EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Sır Saklama Yükümlülüğü" etiketli kararlar

2023/1050

15/06/2023

Konu: Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

Kararı Paylaşın

Karar Özeti:

Kişi, bankanın müşteri iletişim merkeziyle yaptığı görüşmede sanal kartının kopyalandığını ve kartının kullanıma kapatıldığını öğrenmiştir. Bu durum üzerine, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında, kopyalanan kişisel veriler ve bu verilerin hangi banka işlemiyle ilgili olduğunu öğrenmek amacıyla veri sorumlusuna başvuruda bulunmuştur. Ancak, yapılan başvuru yanıtsız bırakılmıştır. Daha sonra aynı konuda ikinci bir başvuru yaparak kişisel verilerinin işlenip işlenmediğini teyit etmek ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ait ses kaydını veya dökümünü talep etmiştir. Ancak bu başvuru da yanıtsız bırakılmıştır. Bu nedenle, kişi ilgili ses kayıt dökümünün tarafına sağlanmasını talep etmektedir. Kurulun değerlendirmeleri sonucunda; 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer alan “sır saklama yükümlülüğü,” müşteri ile ticari bağlantı nedeniyle elde edilen bilgilerin kanuni düzenlemelerin öngördüğü durumlar dışında üçüncü kişilere açıklanmamasını gerektirir. Aynı zamanda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesinin (1) numaralı fıkrasının (b) bendi, ilgili kişilerin kişisel verilerinin işlenip işlenmediğini öğrenme hakkını içerir. Bu hak, veriye erişim hakkını da kapsar ve ilgili kişilere kişisel verilerinin nasıl işlendiği hakkında bilgi alma imkanı tanır. Bu bağlamda, taraflar arasındaki görüşmeye dair doğrudan ifadeler içeren belgenin, ilgili kişi dışındaki kişisel verilerin çıkarılması veya maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi ve bu işlemler hakkında Bilgi Teknolojileri ve İletişim Kurumu’na bilgi verilmesi için Veri Sorumlusuna talimat verilmesi gerekmektedir. Ayrıca, Kanun kapsamında yapılan başvuruların, Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6. maddesi hükümlerine uygun bir şekilde, etkin, hukuka uygun ve dürüst bir şekilde gerekçe belirtilerek ve süresi içinde sonuçlandırılması gerektiği konusunda Veri Sorumlusuna hatırlatma yapılması kararlaştırılmıştır.

Ceza: Ceza verilmesini gerektiren bir durum söz konusu değildir. İlgili Kişi dışında başkalarına ait kişisel veriler varsa bunların çıkarılması/maskelenmesi gibi önlemlerin alınması yoluyla İlgili Kişiye gönderilmesi ve buna ilişkin yapılan işlemler hakkında Kurula bilgi verilmesi yönünde veri sorumlusu talimatlandırılmış ve ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/769

08/10/2020

Konu: İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından, Kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı KVK Kanunu’nun 07.04.2016 itibariyle yürürlüğe girdiği, söz konusu tarihler itibariyle Kanun’un yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5. maddesinde yer alan ‘kanunlarda açıkça öngörülme’ ve ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine, igili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna, ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak somut delile rastlanılamadığından Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/191, 2020/192, 2020/193, 2020/194

03/03/2020

Konu: Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarda sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamarın kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde KVKK’nın 4’üncü madesinde sayılan genel ilkelere riayet edilmediği, söz konusu faalieytelerin KVKK’nın 12’nci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel veriler hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muahfazasını sağlamak yükümlülüklerine aykırılık teşkil ettiğinin tespit edildiği ve veri ihlali süresi, veri ihalalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak veri sorumlusu 4 şirket hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlanmaması sebebiyle 950.000,00-TL ve Kurum’a ve ilgili kişilere bildirim yapılmadığından bahisle KVKK’nın 18’nci maddesinin 1 numaralı fıkrasının b bendi çerçevesinde 450.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/138

