EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Üçüncü Kişi" etiketli kararlar

2023/4

05/01/2023

Konu: Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikâyete konu olayın; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği belirtilmiştir. İşlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği belirtilmiştir. İlgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği çalışanlara eğitim verildiği üstelik kargo üstündeki isim bilgilerinin de Karayolu Taşıma Kanunu’nun 43. maddesi uyarınca üzerine yazıldığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda, ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı tespit edilmiş, 75.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/853

01/09/2022

Konu: Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma tarafından incelenen ilgili kişi şikayetinde özetle; veri sorumlusu olan yasal bahis platformuna hiç kayıt olmamış olmasına rağmen veri sorumlusu tarafından ilgili kişiye, içinde ilgili kişinin kişisel verilerinin bulunduğu bir e-posta iletildiği ve hemen arkasından gelen ikinci bir e-posta ile “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği, İlgili kişinin talebi üzerine e-posta adresinin kayıtlı olduğu üyelikten kaldırıldığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; Veri sorumlusunun ilgili kişinin kişisel verisi olan e-posta adresini Kanun’da öngörülen herhangi bir hukuki şarta dayanmaksızın işlendiğine, bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini Kanun’da sayılan herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına ve şikâyete konu olayda asıl üyenin kişisel verilerinin şikâyetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili Kanun gereği ilgili kişilere ve Kurula bildirim yapılması gerektiği husunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: 250.000 TL İdari Para Cezası Uygulanmasına Karar Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/787

04/08/2022

Konu: Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden bir şikayette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandıüı, ertesi gün de telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki sözleşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı ve aramalara da devam edildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle telefon numarasını işlemeye devam ettiği, güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak 200.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 200.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/277

24/03/2022

Konu: İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen bir şikayette özetle; ilgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin şubesine teslim ettiği, bu şirketin de ürünü kargo firmasına teslim ettiği ancak kargo firmasının ürünü ilgisiz üçüncü bir şahsa teslim ettiği, üçüncü şahsın ilgili kişiyi arayarak konuyla ilgili bilgi verdiği bildirilmiştir. Elektronik perakende şirketinin yetkilileriyse; konu kapsamında bir suçları olmadığı ve hatanın tamamen kargo firmasında olduğu belirtilmiştir. Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurulduğunda Kurum, İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına, veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.

Ceza: İdari Para Cezası Verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/224

10/03/2022

Konu: Bir bankanın çağrı merkezinin ilgili kişinin rızası olmadan üçüncü kişiyle verisini paylaşması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin Banka ATM’sinde bulduğu kartın sahibine açık rızası olmadan isim, soy isim ve telefon numarasının paylaşıldığı ve bu konuda bankanın aydınlatma hükümlülüğünü yerine getirmediği belirtilmiştir. Kurul tarafından yapılan incelemede KVKK 12’nci maddesi kapsamında gerekli yükümlülükleri yerine getirmemesi dolayısıyla KVKK 18’inci Maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir. Bankanın internet sitesinde ‘Bize Ulaşın’ bölümünden başvuruda bulunurken bankanın ilgili kişiye gerekli aydınlatma yükümlülüğünü yerine getirdiği anlaşılıp bu konuda yapacak bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2022/184

04/03/2022

Konu: Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin alacak devir sözleşmesiyle devredilmiş telekominasyon borçlarının alacağını devralan veri sorumlusu tahsil etmek amacıyla ilgili kişinin açık rızasını almadan firmayla görüşme yaptığı üçüncü kişi numaralarıyla paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almadığı tespit edilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 50.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2021/608

22/06/2021

Konu: İlgili kişinin eski telefon numarasına kişisel verilerinin yollanması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletin şikayette bankacılık faaliyetini gerçekleştirdiği bankanın telefon numarasını güncelleme talebine uymayıp eski telefon numarasıyla veri paylaştığını belirtmiştir. Kurul tarafından yapılan incelemede KVKK Madde 4 içerisindeki şartların dağlanmadığını tespit etmiştir. Sonuç olarak kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/710

17/09/2020

Konu: İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, bir icra dosyasının tarafı olan ilgili kişinin akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi iddiası ile ilgili kişinin kurula yaptığı başvuruya istinaden kurulun yapmış olduğu inceleme sonucunda; İcra ve İflas Kanunu madde 89 kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, bu veri işleme faaliyetinin KVKK’nın 5’inci maddesinin 2 numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/196

03/03/2020

Konu: İlgili kişiye ait kişisel verinin denetim faaliyeti kapsamında bir kamu kurumuna aktarılmasına ilişkin şikayet başvurusu hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen şikayette bir veri sorumlusuna ait internet sitesinin ana sayfasında yayımlanan haberin altına yapılan yorumlarla ilgili olarak başlatılan idari soruşturma kapsamında veri sorumlusu tarafından yorum tamamı ve yorum yapan kullanıcı IP adreslerinin ilgili kişinin çalıştığı kamu kurumuyla paylaşıldığı be bu sebeple ilgili kişinin çalıştığı kamu kurumunda idari soruşturmaya maruz kaldığı belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde, denetim için gerekli olan tüm bilgi ve belgelerin talep edilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin KVKK’nın 5’nci maddesinin 2 numaralı fıkrasının a bendinden ” kanunlarda açıkça öngörülme ” hükme kapsamında olduğu, ancak idari soruşturmanın konusu olmayan üçüncü kişilerin kişisel verilerinin de veri sorumlusu şirket tarafından ilgili veri sorumlusuna aktarıldığı dikkate alındığında, idari soruşturma konusu olmayan kişisel verilerin aktarılmasının KVKK’nın 4’üncü maddesinin 2 numaralı fıkrasının ç bendinden yer alan “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğuna karar verilerek veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirmediğine karar verilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/26

14/01/2020

Konu: Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle KVKK’nın 12’nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

1 / 212

Türkçe dilinde GDPR karar özetlerini görmek ister misin?