EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Teknik ve İdari Tedbirler" etiketli kararlar

2022/137

17/02/2022
Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

2021/470

06/05/2021
Konu: İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, ilgili kişi tarafından yemek kartına ait hesap hareketlerinin tarafına iletilmesine ilişkin veri sorumlusuna yaptığı başvuruda, veri sorumlusuna gmail hesabından ilettiği kişisel verilerine ek olarak kimlik doğruluğunun tespiti amacıyla telefon numarasının aranmasının hukuka aykılığına ilişkin hususlar değerlendirilmiştir. Bu kapsamda, Kurul tarafından KVKK’nın 11’inci maddesinin 1 numaralı fıkrasının b bendindeki hükmü kapsamında ilgili kişilnin kendisiyle ilgli kişisel veriler işlenmişse bilgi talep etme hakkının, söz konusu veriye erişim hakkkını da kapsadığı belirtilmiştir. Bununla birlikte, KVKK’nın 12’inci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğu beliritlmiştir. Bu doğrultuda, veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyaların şifrelenmesinin ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin derhal kişiyle paylaşılacağının belirtilmesinin kişisel verilere erişim hakkının engellenmediği, aksine KVKK’nın 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edilmesine yönelik uygun bir tedbir olduğuna karar verilmiştir.

Ceza: KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

2021 / 427

27/04/2021
Konu: Bir e-ticaret sitesi nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemede, veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkilerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda taraflar arasında imzalanan “Gizlilik Sözleşmesi” öncesinde ” veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişim meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı belirtilmiştir. Bununla birlikte ihlalin veri sorumlusu tarafından tedarikçi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığına karar verilmiştir. Bu kapsamda, veri sorumlusunun KVKK’nın 12’inci maddesinin 1 numaralı fıkrası kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü ihlal ettiğine karar verilmiştir.

Ceza: Veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1’nci fıkrası uyarınca 600.000,00-TL idari para cezası ve 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranılması sebebiyle 200.000,00-TL idari para cezası uygulanmasına karar verilmiştir.