EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Aktarımı" etiketli kararlar

2023/1154

25/07/2023

Konu: VERBİS kaydı istisnasını belirleyen mali bilanço sınırının değiştirilmesi
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurum tarafından yayınlanan bir karar ile belli bir mali bilanço eşiğine ulaşmış işletmelerin kişisel verileri işlemek için kayıt olmaları gereken sistem olan VERBİS’e ilişkin mali bilanço sınırları değiştirildi. Yapılan değişiklikle yıllık mali bilanço sınırı 25 milyon TL’den 100 milyon TL’ye çıkartıldı. 25.07.2023 tarihinden itibaren yıllık toplam mali bilançosu 100 milyon TL’yi aşan işletmeler kişisel veri işleyebilmek için VERBİS’e kayıt olmak zorunda.

Ceza: Yıllık toplam mali bilanço sınırı 25 milyonTL’den 100 milyon TL’ye çıkarıldı.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2022/896

02/09/2022

Konu: Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması hakkında
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

İlgili kişinin Kuruma ilettiği şikayette ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu durumda veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızası alınmadığı, veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda; İlgili kişiye ait kişisel verilerin Kanun’da sayılan şartlara dayalı olarak işlendiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına, Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işlemi Kanun’da sayılan işleme şartlarına dayanmadığından ve kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına ve şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: 150.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2022/798

04/08/2022

Konu: İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki iş yeri ile paylaşılması hakkında
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmaktayken başka bir şirketle gerçekleştirdiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği belirtilmiştir. Kurum tarafından yapılan inceleme sonucunda, Veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile işl görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması ve veri sorumlusunun 1997 yılından beri faaliyet gösterdiği, Türkiye genelinde 7 ofis, 1 depo ve 135 çalışan ile lojistik faaliyetlerini yürüttüğü ve ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında 100.000 TL idari para cezası verilmiştir.

Ceza: 100.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2022/229

10/03/2022

Konu: E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurul vermiş olduğu kararda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığına karar vermiştir. Bununla birlikte, veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınmasına karar verilmiştir. Sonuç olarak veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle KVKK’nın 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, KVKK’nın 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların KVKK’nın 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 800.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2022/184

04/03/2022

Konu: Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması hakkında karar.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin alacak devir sözleşmesiyle devredilmiş telekominasyon borçlarının alacağını devralan veri sorumlusu tahsil etmek amacıyla ilgili kişinin açık rızasını almadan firmayla görüşme yaptığı üçüncü kişi numaralarıyla paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında KVKK’nın 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli tedbirleri almadığı tespit edilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 50.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2022/6

06/01/2022

Konu: İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin paylaşılması.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin eski ortağı olduğu ve herhangi bir hukuki veya idari bağının olmadığı şirkete ait sicil bilgilerinin eski ortaklar başlığı altında yayınladığı ve veri sorumlusu Ticaret odasının ilgili kişinin kişisel verilerin üçüncü kişilerle izinsiz paylaşılmaması için yaptığı başvurunun reddedildiği belirtilmiştir. Kurul tarafından yapılan incelemede ilgili kişinin işlenen verilerinin 5174 sayılı kanunda öngörülen yükümlülük kapsamında değerlendirileceği belirtilip söz konusu kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan hukuki yükümlülüğü yerine getirilmesi için zorunlu olması şartlarına dayandırılacağı kararlaştırılmıştır. İlgili kişinin talebine yönelik KVKK’nın 7’nci maddesi kapsamında işleme şartlarının ortadan kalkmaması sebebiyle ilgili kişinin talebi ile ilgili KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2021/1262

16/12/2021

Konu: Sigorta şirketinin banka verilerini hukuka aykırı şekilde işlemesi ve kişisel verilerinin yok edilmesi talebinin cevaplanmaması konulu kurul kararı.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurul’a ilgili kişi tarafından iletilen şikayette sigorta şirketinin hukuka aykırı olarak banka verilerini işlediği ve vekil aracılığıyla yaptığı kişisel verilerinin yok edilmesi başvurusunun yanıtsız bırakıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sigorta şirketinin işlediği banka verilerinin KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında kanuni yükümlülükten ötürü işlediğine karar verilmiştir. Veri sorumlusunun ilgili kişinin vekilinin vekaletnamesinde “özel yetki” şartı aranması dolayısıyla başvurusunu cevapsız bırakması noktasında ise vekaletnamede “özel yetki” şartının aranamayacağını belirterek Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi kapsamında red işleminin gerekçesinin açıklanarak yapılması konusunda veri sorumlusunu talimatlandırmıştır.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2021/1214

02/12/2021

Konu: Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek şikayette bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda KVKK’nın 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde KVKK’nın “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine hüküm verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2021/1110

02/11/2021

Konu: Veri sorumlusu olarak bir holding bünyesinde faaliyet gösteren ikinci el araç satımı yapan şirketin icra takibi başlatılan müşterilerin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurula iletilen ihbar ile veri sorumlusu şirketin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde icra takibi başlatıldığı ve şirket tarafından icra takibi başlatılan müşterilerin T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı kişisel verilerin bir internet adresinde herkese açık bir şekilde paylaşıldığı ve bu bilgiler arasında araç plakası, şehir, ve ilçeye göre arama yapılabildiği tespit edilmiştir. Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının KVKK’nın 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak idari yaptırım uygulanmıştır.

Ceza: 200.000-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN

2021/608

22/06/2021

Konu: İlgili kişinin eski telefon numarasına kişisel verilerinin yollanması hakkında karar.
  • Kanun Maddesi

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletin şikayette bankacılık faaliyetini gerçekleştirdiği bankanın telefon numarasını güncelleme talebine uymayıp eski telefon numarasıyla veri paylaştığını belirtmiştir. Kurul tarafından yapılan incelemede KVKK Madde 4 içerisindeki şartların dağlanmadığını tespit etmiştir. Sonuç olarak kanunun 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar vermiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Hemen Abone Ol
TÜM METİN
1 / 41234

KVKK Arar, bir OD Privacy projesidir.

©2021 kvkkarar.com. Tüm hakları saklıdır.

web tasarım: mare.design
Çerez Ayarlarını Düzenle
Türkçe dilindeki özgün içerikler Google Translate aracılığıyla diğer dillere çevirilmektedir.

Türkçe dilinde GDPR karar özetlerini görmek ister misin?

Hemen Abone Ol!