EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Perakende sektörü ile ilgili kararlar

PS/00267/2021

13/05/2022
Konu: Veri sorumlusunun, ilgili kişi tarafından gelen taleplere yanıt vermemesi ve verileri silmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusunun mağazalarından birinde, denetleyici tarafından videoyla izlenen bir kaza geçirdi. Veri sahibi, veri sorumlusuna karşı tazminat talep etmek amacıyla, kaza meydana geldikten sonra video görüntülerine erişim talebinde bulundu. Aynı gün, ilgili kişi, veri sorumlusundan mesajının başarıyla gönderildiğine dair bir otomatik yanıt aldı. İlgili kişi ayrıca isim, e-posta adresi, telefon numarası, kazanın açıklaması ve maruz kaldığı zararları içeren e-posta yoluyla kontrolöre kaza hakkında şikayette bulunmuştur. Erişim talebine bir aydan fazla bir süre boyunca yanıt vermemesinin ardından, ilgili kişinin avukatı, erişim talebini takip eden veri sorumlusunun DPO’suna bir e-posta gönderdi. DPO, herhangi bir erişim talebinden haberdar olmadıklarını belirtmiştir. Bu olumsuz cevabını aldıktan sonra, veri sahibi Veri Koruma Otoritesi’ne şikayette bulunmuştur. Yapılan incelemer sonucunda talep edilen videoların silindiği tespit edilmiştir. Nihai kararda. veri sahibinin erişim talebine yanıt vermediği için 70.000 EURO ve video kaydını yasal bir dayanak olmaksızın sildiği içinse 100.000 EURO para cezası verilmiştir.

Ceza: 170.000 EURO para cezası verildi.

2022/137

17/02/2022
Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

PS/00433/2021

17/01/2022
Konu: Veri sorumlusunun kişisel verileri yasadışı bir yolla yayımlaması

Kararı Paylaşın

Karar Özeti:

İlgili kişi, sosyal medya ağları Facebook ve Instagram’da kendi ve eşlerinin imajını yaydığı için veri koruma otoritesine şikayette bulundu.Yayınlanan görüntülere, dükkan tarafından birkaç soygunla suçlanan yorumlar eşlik etti. Veri koruma otoritesi, bu iddialarla ilgili olarak mağazayla iletişime geçti ve uygulamalarını GDPR’a uygun hale getirmek ve bu tür olayların tekrarlanmasını önlemek için gerekli eylemleri gerçekleştirmeleri için kendilerine bir ay süre verdi. Ancak herhangi bir geri dönüş alamadı. Veri koruma otoritesi, mağazanın ilgili kişinin (olumsuz yorum ve suçlamalarla birlikte) görüntüsünü rızası olmadan yayarak ihlalde bulunduğuna karar verdi. Bu ihlalin nasıl cezalandırılacağını belirlemek için bazı ağırlaştırıcı faktörler göz önünde bulundurmuştur. Ağırlaştırıcı unsurlar arasında, dükkanın sosyal ağlarda yayınlanmasının ilgili kişinin kişisel verilerini hemen yayma etkisine sahip olması, paylaşımdan iki kişinin etkilenmiş olması, sadece görüntülerin değil, suçlamaların da yayılmasından kaynaklanan zarar ve mağazanın veri koruma otoritesine cevap vermemesi sayılabilir.

Ceza: 2.000 EURO para cezası verilmiştir.

PS/00603/2021

10/01/2022
Konu: Veri sorumlusunun kişisel verileri rıza dışı işlemesi

Kararı Paylaşın

Karar Özeti:

İlgili, web sitesinin yeterli bir gizlilik politikasına veya çerez başlığına sahip olmadığını belirterek veri sorumlusu aleyhinde şikayette bulundu. Veri koruma otoritesi bir soruşturma başlattı ve veri sorumlusunun, ilgili kişilerden kişisel verilerini sunmaları istendiğinde, gerçekten kişisel verilerin korunmasıyla ilgili herhangi bir bilgi veya bir gizlilik politikasına bağlantı verilmediğini belirledi. Ayrıca, web sitesine girilirken, veri konularını kullanımları, bunları reddetme olasılığı veya farklılaştırılmış ayrıntılı bir şekilde bunlara izin verme olasılığı hakkında bilgi veren yeterli bir banner olmadan Google Analytics gibi temel olmayan çerezlerin kullanıldığını doğrulamıştır. Veri koruma otoritesi, kişisel verileri ilgili kişinin açık, olumlu, bilgilendirilmiş ve özgür rızası veya başka herhangi bir geçerli yasal dayanak olmaksızın işlemekte olunduğu kanısına vardı. Ayrıca ilgili kişilerden toplandığında kişisel verilerinin işlenmesiyle ilgili bilgileri sağlama yükümlülüğünü, özellikle bir gizlilik politikasına sahip olmayarak ve kimin kim olduğuna dair herhangi bir ayrıntıyı açıklamayarak ihlal ettiğine karar vermiştir. Son olarak GDPR ve ulusal veri koruma hükümlerine uymak için veri sorumlusuna yeterli bir gizlilik politikası ve çerez başlığı eklemesini emretti.

Ceza: 1.800 EURO para cezası verilmiştir.

PS/00120/2021

23/07/2021
Konu: Veri sorumlusunun gözetim sistemleri ile izinsiz veri kaydetmesi

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, süpermarket zinciri olan veri sorumlusunun hırsızlık veya herhangi bir suç ile ilgili hüküm giymiş kişilerin marketlerine erişimini engellemek için yüz tanıma kullanan bir video gözetim sistemi kullandığını fark edilmesi sonucunda soruşturma başlattı.

Ceza: Esas 3.150.00 EURO ceza verilmesine karar verilmiştir.