EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Güvenliği" etiketli kararlar

2023/4

05/01/2023

Konu: Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikâyete konu olayın; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği belirtilmiştir. İşlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği belirtilmiştir. İlgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği çalışanlara eğitim verildiği üstelik kargo üstündeki isim bilgilerinin de Karayolu Taşıma Kanunu’nun 43. maddesi uyarınca üzerine yazıldığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda, ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı tespit edilmiş, 75.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/993

30/09/2021

Konu: Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin 2018-2020 yılları arasında kişisel verilerinin kargo taşıma sözleşmesinin gereği olarak işlendiği, ileride meydana gelecek olası uyuşmazlıklarda delil teşkil etmek üzere saklandığı, meslek kuruluşunun üyelerine indirim sağlanan sözleşme kapsamında veri sorumlusunun arşivinde bu verilerin yer aldığı, veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir ‘‘True/False’’ yanıtının iletildiği, aktarım yapılmadığı, şikayete konu olan faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, kişisel verilerin sözleşmenin ifası nedeniyle işlendiği, ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, üçüncü kişilere aktarım olmadığının kanıtlanmadığı, belirtilen süreler boyunca muhafaza etmenin hukuka uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/989

30/09/2021

Konu: İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu, haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceği, ilgili kişinin kendilerine yaptığı başvurunun usulüne uygun yapılmaması nedeniyle hukuka aykırı olduğu ve reddedilmesi gerektiği, başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı, ilgili veri işleme faaliyetinin ise kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili içeriğin KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca istisna olarak ele alınamayacağı, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesine yönelik uygun teknik ve idari tedbirleri almadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/889

30/09/2021

Konu: İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusundan video kayıtlarının silinmesi talep edilmiş olup veri sorumlusunun da talebin kendilerine ulaşmasının ardından 2 adet maç kaydının yayından kaldırdığı, ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı, maçların kayıt altına alındığı ve daha sonra izlenebileceğine ilişkin bilgilendirmelerin tesislerde bulunduğu ve ilgili kişilerin bu yolla aydınlatılmış olduğu belirtilmiştir. Bununla birlikte, internet sitelerinde yer alan tüm maç yayınlarının 15 gün yayında kaldığı, sonrasında geri döndürülmeyecek şekilde imha edildiği, gelen talepler üzerine derhal yayından kaldırıldığı ve hiçbir şekilde yurtdışında aktarılmadığı, kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmediği, kayıtların alınabilmesi ve tesiste herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanıp tesislerde uygulanmaya başlandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak tesislerde uygulanmaya başlandığının ifade edildiği, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, kayıtlarda görüntüleri yer alan kişilerin özgün bir şekilde teşhis edilmesini sağlayabilecek görüntülerin olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/850

26/08/2021

Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/361

13/04/2021

Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/205

09/03/2021

Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/140

25/02/2021

Konu: Belediyeler tarafından sunulan internet hizmetleri.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’ya aykırı şekilde yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanması şeklindeki uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.

Ceza: Ceza uygulanmamış, belediyelerin talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/111

09/02/2021

Konu: İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayet kapsamında yapılan incelemede, ilgili kişinin telefon numarasına yakınına ait olan bir borca ilişkin ve kendisine ait içerik barındırmayan iki adet kısa mesaj gönderilmesine ilişkin olarak ilgili kişinin telefon numarasının ilk hukuk bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak açık rıza dışındaki kişisel veri işleme şartlarından herhangi birinin mevcut olmadığı, veri sorumlusu şirket tarafından borç takibi amacıyla kullanılan sisteme girilen bilgilerin KVKK’nın 4’üncü maddesi gereğince doğruluk ve güncellik kapsamında denetim ve kontroller yapılmaksızın ikinci avukata gönderilmesi, teknik ve idari kontrollerin yapılmadığı, Yasal Takip Sistemi’nde bulanan telefon numarasının kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen ilgili kişiye SMS gönderen veri sorumlusu avukatın KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birisi bulanmamasına rağmen işlenmesi sebebiyle KVKK’nın 12’nci maddesinin birinci fıkrasının a bendi kapsamında veri güvenliğine ilişkin yükümlüklerin yerine getirilmediği gerekçesiyle veri sorumluları hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 50 000 TL idari para cezası kesilmiştir.(İlk hukuk bürosu/veri sorumlusu avukat), 115 000 TL idari para cezası kesilmiştir.(Veri sorumlusu şirket), 50 000 TL idari para cezası kesilmiştir. (diğer hukuk bürosu veri sor. Av)

İlgili GDPR kararlarını görmek ister misin?

2021/79

03/02/2021

Konu: Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu bankanın kredi kartını kullandığı, banka, ilgili kişinin akrabalarını arayıp ilgili kişinin borcu hakkında bilgi verdiği, ilgili kişinin 15.11.2019 tarihinde veri sorumlusuna başvurarak buna ilişkin bilgi talep ettiği; veri sorumlusunun ise 19.11.20219 tarihinde verdiği cevapta, ilgili kişinin borcu için arandığı ancak ulaşılamadığından diğer kişilerin arandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğü, ilgili kişinin banka ile ilişkisinin yakınları ile paylaşılmasının KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 3123

Türkçe dilinde GDPR karar özetlerini görmek ister misin?