EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Perakende" etiketli kararlar

2022/545

02/06/2022

Konu: İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği belirtilmesi üzerine Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı da dikkate alınarak aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/491

18/05/2022

Konu: Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi hakkında

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sitesinde paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda ilgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ve veri sorumlusu arasındaki sözleşmeye istinaden internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/277

24/03/2022

Konu: İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle; ilgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin şubesine teslim ettiği, bu şirketin de ürünü kargo firmasına teslim ettiği ancak kargo firmasının ürünü ilgisiz üçüncü bir şahsa teslim ettiği, üçüncü şahsın ilgili kişiyi arayarak konuyla ilgili bilgi verdiği bildirilmiştir. Elektronik perakende şirketinin yetkilileriyse; konu kapsamında bir suçları olmadığı ve hatanın tamamen kargo firmasında olduğu belirtilmiştir. Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurulduğunda Kurum, İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına, veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/137

17/02/2022

Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/567

22/07/2020

Konu: Bir oyuncak şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan veri ihlalinde, kötü niyetli kullanıcılar tarafından başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan üye girişi sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle, 29 müşteriye ait ad, soyadı, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisindeki kişisel verilerinin elde belirtilmiştir. Kurul tarafından, veri sorumlusu tarafından veri güvenliğinin sağlanması amacıyla iki faktörlü kimlik doğrulama yönetimi kullanılmaması, yeni hesap açarken müşterilerin güçlü şifre oluşturması hususunda zorlanmadığı, veri sorumlusunun web uygulama güvenlik duvarının yetkisiz erişim işlemini tespit edememesi sebebiyle veri sorumlusunun uygulama güvenliğini sağlayamadığı sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/173

27/02/2020

Konu: Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Amazon Turkey hakkında ilgili kişilerin bilgilerini işlemek suretiyle ticari elektonik ileti göndermek hususunda ilgili kişilerin açık rızasının usulüne uygun olarak alınmadığı, açık rıza dışında da bir işleme dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızaları olmaksızın işlendiği, açık rızanın usulüne uygun alınmadığı, yurtdışına aktarıma ilişkin açık rıza alınmadığı belirtilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.100.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?