EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Telekomünikasyon sektörü ile ilgili kararlar

PS/00068/2021

11/09/2022
Konu: Veri sorumlusu tarafından veri minimizasyonuna aykırılık yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir trambolin parkı olan URBAN PLANET’ın, tesislerine erişebilinmesi için orantısız miktarda veri istediği iddiasıyla soruşturma başlatıldı. Veri sahibi; ad ve soyadı, kimlik numarası, adres, telefon numarası, e-posta adresi, doğum tarihi ve fotoğrafını içeren kayıt formunu doldurmalıdır. Veri sorumlusu bu kayıt formu ile ziyaretçilerin kişisel verilerinin doğrulamanın en uygun maliyetli yol olduğunu açıkladı. Veri Koruma Otoritesi ise veri minimizasyonu kriterlerinin karşılanıp karşılanmadığını değerlendirdi. Kişisel Veri Otoritesi, ziyaretçilerin parka erişimi için fotoğraf talep etmenin ve veriyi işlemenin arkasındaki amaçların, gerekli veya orantılı olup olmadığını değerlendirmiştir. Tesise erişim ve kullanımı için talep edilen fotoğrafların bu amaçlara göre yeterli, yerinde ve ilgili veriler olmadığına kanaat getirildi. Bu sebeple veri sorumlusuna kınama cezası verilmiştir.

Ceza: Kınama cezası verilmesine karar verilmiştir.

PS/00068/2021

11/09/2022
Konu: Veri sorumlusu tarafından veri minimizasyonuna aykırılık yapılmıştır.

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda, bir trambolin parkı olan URBAN PLANET’ın, tesislerine erişebilinmesi için orantısız miktarda veri istediği iddiasıyla soruşturma başlatıldı. Veri sahibi; ad ve soyadı, kimlik numarası, adres, telefon numarası, e-posta adresi, doğum tarihi ve fotoğrafını içeren kayıt formunu doldurmalıdır. Veri sorumlusu bu kayıt formu ile ziyaretçilerin kişisel verilerinin doğrulamanın en uygun maliyetli yol olduğunu açıkladı. Veri Koruma Otoritesi ise veri minimizasyonu kriterlerinin karşılanıp karşılanmadığını değerlendirdi. Kişisel Veri Otoritesi, ziyaretçilerin parka erişimi için fotoğraf talep etmenin ve veriyi işlemenin arkasındaki amaçların, gerekli veya orantılı olup olmadığını değerlendirmiştir. Tesise erişim ve kullanımı için talep edilen fotoğrafların bu amaçlara göre yeterli, yerinde ve ilgili veriler olmadığına kanaat getirildi. Bu sebeple veri sorumlusuna kınama cezası verilmiştir.

Ceza: Kınama cezası verilmesine karar verilmiştir.

2021/1210

02/12/2021
Konu: İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından yapılan başvuruda farklı tarihlerde bir şirket adına kampanyalar hakkında bilgilendirilmek üzere arandığı, reklam ve pazarlama faaliyetlerine ilişkin açık rızasının bulunmadığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, adına arama yapılan şirket ve bayisinin veri sorumlusu olarak hareket ettiğine yönelik bir tespitte bulunamadığı, herhangi bir işleme şartı bulunmaksızın telefon numarası işleyen veri sorumlusu gerçek kişi bayiye çağrı merkezi hizmeti sunan kişi hakkında KVKK’nın 12’nci maddesi kapsamında idari para cezası uygulanmasına, ilgili kişi tarafından kullanılmakta olan telefon numarasının imha edilmesine karar verilmiştir.

Ceza: İdari para cezası uygulanmıştır.

2021/891

03/09/2021
Konu: WhatsApp Uygulaması Hakkında Yürütülen Resen İncelemeye İlişkin Kamuoyu Duyurusu.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun Hizmet Koşullarının kullanıcı sözleşmesi niteliğinde olduğu, kullanıcıların kişisel verilerinin yurtdışına aktarımına ilişkin alınan açık rızanın tek metinde ayrılma bir biçimde ilgili kişiye sunulmasının açık rızanın özgür iradeyle açıklanması unsurunu zedelediği, uygulamanın kullanılmasının aktarım şartına bağlandığı ve bu kapsamda KVKK’nın 4’üncü maddesinde yer alan Hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edildiği belirtilmiştir. İşlenilen tüm verilerin aktarımına ilişkin istenilen açık rızaların işlendikleri amaçla orantılı ve sınırlı olmadığı belirterek KVKK’nın 4’üncü maddesinin ihlal edildiği, veri sorumlusunun Türkiye’de bulunan kişilerden elde ettiği kişisel veriler üzerinde yaptığı faaliyetlerin yurt dışına aktarım niteliğinde olduğu ve ilgili uygulamanın KVKK’nın 9’uncu maddesine aykırı şekilde gerçekleştirildiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca kişisel verilerin hukuka aykırı şekilde işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmaması sebebiyle veri sorumlusu hakkında 1.950.000-TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.950.000 TL idari para cezası uygulanmıştır.

2021/859

26/08/2021
Konu: İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi.

Kararı Paylaşın

Karar Özeti:

Şirket tarafından gerekli operasyonları yönetmek için kişisel verilerin işlenebildiği, kişisel verilerin işlenmesinin abonelik sözleşmesi kapsamında olduğu, çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, mevzuatın izin verdiği veya yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı, düzenli olarak kontrol edildiği ve denetlendiği, kişisel verilerin ilgili mevzuata uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği, ilgili durumlarda ilgili mercie yanıt verebilmek ve bilgi/belge sunabilmek için asgari olarak kimlik bilgilerinin tutulduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği, söz konusu işleme şartının ortadan kalktığı, asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu, verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/850

26/08/2021
Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/671

06/07/2021
Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

2021/84

03/02/2021
Konu: Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından ilgili kişilerin iletişim verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Başvuru sahibi Hastane tarafından, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptıkları, anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastane tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastanden ayrılan bir doktor adına yeni çalışmaya başladığı hastaneye numara taşınabilirlik kodu içeren SMS gönderimi sağlandığı beliritlmiştir. Kurul tarafından yapılan incelmeler neticesinde, 1. STH’nin hastane ile olan sözleşmeleri kapsamında veri işleyen sıfatını haiz olduğu, bu kapsamda KVKK’nın 12. maddesinin 4’üncü fıkrasında belirtilen yükümlülüüne aykırı davrandığı, Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle ilgili ihlalin gerçekleştiğine karar verilmiştir. Bununla birlikte, 1. STH’nin veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmasızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu ve kişisel verileri amacı dışında kullandığına karar verilmiştir.

Ceza: KVKK’nın12’nci maddesinin 1’inci fırkasının a bendi uyarınca gerekli teknik ve idari tedbirlerin alınmadığı sonucuna varılarak KVKK’nın 18’inci maddesinin 1’inci fıkrasının b bendi uyarınca 125.000,00-TL idari para cezası verilmiştir.

2021/78

03/02/2021
Konu: Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, müşteri pasaport fotoğraflarının depolanıp üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli denetimleri yapmadığı veya yaptırmadığı, daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların, telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın KVKK’ya aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı ve buna yönelik herhangi bir bildirim yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2020/746

29/09/2020
Konu: İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesi kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına, ilgili kişilerin KVKK kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.