EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"SMS" etiketli kararlar

2023/78

19/01/2023

Konu: İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı, gili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği ve şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun cevabi yazısını da değerlendirerek ilgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının bir hukuka aykırı veri işleme faaliyeti olduğu belirtilmiştir. Bıu doğrultuda veri sorumlusunun, veri güvenliğine ilişkin yükümlülüklerini de yerine getirmediği değerlendirlerek 85.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: 85.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/923

08/09/2022

Konu: İlgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette özetle, ilgili kişinin 2018 yılında hastanede bir doktor tarafından muayene edildiği, söz konusu doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numarasına açık rızası olmaksızın SMS gönderdiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda, söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği dikkate alındığında hastana hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, Veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin ediliğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alınarak veri sorumlusu doktor hakkında 100.000 TL İdari para cezası uygulanmasına karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/902

02/09/2022

Konu: İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma yapılan bir şikayette özetle veri sorumlusu şirketle herhangi bir etkileşime geçilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rıza onayı alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği ve veri sorumlusunun ilgili kişiden özür dileyerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun yapılan yanlışın fark edilmesi üzerine iptal işlemini başlattığı fakat bazı müşterilere kısa mesaj gitmesine engel olamadığını beyan edildiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aukırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikayet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili veri ihlal bildiriminde bulunmadığı da dikkate alınarak 30.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 30.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/787

04/08/2022

Konu: Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden bir şikayette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandıüı, ertesi gün de telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki sözleşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı ve aramalara da devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle telefon numarasını işlemeye devam ettiği, güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak 200.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 200.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/655

07/07/2022

Konu: Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişilerin ortağı olduğu ve tasfiyesi gerçekleşmiş limited şirkete ait olduğu iddia edilen bir borç nedeniyle veri sorumlusu avukatın ve bünyesinde çalışanların ilgili kişilere kısa mesaj gönderme ve arama yoluyla iletişim kurduğu ve bu kapsamda kişisel verilerinin işlendiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda İlgili kişilerin icra takibinin başlatıldığı dönemde şirketin yönetim kurulunda yer aldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin eri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına, Veri sorumlusunca gerçekleştirildiği iddia edilen “defaten/ısrarla” arama yapılması durumunun ise Kuruma sunulan dilekçe ve eklerinde yer alan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği dikkate alınarak bu hususta yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/545

02/06/2022

Konu: İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği belirtilmesi üzerine Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı da dikkate alınarak aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/107

10/02/2022

Konu: Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevap yazısında ise İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığını ve istenildiği zaman İYS sisteminden çıkılabildiğinin belirtildiği, ilgili kişi tarafından ise İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alınarak 75.000 TL idari para cezası verilmesine, söz konusu verilerin uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1104

02/11/2021

Konu: İlgili kişinin verilerin silinmesi için veri sorumlusu Bankadan talepte bulunmasına rağmen Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen olayda banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı ve ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 2019 tarihinde kapatılmış ve ilgili kişinin, verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunmuştur. Banka, ilgili kişinin verilerinin 6102 sayılı Türk Ticaret Kanunu’nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu’nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı belirtilmiş ve ilgili kişinin kişisel verilerinin silinmesi talebine olumsuz yanıt vermiştir. Buna rağmen veri sorumlusu Banka tarafından ilgili kişiye bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerinin işlendiği tespit edilmiştir. Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin KVKK’nın 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alınarak KVKK’nın 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına karar verilmiştir.

Ceza: 50.000-TL İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/584

09/06/2021

Konu: Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin cep telefonu numarasına bir SMS gönderilmiş; kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı ancak birçok kişisel verisinin şirkette bulunduğuna ilişkin veri sorumlusuna başvuruda bulunulduğu, şirket tarafından gönderilen cevapta finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği ancak daha sonrasında ilgili kişinin bu listelerden çıkarıldığı gibi yanıtlara ver verilmiş; yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgi verilmemiş, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin de hukuka aykırı olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişisel veri işleme faaliyetinin meşru menfaat çerçevesinde değerlendirilemeyeceği, ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği, ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/545

04/06/2021

Konu: Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, ilgili kişi tarafından da buna yönelik olarak açık rıza verilmediği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu, veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikayetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 41234

Türkçe dilinde GDPR karar özetlerini görmek ister misin?