18/02/2020

Konu: Özlük dosyasında yer alan sağlık raporunun veri sorumlusu tarafından dava savunmasında kullanılmak üzere mahkemeye sunulması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusu eski çalıştığı şirket hakkında Kurul’a yaptığı şikayette, veri sorumlusu aleyhine ikame edilen işe iade davasında veri sorumlusu tarafından özlük dosyasında yer alan özel nitelikli kişisel verilerini de içeren belgelerin mahkemeye sunulduğu belirtilmiştir. Veri sorumlusu tarafından yapılan savunmada, uyuşmazlık kapsamında özlük dosyasının tüm içeriğinin gnderilmesinin mahkeme tarafından talep edildiği belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda, KVKK’nın 28’inci maddesinin 1 numaralı fıkrasının d bendi uyarınca konuya ilişkin olarak Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/93

06/02/2020

Konu: Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler.

Kararı Paylaşın

Karar Özeti:

Farklı kişiler tarafından Kurul’a yapılan başvurular ile geçmişte çeşitli sebeplerden kaydedilen sağlık raporlarının özellikle psikiyatrik hastalık tanımlarının yaşamlarında sorun yarattığı sebbeiyle ilgili sağlık kayıtlarının düzeltilmesi ya da silinmesi talep edilmiştir. Kurul tarafından konuya ilişkin olarak ilgili Bakanlık’tan alınan görüşler neticesinde kişilerin geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği belirtilerek ilgili kayıtlar bakımından kişisel veri işleme şartlarından ” kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması nedeniyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği ve Bakanlık tarafından işleme amacının ortadan kalkmaması nedeniyle KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/63

27/01/2020

Konu: İlgili kişi kuruma yaptığı şikayette babasının tedavisi için gittiği hastaneden barkod alamadığı için kavga çıkması sonucu ayrıldığı, olaya ilişkin tutanak tutulduğu, tam 1 yıl 3 ay sonra sağlık çalışanlarının hasta yakını verilerini kanuna aykırı kullanarak suç duyurusunda bulunduğunu belirtir.

Kararı Paylaşın

Karar Özeti:

Kurul, kişisel verilerin KVKK 6/3 uyarınca sır saklama yükümlülüğü altında olan personelce işlendiği, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği, hukuki yükümlülüğün yerine getirilmesi amacıyla veri işlendiği gerekçesiyle yapılması gereken bir işlem olmadığı belirtilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/43

16/01/2020

Konu: İlgili kişiye ait verilerin veri sorumlusu Banka tarafından rızası olmaksızın babası ile paylaşıldığı, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı gerekçesiyle Kurum’a başvurulmuştur.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de yapılan incelemede Kanun’un 12. maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanun’un 18. maddesinin hükmü kapsamında işlem tesis edilmesine karar verilmiş; tazminat talebinin Madde 14 uyarınca genel mahkemler huzurunda değerlendirilmesi gerektiği belirtilmiş ve ilgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan konunun BDDK’ya intikal ettirilmesine karar verilmiştir.

Ceza: İdari para cezası açıklanmadı.

İlgili GDPR kararlarını görmek ister misin?

2020/26

14/01/2020

Konu: Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle KVKK’nın 12’nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2018/143

05/12/2018

Konu: Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli sağlık verilerinin ilaçlarını temin ettiği eczane tarafından herhangi bir hukuki sebebe dayanmaksızın üçüncü kişiyle paylaşması.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda doktor kontrolünde ilaç kullanan ilgi kişi hastanın özel nitelikteki kişisel verileri, ilaçlarını temin ettiği eczane tarafından üçüncü kişiyle paylaşılmış; Kurulun incelemesi sonucu bu veri aktarımının herhangi bir sebebe dayanmadığı tespit edilmiştir. Bu kapsamda KVKK’nın 8’inci maddesinde sayılan kişisel verilerin aktarılması için gerekli şartlar bulunmadığından KVKK’nın 12’nci maddesinin 4 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında idari para cezası uygulanmıştır.

Ceza: İdari yaptırım uygulanmış, ceza miktarı açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?