EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Sosyal Medya" etiketli kararlar

2023/134

01/03/2023

Konu: İntenet ve sosyal medya platformlarında bulunan TikTok uygulaması nezdinde gerçekleşen veri ihlalinin değerlendirilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu olan sosyal medya platformu TikTok hakkında, açık rızanın Kanun kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı bulunduğuna dair yer alan muhtelif haberler ve şikayetler yayımlanması sonucunda Kurul, resen inceleme başlatmıştır. Kurulun yapmış olduğu inceleme sonucunda; TikTok’un 2021 yılı Ocak ayında gizlilik politikasını güncellediği ve güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği ancak belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlama bulunmamasının hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği tespit edilmiştir. Ayrıca veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde, Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği, kullanıcının onayına sunulan Hizmet Koşulları metninin Türkçe tercümesi bulunmaması, Gizlilik Politikasının esasen bir aydınlatma metni olduğu ancak açık rıza metni olarak kullanıldığı, platformda hesap oluşturulurken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı tespit edilmiştir. Kurul yapmış olduğu bu incelemeler sonucunda veri sorumlusu TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına, Hizmet Koşulları metninin bir ay içinde Türkçeye çevrilmesine, söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesine ve Kanun’un 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.

Ceza: 1.750.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/224

16/02/2023

Konu: Bir belediyenin meclis toplantısı videosunun sosyal medya hesabından paylaşılması suretiyle ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen ilgili kişi şikayetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda bahsi geçen toplantıda ilgili kişiyi belirlenebilir kılacak nitelikte “eski meclis üyesi arkadaşımız” ifadesi kullanıldığı ve ismine de yer verildiği görüldüğü ve dolayısıyla bir kişisel veri işleme faaliyetinin mevcut olduğu tespit edilmiş olmakla birlikte konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu ve ayrıca 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmü yer aldığı, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (…)” hükmü mevcut olduğu göz önüne alındığında söz konusu veri işleme faaliyetinin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirilmiş, Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/630

29/06/2022

Konu: İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili kişinin Kuruma intikal eden şikayetinde özetle; özel bir hastanede gerçekleşen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl hesapta tutulduğu, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, çekilen görsellerin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanı bulunmadığından hareketle, hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu ve bu konuda gerekli idari ve teknik tedbirleri almadığı dikkate alınarak 100.000 TL idari para cezası uygulanmasına,Veri sorumlusunun, ilgili kişinin kendisine maddi tazminat ödenmesi durumunda Kurula şikâyette bulunmayacağına dair teklifine ilişkin yargı yoluna başvurulabileceği hususunda bilgilendirilmesine karar verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/386

21/04/2022

Konu: Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması hakkında

Kararı Paylaşın

Karar Özeti:

İlgili Kişi tarafından Kuruma iletilen şikayette veri sorumlusu bünyesinde şirket müdürü olarak çalışmaktayken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için Kanun gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği belirtilmiştir. Kurumun yapmış olduğu inceleme sonucunda İlgili kişinin kişisel verilerinin Kanun’da yer alan işleme şartlarına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varıldığından veri sorumlusunun ekonomik durumu da dikkate alınarak 30.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 30.000 TL idari para cezası verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/103

10/02/2022

Konu: Unvanında ilgili kişinin adının geçtiği şirket hakkındaki hukuki dokümanın sosyal medyada paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette bir tüzel kişinin unvanında ilgili kişinin adının geçtiği ve şirket hakkındaki icra takibinin sosyal medyada paylaşılmasından ötürü KVKK’nın 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişi kavramı üzerinden gerçek kişi tüzel kişi ayrımı tanımlanmış olup her ne kadar şirketin adında ilgili kişinin adı geçse de sosyal medyadaki paylaşım tüzel kişiliğe yönelik olup KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/989

30/09/2021

Konu: İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu, haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceği, ilgili kişinin kendilerine yaptığı başvurunun usulüne uygun yapılmaması nedeniyle hukuka aykırı olduğu ve reddedilmesi gerektiği, başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı, ilgili veri işleme faaliyetinin ise kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili içeriğin KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca istisna olarak ele alınamayacağı, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesine yönelik uygun teknik ve idari tedbirleri almadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/572

09/06/2021

Konu: İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafın yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü, ilgili kişinin kişisel verilerinin silinmesini veri sorumlusundan talep ettiği, bahse konu fotoğrafın aktif olarak kullanılmadığı, fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği belirtilmiştir. Bu kapsamda, veri sorumlusunun veri sorumlusunun ‘‘Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’’ ve KVKK’nın 15’inci maddesinin (5) numaralı fıkrası gereği gerekli dikkat ve özeni göstermesi hususunda talimatlandırılmasına; veri işleme faaliyetlerinin revize edilmesi gerektiği yönünde de bilgilendirilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/422

27/04/2021

Konu: İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu ile ilgili kişinin iş ilişkisinin sona ermesinden sonra, veri sorumlusu aydınlatma yükümlülüğünü yerine getirmeden ve ilgili kişinin fotoğrafını açık rızasını almadan herkese açık olarak paylaşmış, ilgili kişi bunun kaldırılmasını talep etmiş ancak kaldırılmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili paylaşımda ilgili kişinin net şekilde fotoğraftan seçilebildiği, veri sorumlusunun herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı olarak işlediği ve uygun güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almadığı, gelen talep doğrultusunda da yasal süre içerisinde paylaşımın silinmediği/yok edilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/58

27/01/2020

Konu: Bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirterek gerekli yasal işlemin yapılması talep edilmiştir. Kurul tarafından yapılan incelemeler neticesinde, veri sorumlusu tarafından sosyal medya paylaşımlarında müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bazı durumlarda plaka numaralarına yer verildiği tespit edilmiştir. Söz konusu işleme faaliyetine ilişkin ilgili kişilerden açık rıza alınmaması sebebiyle işleme faaliyetlerinin hukuka aykırılık teşkil ettiğine ve bu çerçevede KVKK’nın 12’nci maddesi ile veri sorumlusuna yüklenmiş yükümlülükleri yerine getirmediğine karar verilmiştir.

Ceza: 22.500,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

8/2/2018

02/08/2018

Konu: Bir hastanın özel nitelikli kişisel veri içeren sağlık raporunun fotoğrafı çekilmek suretiyle internette paylaşılması sonucu geniş mecralara ulaşması

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu re’sen inceleme sonucunda bir hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin yayılması üzerine yeterli güvenlik tedbirini almayan veri sorumlusu hakkında idari para cezası uygulamıştır.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?