EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Ticari Elektronik İleti" etiketli kararlar

2023/1653

28/09/2023

Konu: Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusuna ait mağazadan alışveriş yaparken alışveriş kartı talep edilmiş ve bu kart için telefonuna gönderilen onay kodunu görevliye okumuştur. Ancak ilgili kişi, onay kodunu okuyarak “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan ettiğini fark etmiştir. Bu durum, kişisel verilerinin açık rızasının aldatma yoluyla ele geçirilmesi olarak değerlendirilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusundan gelen savunmaya göre; mağazalarda alışveriş kartı adı altında bir kart uygulaması bulunmamakta, ilgili kişinin belirttiği kartın bir “hediye kartı” olduğu, hediye kartının sadece ürün iadesi veya müşterinin isteği doğrultusunda kullanılabildiği belirtilmiştir. Hediye kartları için müşterilerden açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve müşterilere bu metne ulaşma yöntemleri sunulduğu ifade edilmiştir. Kasada yapılan işlemlerde müşterilere, aydınlatma metni ve kişisel veri işleme faaliyetleri hakkında bilgi verildiği ve müşterinin kayıt olup olmadığının sorulduğu, kayıt olmak isteyen müşterinin kendi cep telefonundan izin mesajı göndermesi gerektiği belirtilmiştir. Müşterinin gönderdiği mesaj üzerine şifre gönderildiği ve bu şifre içerisinde aydınlatma metni ve açık rıza beyanı gibi gerekli bilgilerin bulunduğu ifade edilmiştir. Kurulun değerlendirmeleri sonucunda; İlgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirilmiş ancak ilgili kişi rızasını geri çekmiştir. Bu durumda, Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirlenmiştir. Ancak, alışveriş sırasında ticari elektronik ileti gönderilerek kişisel verilerin işlenmesine ilişkin açık rıza alınmasının, ilgili kişilerin bu rızayı alışverişin bir parçası olarak verdiği izlenimi yaratabileceği ve bu durumun açık rızanın özgür irade ile açıklanma unsuruyla çelişebileceği değerlendirilmiştir. Bu çerçevede, ilgili uygulamanın, ilgili kişileri doğru bir şekilde bilgilendirerek alışverişin bir parçası olarak algılanmayacak şekilde revize edilmesine karar verilmiştir. Ayrıca, aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması, yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/1072

07/10/2022

Konu: İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayette özetle; İlaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edilidiğine ilişkin veri sorumlusuna başvurduğu ve e-posta adresinin ecza depoları vasıstasıyla elde edildiği ifade edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusuna 50.000 TL İdari Para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/902

02/09/2022

Konu: İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma yapılan bir şikayette özetle veri sorumlusu şirketle herhangi bir etkileşime geçilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rıza onayı alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği ve veri sorumlusunun ilgili kişiden özür dileyerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda veri sorumlusunun yapılan yanlışın fark edilmesi üzerine iptal işlemini başlattığı fakat bazı müşterilere kısa mesaj gitmesine engel olamadığını beyan edildiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aukırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikayet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili veri ihlal bildiriminde bulunmadığı da dikkate alınarak 30.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 30.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/861

01/09/2022

Konu: İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının veri sorumlusu bir pazarlama şirketi tarafından açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen şikayet dilekçesinde özetle; İlgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine ticari elektronik ileti gönderdiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı dikkate alınarak veri sorumlusu şirket hakkında 150.000 TL idari para cezası uygulanmasına, Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına karar verilmiştir.

Ceza: 150.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/774

03/08/2022

Konu: Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle üçüncü bir kişiye ait e-ticaret sitesinde bulunan kişisel veriler ve bilgiler bir başka kişiye e-posta yoluyla aktarıldığı, ilgili kişiye muhatap kişinin bilgilerini düzenleyebilmesi veya gönderiye ait bilgileri görebilmesi gibi bazı “imkanlar” iletildiği, ilgili kişinin e-ticaret sitesinin müşteri hizmetleri ile görüştüğü ve artık kendisine e-posta yoluyla ulaşım sağlanmamasını ve sistemden e posta adresinin silinmesini talep ettiği, buna rağmen veri sorumlusunun bu işlemleri yerine getirmeyerek kendisine cevap vermediği belirtilmiştir. Kurum tarafından yapılan inceleme neticesinde; İlgili kişiye gönderilen sipariş bilgilendirme e-postasında söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bu bilgilerle birlikte alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı ve sitede misafir müşteri girişi ile işlem yapılırken telefon numarası veya herhangi bir e-posta adresi ile teyit işleminin sağlanmaması sebebiyle e-ticaret sitesine üye olmadan yapılan bütün işlemlerin kişisel verilerin ihlali riskini taşıdığına, kendisine cevap verilmediği iddiası hakkında veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiği, veri sorumlusu ve ilgili kişi arasında geçen yazışmalara ve konuşmalara ait delilleri incelediğinde e-posta adresinin silinmediğine ve kendisine e-posta iletilmeye devam edildiğine dair bir belge ve bulgunun olmadığı, e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiğine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak 120.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 120.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/107

10/02/2022

Konu: Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevap yazısında ise İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığını ve istenildiği zaman İYS sisteminden çıkılabildiğinin belirtildiği, ilgili kişi tarafından ise İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alınarak 75.000 TL idari para cezası verilmesine, söz konusu verilerin uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/31

18/01/2022

Konu: Sağlık sektöründe ilgili kişinin açık rızası alınmaksızın veri sorumlusu tarafından ticari elektronik ileti gönderilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin açık rızası olmaksızın kendisine ticari elektronik ileti gönderildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgli kişiye KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında ilgili kişiye veya hasta yakınlarına tıbbi bilginin iletilmesi amacıyla ileti gönderilebilinir lakin somut olayda gönderilen e-posta içeriğinin tıbbi amaçla değil ticari amaçla atıldığı tespit edilmiştir. Sonuç olarak söz konusu kişisel verinin elde edilme amacı dışında kullanılmasından ötürü veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 100.000-TL İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/584

09/06/2021

Konu: Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin cep telefonu numarasına bir SMS gönderilmiş; kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı ancak birçok kişisel verisinin şirkette bulunduğuna ilişkin veri sorumlusuna başvuruda bulunulduğu, şirket tarafından gönderilen cevapta finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği ancak daha sonrasında ilgili kişinin bu listelerden çıkarıldığı gibi yanıtlara ver verilmiş; yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgi verilmemiş, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin de hukuka aykırı olduğu belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişisel veri işleme faaliyetinin meşru menfaat çerçevesinde değerlendirilemeyeceği, ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği, ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?