EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Telekomünikasyon sektörü ile ilgili kararlar

2023/78

19/01/2023

Konu: İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı, gili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği ve şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun cevabi yazısını da değerlendirerek ilgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının bir hukuka aykırı veri işleme faaliyeti olduğu belirtilmiştir. Bıu doğrultuda veri sorumlusunun, veri güvenliğine ilişkin yükümlülüklerini de yerine getirmediği değerlendirlerek 85.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 85.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/925

08/09/2022

Konu: İlgili kişinin e-posta adresine, başka abonelere ait e-faturaların gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin, kendi e-posta adresine bir başka aboneye ait e-faturaların iletilmesi ile ilgili 2019 yılında veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurumu’na ilk şikayetinde bulunduğu, bu şikayete istinaden veri sorumlusuna Kişisel Verileri Koruma Kurulu tarafından idari para cezası uygulanmasına karar verildiği ve veri sorumlusu kişisel verilerin korunmasına ilişkin gerekli tedbirlerin alınması adına talimatlandırıldığı belirtilmiştir. İlgili kişi daha sonra bir başka abonenin e-faturalarının da kendisine iletilmeye başladığını ifade etmiştir. Kurul, veri sorumlusunun Kanun’un 12. maddesinin 1 numaralı bendindeki “gerekli teknik ve idari tedbirleri alma” yükümlülüğünü yerine getiremediğine, buna istinaden yapılan talimata rağmen bir abonenin e-faturalarını ilgili kişiye göndererek söz konusu yükümlülüğün ihlaline devam ettiğine, bunun yanında ilgili kişinin e-posta adresini bir başka abonenin kullanabilme ihtimalinin ancak e-posta adresleri için uygulanabilecek bir doğrulama mekanizması olmaması durumunda mümkün olmasının, veri sorumlusunun kişisel verileri korumak adına alması gereken teknik tedbirleri almadığını açıkça gösterdiğine ve “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiğine kanaat getirmiş, 200.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 200.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1210

02/12/2021

Konu: İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından yapılan başvuruda farklı tarihlerde bir şirket adına kampanyalar hakkında bilgilendirilmek üzere arandığı, reklam ve pazarlama faaliyetlerine ilişkin açık rızasının bulunmadığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, adına arama yapılan şirket ve bayisinin veri sorumlusu olarak hareket ettiğine yönelik bir tespitte bulunamadığı, herhangi bir işleme şartı bulunmaksızın telefon numarası işleyen veri sorumlusu gerçek kişi bayiye çağrı merkezi hizmeti sunan kişi hakkında KVKK’nın 12’nci maddesi kapsamında idari para cezası uygulanmasına, ilgili kişi tarafından kullanılmakta olan telefon numarasının imha edilmesine karar verilmiştir.

Ceza: İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/891

03/09/2021

Konu: WhatsApp Uygulaması Hakkında Yürütülen Resen İncelemeye İlişkin Kamuoyu Duyurusu.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusunun Hizmet Koşullarının kullanıcı sözleşmesi niteliğinde olduğu, kullanıcıların kişisel verilerinin yurtdışına aktarımına ilişkin alınan açık rızanın tek metinde ayrılma bir biçimde ilgili kişiye sunulmasının açık rızanın özgür iradeyle açıklanması unsurunu zedelediği, uygulamanın kullanılmasının aktarım şartına bağlandığı ve bu kapsamda KVKK’nın 4’üncü maddesinde yer alan Hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edildiği belirtilmiştir. İşlenilen tüm verilerin aktarımına ilişkin istenilen açık rızaların işlendikleri amaçla orantılı ve sınırlı olmadığı belirterek KVKK’nın 4’üncü maddesinin ihlal edildiği, veri sorumlusunun Türkiye’de bulunan kişilerden elde ettiği kişisel veriler üzerinde yaptığı faaliyetlerin yurt dışına aktarım niteliğinde olduğu ve ilgili uygulamanın KVKK’nın 9’uncu maddesine aykırı şekilde gerçekleştirildiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrası uyarınca kişisel verilerin hukuka aykırı şekilde işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınmaması sebebiyle veri sorumlusu hakkında 1.950.000-TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.950.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/859

26/08/2021

Konu: İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi.

Kararı Paylaşın

Karar Özeti:

Şirket tarafından gerekli operasyonları yönetmek için kişisel verilerin işlenebildiği, kişisel verilerin işlenmesinin abonelik sözleşmesi kapsamında olduğu, çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, mevzuatın izin verdiği veya yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı, düzenli olarak kontrol edildiği ve denetlendiği, kişisel verilerin ilgili mevzuata uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği, ilgili durumlarda ilgili mercie yanıt verebilmek ve bilgi/belge sunabilmek için asgari olarak kimlik bilgilerinin tutulduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği, söz konusu işleme şartının ortadan kalktığı, asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu, verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/850

26/08/2021

Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/671

06/07/2021

Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/84

03/02/2021

Konu: Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından ilgili kişilerin iletişim verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Başvuru sahibi Hastane tarafından, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptıkları, anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastane tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastaneden ayrılan bir doktor adına yeni çalışmaya başladığı hastaneye numara taşınabilirlik kodu içeren SMS gönderimi sağlandığı belirtilmiştir. Kurul tarafından yapılan incelmeler neticesinde, 1. STH’nin hastane ile olan sözleşmeleri kapsamında veri işleyen sıfatını haiz olduğu, bu kapsamda KVKK’nın 12. maddesinin 4’üncü fıkrasında belirtilen yükümlülüğüne aykırı davrandığı, Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle ilgili ihlalin gerçekleştiğine karar verilmiştir. Bununla birlikte, 1. STH’nin veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu ve kişisel verileri amacı dışında kullandığına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1’inci fıkrasının a bendi uyarınca gerekli teknik ve idari tedbirlerin alınmadığı sonucuna varılarak KVKK’nın 18’inci maddesinin 1’inci fıkrasının b bendi uyarınca 125.000,00-TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/78

03/02/2021

Konu: Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, müşteri pasaport fotoğraflarının depolanıp üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun gerekli denetimleri yapmadığı veya yaptırmadığı, daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların, telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın KVKK’ya aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı ve buna yönelik herhangi bir bildirim yapılmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/746

29/09/2020

Konu: İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesi kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına, ilgili kişilerin KVKK kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?