EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Online platform sektörü ile ilgili kararlar

2021/1051

14/10/2021

Konu: İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve KVKK’nın 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında KVKK kapsamında yapılacak bir işlem bulunmadığına ve ilgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile KVKK’nın 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiş olup herhangi bir idari yaptırım uygulanmamıştır.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/269

18/09/2019

Konu: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook’un sistemlerinde üç ayrı uygulamanın birbiriyle hatalı etkileşimi sonucu yabancıların hesabına izinsiz erişim imkanı sağladığını ve bu hata yüzünden bir veri ihlali gerçekleştiği saptanıyor. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusunun izinsiz erişim imkanı tanınması ve ihlalin gerçekleştiğini 14 ay geç öğrenmesi yönünden yeteri tedbirleri almadığı, öğrendikten sonra düzeltme açısından geç harekete geçtiği sebepleriyle kusurlu olduğuna kanı getiriyor. Ayrıca Türkiye’de yer alan kullanıcıların isim, soyisim, e-posta, telefon dışında cinsiyet, memleket, doğum günü, iş ve eğitim geçmişi, ilişkisi, dini, cihaz bilgisi, Facebook’da yapılan aramalar gibi pek çok özel nitelikli kişisel veri ve kişisel veriye ulaştığı tespit edilmesi sebebiyle idari para cezasının uygulanmasına karar verilmiştir.

Ceza: 1.600.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/222

17/07/2019

Konu: Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurum’a yapılan veri ihlal bildiriminde, darknet üzerinden veri sorumlusunun kullanıcılarına ait kişisel verilerin yer aldığı, inceleme sonucunda halka açık ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmıştır.

Ceza: KVKK madde 12 kapsmaında 680.000,00-TL ve geç bildirim sebebiyle 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/157

31/05/2019

Konu: Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google ( gmail ) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumun görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından, Google’a ait G-mail e-posta hizmeti altyapısı kullanılması halinde e-postaların yurtdışındaki veri merkezlerinde tutulması söz konusu olacağından, “Server ” ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin KVKK’nın 9’uncu Maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2019/104

11/04/2019

Konu: Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook tarafından duyurulan ihlalde kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül – 25Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirlenmiştir. Kurul tarafından yapılan inceleme neticesinde veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2018/90

26/07/2018

Konu: Aydınlatma yükümlülüğü ve açık rıza alınması süreçlerinin ayrı ayrı yerine getirilmesi gerekliliği ile ilgili.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, online platformda iş başvurusu alan veri sorumlusu şirketler topluluğunun kişisel veri işleme süreçlerinde iş başvurusunda bulunurken üyelik kaydı yapılmasının zorunlu olduğu, üyelik kaydı yapılması sırasında ise, aynı kutucuğun işaretlenmesi yoluyla hem aydınlatma metninin okunduğuna, hem de kişisel verilerin işlenmesi hususunda açık rıza verildiğine ilişkin onay alınması yoluna gidildiği tespit edilmiştir. Kurul verdiği karar ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesinin 1 numaralı fıkrasının f bendine atıfla aydınlatmanın veri işleme faaliyetinde bir bilgilendirme aracı olduğunu, açık rıza alınmasının ise veri sorumlusu tarafından kişisel verilerin işlenmesine hukuki bir dayanak oluşturduğunu belirtmiştir. Bu bağlamda kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini vurgulamıştır.

Ceza: İdari yaptırım uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?