EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Pazarlama" etiketli kararlar

2023/1154

25/07/2023

Konu: VERBİS kaydı istisnasını belirleyen mali bilanço sınırının değiştirilmesi

Kararı Paylaşın

Karar Özeti:

Kurum tarafından yayınlanan bir karar ile belli bir mali bilanço eşiğine ulaşmış işletmelerin kişisel verileri işlemek için kayıt olmaları gereken sistem olan VERBİS’e ilişkin mali bilanço sınırları değiştirildi. Yapılan değişiklikle yıllık mali bilanço sınırı 25 milyon TL’den 100 milyon TL’ye çıkartıldı. 25.07.2023 tarihinden itibaren yıllık toplam mali bilançosu 100 milyon TL’yi aşan işletmeler kişisel veri işleyebilmek için VERBİS’e kayıt olmak zorunda.

Ceza: Yıllık toplam mali bilanço sınırı 25 milyonTL’den 100 milyon TL’ye çıkarıldı.

İlgili GDPR kararlarını görmek ister misin?

2022/776

03/08/2022

Konu: Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

İlgili Kişinin kuruma ilettiği başvuruda özetle; Pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderildiği, Bunun üzerine, velisi tarafından mektupta telefon numarası bulunan gerçek kişiye telefonla ulaşılarak 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığının sorulduğu, ancak yapılan bu görüşmede karşı tarafça kendisine bir bilgi verilmediği gibi kızının kişisel verileri ile ilgili herhangi bir işlemin yapılmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye broşürü gönderen gerçek kişinin şirketle imzalamış olduğu sözleşme koşullarına göre serbest girişimci olduğu, şirket ürünlerinin satışı konusunda müşterilerle hizmet ilişkisinde bulunurken şirketten bağımsız olarak hareket ettiği, dolayısıyla serbest girişimci gerçek kişinin, müşterilerine ait kişisel veri işleme faaliyetinde bulunurken şirketten bağımsız bir şekilde veri sorumlusu sıfatını haiz olduğuna, incelemeye konu salt broşür gönderiminin Kanun’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği ve bu kapsamda veri sorumlusunun kabahati ve ekonomik durumu da göz önüne alınarak 30.000 TL idari para cezası verilmesine, Tanıtım ve pazarlama amaçlarıyla kişisel verilerin işlenmesinde ilgili kişilerin açık rızalarının alınması ve Kanun hükümlerine riayet edilmesi gerektiğine ilişkin satış görevlilerinin bilgilendirilmesi gerektiği hususunun pazarlama şirketine bildirilmesine karar verilmiştir.

Ceza: 30.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/325

07/04/2022

Konu: İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen bir şikayette özetle; bir pazarlama şirketinin bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 15 defa gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisi olmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucun damarket sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, Kurumun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gçnderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu şirkete hatırlatılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/799

12/08/2021

Konu: İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin başvurusunun usulüne uygun olmadığı, verilerin, sınav sürecinin yönetilmesi için zorunlu olduğu, kayıtların yurt içi veya yurt dışına aktarılmadığı, parmak izi taraması yapılıp parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışında bulunan başka bir kuruluşun sorumlu olduğu, özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının yurt dışına aktarımının olmadığı, adaylardan yurt dışına aktarıma ilişkin rıza alındığı, verilerin sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten 3 yıla kadar saklanacağı, parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, aktarımın ise adayların açık rızaları kapsamında yapıldığı, ilgili kişinin açık rızasının alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtlarının tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği, ilgili kişiye ait bahse konu kayıtların imha politikasına uygun şekilde yok edildiği bilgisinin alındığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/584

09/06/2021

Konu: Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin cep telefonu numarasına bir SMS gönderilmiş; kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı ancak birçok kişisel verisinin şirkette bulunduğuna ilişkin veri sorumlusuna başvuruda bulunulduğu, şirket tarafından gönderilen cevapta finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği ancak daha sonrasında ilgili kişinin bu listelerden çıkarıldığı gibi yanıtlara ver verilmiş; yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgi verilmemiş, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin de hukuka aykırı olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişisel veri işleme faaliyetinin meşru menfaat çerçevesinde değerlendirilemeyeceği, ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği, ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/361

13/04/2021

Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/204

08/07/2019

Konu: İlgili kişinin telefonuna açık rızası dışında bir yatırım şirketinden reklam amaçlı arama gerçekleştiriliyor. Kişi şirketten yeterli cevap alamayınca Kurum’a başvuruyor.

Kararı Paylaşın

Karar Özeti:

Kurul araştırma sonucunda, ilgili kişiyi arayan personelin önceden başka bir yatırım şirketinde çalıştığı ve ilgili kişinin numarasını buradan bildiğini, ancak oranın kapanması üzerine personelin bu yatırım şirketine geçtiğini öğreniyor. Kurum, veri işlemenin bir hukuki dayanağı olmadığı gerekçesiyle idari para cezası veriyor. Ayrıca TCK 135 ya ilişkin şikayetçinin bilgilendirilmesine karar veriliyor.

Ceza: 75.000 TL idari para cezası kesilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?