EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Aktarımı" etiketli kararlar

2021/1214

02/12/2021
Konu: Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Karar’a konu olan olayda, ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek şikayette bulunulmuştur. Kurul tarafından yapılan inceleme sonucunda KVKK’nın 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde KVKK’nın “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine hüküm verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

2021/1110

02/11/2021
Konu: Veri sorumlusu olarak bir holding bünyesinde faaliyet gösteren ikinci el araç satımı yapan şirketin icra takibi başlatılan müşterilerin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurula iletilen ihbar ile veri sorumlusu şirketin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde icra takibi başlatıldığı ve şirket tarafından icra takibi başlatılan müşterilerin T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı kişisel verilerin bir internet adresinde herkese açık bir şekilde paylaşıldığı ve bu bilgiler arasında araç plakası, şehir, ve ilçeye göre arama yapılabildiği tespit edilmiştir. Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının KVKK’nın 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından KVKK’nın 12’nci maddesinin 1 numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak idari yaptırım uygulanmıştır.

Ceza: 200.000-TL idari para cezası uygulanmıştır.

2020/559

22/07/2020
Konu: Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, otomotiv sektöründe faaliyet gösteren veri sorumlusu firmanın yurtdışına yapmış olduğu veri aktarımının hangi hukuki sebebe dayandığı belirtilmesinin talep edilmesi üzerine firmanın “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine (108 sayılı sözleşme) dayandığı anlaşılmıştır. Bunun üzerine Kurum 108 sayılı sözleşmeye dayanarak yurtdışına veri aktarımının mümkün olup olmadığını resen incelemiştir. Kurulun yapmış olduğu inceleme sonucunda, 108 sayılı sözleşmeye taraf olmanın tek başına ülkeyi güvenli ülke statüsüne sokmayacağını; dolayısıyla kanuna aykırı biçimde yurtdışına kişisel veri aktarımı yapıldığı gerekçesiyle idari para cezası uygulanmasına karar verilmiştir. Ayrıca yurtdışına aktarılan verilerin silinmesi/yok edilmesi konusunda şirketin talimatlandırılmasına karar verilmiştir.

Ceza: 900.000-TL idari para cezası verilmiştir.

2020/173

27/02/2020
Konu: Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Amazon Turkey hakkında ilgili kişilerin bilgilerini işlemek suretiyle ticari elektonik ileti göndermek hususunda ilgili kişilerin açık rızasının usulüne uygun olarak alınmadığı, açık rıza dışında da bir işleme dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızaları olmaksızın işlendiği, açık rızanın usulüne uygun alınmadığı, yurtdışına aktarıma ilişkin açık rıza alınmadığı belirtilerek idari para cezası uygulanmasına karar verilmiştir.

Ceza: 1.100.000,00-TL idari para cezası uygulanmıştır.

2020/108

11/02/2020
Konu: Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı hakkında.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan değerlendirme sonucunda, aktarılan bilgilerin ilgili kişi tarafından sosyal iş ağında da paylaşılması nedeniyle alenileştirilmiş olma şartını da sağladığı, veri aktarımının hukuka ve dürüstlük kuralına uygun olarak “belirli, açık ve meşru amaçlar için işlenme” ilkesini de ihlal etmediğine karar verilmiş, veri aktarımının veri sorumlularının İnsan Kaynakları birimleri tarafından yapılması da İnsan Kaynakları biriminin özlük dosyalarının bulunduğu departman olması sebebiyle gerekli idari ve teknik tedbirlerin alınması ilkesinin ihlal edilmediği belirtilerek söz konusu veri aktarımının hukuka aykırı bir veri işleme faaliyeti olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2020/78

30/01/2020
Konu: Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresini ilgili kişiye ait olmayan bir e-posta adresine göndererek bu bilgilerin üçüncü bir kişiyle paylaşılması sonucu veri sorumlusuna e-posta ve dilekçe yoluyla başvurulmuş fakat yazılı bir cevap alınamamıştır.

Kararı Paylaşın

Karar Özeti:

Kurul, veri sorumlusunun ilgili kişiye ait bilgileri Kanunda düzenlenen veri işleme şartlarından biri olmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle 8. Madde hükmüne aykırı veri aktarımı gerçekleştirdiğini saptamıştır.
Veri sorumlusu yazılı cevap vermeyip yalnızca telefonda bilgilendirme yaparak Kanun’un 13. Maddesini ihlal etmiştir; veri sorumlusunun bundan sonraki başvurularda azami dikkat ve özeni göstermesi için talimatlandırılmasına karar verilmiştir.

Ceza: 60 000 TL idari para cezası kesilmiştir.

2018/131

19/11/2018
Konu: Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında.

Kararı Paylaşın

Karar Özeti:

Karar konu olayda bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından başvuruda bulunulmuştur.. Kurul tarafından tüzel kişilere ait verilere erişilmesi yönünde talebin KVKK’nın 2’nci maddesi gereğince KVKK kapsamında değerlendirilemeyeceği, veri sorumlusu ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil veri sorumlusu tüzel kişilik tarafından talep edilmesi nedeniyle başvurunun KVKK madde 11 kapsamında değerlendirilmeyeceğine karar verilmiştir.

Ceza: Herhangi bir işlem tesis edilmemiştir.

8/2/2018

02/08/2018
Konu: İş başvurusu sürecinde işlenen kişisel verilerin hukuka aykırı şekilde paylaşılması.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu re’sen inceleme sonucunda online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusu özelinde veri sorumlusunun, ilgili kişiye ait kişisel veri içeren başvuru bilgilerini, herhangi bir hukuki sebep olmaksızın diğer başvuranlarla paylaştığı tespit edilmiş, aynı zamanda ilgili kişinin işlenen verisinin açık rızası olmadan bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılması üzerine idari para cezası uygulanmıştır.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.

8/2/2018

02/08/2018
Konu: Mahkemece kişisel veri sorumlusundan bir takım verilerin istenmesi ve veri sorumlusunun gereğinden fazla veri paylaşması. (Veri minimizasyonu ilkesine aykırılık)

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu incelemede bir mahkemenin veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edildiği ve veri sorumlusunun gereğinden fazla veri aktarımda bulunduğu tespit edilmiş, KVKK’nın 4’üncü maddesinin 1 numaralı fıkrasının ç bendinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil etiğine karar verilerek idari yaptırım uygulanmıştır.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.