanun’un 12. maddesinin birinci fıkrasına aykırı davranış nedeniyle 200.000 TL idari para cezası ile Kanun’un 10. maddesine aykırılık nedeniyle 30.000 TL idari para cezası uygulanmış ve toplam ceza miktarı 230.000 TL’ye ulaşmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1430

17/08/2023

Konu: Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi

Kararı Paylaşın

Karar Özeti:

Yemek kartı hizmeti veren bir şirketin mobil uygulamasında fiziki yemek kartını kaydetmek istediğinde TC kimlik no ile doğrulama yapılması zorunlu tutulması üzerine Kuruma bir şikayet iletilmiştir. Yapılan inceleme üzerine veri sorumlusundan cevap istenmiş. Cevapta; mobil kartlar için telefon numarası ile doğrulama yapılabildiğini ancak fiziki kartların uygulamaya eklenmesi gerektiği zaman müşterilerin güvenliği ve müşteri tanıma protokollerinin işletilebilmesi için TC kimlik no istendiği belirtilmiştir. Kurum incelemesinde her ne kadar genel nitelikli kişisel verilerinden olsa da TCKN telefon numarası ve diğer doğrulama bilgilerinden daha olduğu için bu işlemin daha düşük seviye veriler ile de yapılabileceğine karar vermiştir. 5 maddedeki hükümlere aykırılık tespit ederek 12. madde hükümlerince veri güvenliğinin tehlikeye düştüğünü söylemiştir.

Ceza: 200.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1414

17/08/2023

Konu: Özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması.

Kararı Paylaşın

Karar Özeti:

Bir avukat, müvekkilinin aile üyelerine ait DNA test sonuçlarını, hukuka uygun olarak yargılama sürecinde kullanmıştır. Bu eylem, Kurul tarafından kişisel verilerin korunması mevzuatı ve ilgili diğer kanunlar çerçevesinde değerlendirilmiştir. Kurul, avukatın eyleminin kişisel verilerin işlenmesine ilişkin kanuni şartlara uygun olduğunu ve hukuka aykırı bir durum olmadığını belirleyerek şikayetle ilgili işlem yapılmasına gerek olmadığına karar vermiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?