EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"TCKN" etiketli kararlar

2022/137

17/02/2022

Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/993

30/09/2021

Konu: Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin 2018-2020 yılları arasında kişisel verilerinin kargo taşıma sözleşmesinin gereği olarak işlendiği, ileride meydana gelecek olası uyuşmazlıklarda delil teşkil etmek üzere saklandığı, meslek kuruluşunun üyelerine indirim sağlanan sözleşme kapsamında veri sorumlusunun arşivinde bu verilerin yer aldığı, veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir ‘‘True/False’’ yanıtının iletildiği, aktarım yapılmadığı, şikayete konu olan faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, kişisel verilerin sözleşmenin ifası nedeniyle işlendiği, ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, üçüncü kişilere aktarım olmadığının kanıtlanmadığı, belirtilen süreler boyunca muhafaza etmenin hukuka uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/909

09/09/2021

Konu: İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin kardeşinden alacaklı olduğu, borçlu hakkında İcra Ceza Mahkemesi tarafından 3 ay tazyik hapsine karar verildiği, borçlunun ikamet adresinin bulunamadığı, ilgili kişinin kimlik bilgilerini, alacağını hiçbir şekilde tahsil edemeyen müvekkilinin kendisine verdiği, İcra Müdürlüğünün alacaklının veya vekilinin, haczi üçüncü kişilere bildirmek için haciz ihbarnamesi gönderilmesini talep etme hakkı olduğu, avukatların karşı tarafa ilişkin birtakım kişisel verilere erişmesinin ve bu verileri yargı nezdinde kullanmasının doğal olduğu, kanunun alacaklıya veya vekiline sağlamış olduğu yasal hakkı kullanarak üçüncü kişi olan ilgili kişinin kişisel verilerini öğrenerek haciz ihbarnamesi gönderilmesinde hiçbir hukuk aykırılığın olmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kişisel veri işleme faaliyetinin, borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinin alacaklı ile vekili arasındaki vekalet ilişkisi gereğince veri sorumlusu avukatın, müvekkili adına ilgili kişinin kişisel verilerini icra dairesine sunmak suretiyle gerçekleştirdiği belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/850

26/08/2021

Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/666

06/07/2021

Konu: Şikayetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından özel hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, evrak trafiği yoğunluğu nedeniyle ilgili kişinin başvurusuna dönüş yapılamadığı, doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğu, hizmet veren kişilerin KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, şüphelilerin görevliye fark ettirmeden gizlice ekran görüntüsü çektikleri ve bu hususun zapt altına alındığı, hastanenin detaylı idari ve teknik tedbirler aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, gerekli teknik ve idari tedbirler alınsa da söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/424

27/04/2021

Konu: Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin 2017 yılında ev kredisi çekmek isterken daha önce kendisine yönelik olarak icra takibi başlatıldığı, yıllar içinde Varlık Yönetimi Şirketi tarafından sürekli olarak ilgili kişinin arandığı, ilgili kişinin o kişinin kendisi olmadığı bilgisini Şirkete iletmesine rağmen bu durumun sürdüğü, icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak icra takibinin başlatıldığı ve çeşitli bilgilendirmelerin, ispatların sürmesine karşın bankanın ilgili kişiyi mağdur ederek icra takibi yapmakta ısrar ettiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin banka tarafından düzeltildiği, ilgili kişiye ait kişisel verilerin veri sorumlusu banka tarafından veri sorumlusu Varlık Yönetim Şirketine aktarımının hukuka uygun olduğu, Varlık Yönetim Şirketinin ilgili kişi ve banka tarafından 2017 yılı içinde yapılan bildirimlere karşın ilgili kişinin dosyası hakkında bir şikayet kaydı oluşturmamasının, ilgili kişinin var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmesinin Kanunun 12’nci maddesini ihlal ettiği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/230

11/03/2021

Konu: İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından kendisinin erişimi olduğu sistem üzerinden, kişisel verilerine eriştiği ve bu şekilde gizliliğin ihlal edildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, veri sorumlusu kurum bünyesinde, kişilerin kimlik numaraları ile SGK sorgulaması yapılması kapsamında işlenen kişisel verilerin özel hayatın gizliliğini ihlal ettiği, kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/530

09/07/2020

Konu: Bir bankanın kişisel veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde, bir banka personelinin 23 adet banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (“KBB”) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasından Whatsapp uygulaması aracılığıyla bir tanıdığı (3.kişi) ile paylaştığının tespit edildiği, ihlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, kişi sayısı göz önüne alındığından 23 kişiden fazla kişinin etkilenmiş olabileceği, veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı ve çalışana verilen eğitimlerin yeterli olmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik yeterli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezasının uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?