EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Özel Sektör sektörü ile ilgili kararlar

2022/653

07/07/2022

Konu: İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayet dilekçesinde özetle; Veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışverişte girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim bilgisinin veri sorumlusundan talep edilidiği ancak veri sorumlusu tarafından bu talebe olumsuz yanıt verildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; igili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/630

29/06/2022

Konu: İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin Kuruma intikal eden şikayetinde özetle; özel bir hastanede gerçekleşen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl hesapta tutulduğu, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, çekilen görsellerin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanı bulunmadığından hareketle, hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu ve bu konuda gerekli idari ve teknik tedbirleri almadığı dikkate alınarak 100.000 TL idari para cezası uygulanmasına,Veri sorumlusunun, ilgili kişinin kendisine maddi tazminat ödenmesi durumunda Kurula şikâyette bulunmayacağına dair teklifine ilişkin yargı yoluna başvurulabileceği hususunda bilgilendirilmesine karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/545

02/06/2022

Konu: İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği belirtilmesi üzerine Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı da dikkate alınarak aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/491

18/05/2022

Konu: Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi hakkında

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sitesinde paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ve veri sorumlusu arasındaki sözleşmeye istinaden internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/328

07/04/2022

Konu: İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum’un yapmış olduğu inceleme sonucunda; ilgili kişinin kişisel verilerinin yer aldığı ihtarnamenin veri sorumlusu tarafından yedi kişiye daha gönderildiği iddiasına ilişkin olarak; kişisel verilerin işlenmesi faaliyetinin mevzuatta yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun kişisel verileri hukuka aykırı olarak işlenmesini önlemek yükümlülüğüne uygun davranmadığı Kurumca tespit edilmiş, 100.000 TL idari para cezası uygulanmasına ve Karar hakkında Türkiye Noterler Birliğine bilgi verilmesine karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/325

07/04/2022

Konu: İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen bir şikayette özetle; bir pazarlama şirketinin bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 15 defa gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisi olmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucun damarket sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, Kurumun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gçnderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu şirkete hatırlatılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/277

24/03/2022

Konu: İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle; ilgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin şubesine teslim ettiği, bu şirketin de ürünü kargo firmasına teslim ettiği ancak kargo firmasının ürünü ilgisiz üçüncü bir şahsa teslim ettiği, üçüncü şahsın ilgili kişiyi arayarak konuyla ilgili bilgi verdiği bildirilmiştir. Elektronik perakende şirketinin yetkilileriyse; konu kapsamında bir suçları olmadığı ve hatanın tamamen kargo firmasında olduğu belirtilmiştir. Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurulduğunda Kurum, İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına, veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/249

17/03/2022

Konu: Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından yapılan inceleme sonucunda sunucuları yurt dışında bulunan sistemin kullanılması aracılığıyla kişisel verilerin yurt dışına aktarılması faaliyetinin gerçekleştirildiği, söz konusu faaliyet gerçekleştirilmeden önce aktarım yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin Kurul’a sunulmadığı, yurt dışına aktarım bakımından somut olayda açık rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta ilgili kişilerden de açık rıza alınmadığı tespit edilmiştir. Uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirlerin alınmaması, veri sorumlusu şirketin ekonomik durumu, yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği ve 6698 sayılı Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında 950.000 TL idari para cezası verilmiştir.

Ceza: 950.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/229

10/03/2022

Konu: E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

Kararı Paylaşın

Karar Özeti:

Kurul vermiş olduğu kararda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığına karar vermiştir. Bununla birlikte, veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınmasına karar verilmiştir. Sonuç olarak veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, KVKK’nın 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların KVKK’nın 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 800.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2022/224

10/03/2022

Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?