EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Güvenliği" etiketli kararlar

2023/1548

07/09/2023

Konu: İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu ve yüklenici firma arasında akdedilen hizmet alım sözleşmesi, eklerinde bulunan teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdü gibi belgeler çerçevesinde bir asıl işveren-alt işveren ilişkisi kurulmuştur. İş Kanunu’nun 2. maddesinin (6) numaralı fıkrasına göre, asıl işveren-alt işveren ilişkisi, işletmenin gereği ve teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçileri sadece o işyerinde çalıştıran işveren ile iş aldığı işveren arasında kurulan bir ilişkidir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak doğan yükümlülüklerinden sorumludur. İş Kanunu’na uygun olarak kurulan bu ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esası benimsenmiştir. Veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi bulunduğundan, hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden kaynaklanan sorumluluklar mevcuttur. İlgili kişi, sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme görevi ile yüklenici firma bünyesinde çalışan bir işçidir. Ancak İş Kanunu’nun 25. maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “”İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması”” nedeniyle iş sözleşmesi feshedilmiştir. Feshin hukuka uygunluğu yargı merciine intikal eden bir konudur ve bu süreçte feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususları değerlendirilmelidir. İlgili kişiye ait ses kaydı, uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında bir delil niteliği taşımaktadır. Hukuk Muhakemeleri Kanunu’nun 190. maddesi, ispat yükünün iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa ait olduğunu belirtmektedir. Ancak, hukuka aykırı olarak elde edilen delillerin dikkate alınamayacağı HMK’nun 189. maddesi ile belirtilmiştir. İzinsiz ses kaydının, belirli durumlarda Türk Ceza Kanunu’na aykırı olmadığı ve hukuka uygun delil niteliği taşıdığı Yargıtay içtihatları tarafından kabul edilmiştir. İşverenin iş sözleşmesini haklı nedenle feshetmesini ispat etme imkânı olmadığı durumlarda veya kaybolma ihtimali bulunan kanıtların korunması amacıyla alınan ses kaydı, hukuka uygun delil olarak kabul edilebilmektedir. Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda, ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği belirtilmiştir. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine dair iddialar ise dosya içerisinde tevsik edilememiştir.

Sonuç olarak, iş sözleşmesinin feshine neden olan ses kaydı, Kanun’un 8. maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5. maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “”Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulmuştur. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddialar ise dosya kapsamında tevsik edilememiştir. Bu nedenle, veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek bulunmamaktadır.”

Ceza: Herhangi bir işlem yapılmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1154

25/07/2023

Konu: VERBİS kaydı istisnasını belirleyen mali bilanço sınırının değiştirilmesi

Kararı Paylaşın

Karar Özeti:

Kurum tarafından yayınlanan bir karar ile belli bir mali bilanço eşiğine ulaşmış işletmelerin kişisel verileri işlemek için kayıt olmaları gereken sistem olan VERBİS’e ilişkin mali bilanço sınırları değiştirildi. Yapılan değişiklikle yıllık mali bilanço sınırı 25 milyon TL’den 100 milyon TL’ye çıkartıldı. 25.07.2023 tarihinden itibaren yıllık toplam mali bilançosu 100 milyon TL’yi aşan işletmeler kişisel veri işleyebilmek için VERBİS’e kayıt olmak zorunda.

Ceza: Yıllık toplam mali bilanço sınırı 25 milyonTL’den 100 milyon TL’ye çıkarıldı.

İlgili GDPR kararlarını görmek ister misin?

2023/4

05/01/2023

Konu: Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması hakkında

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikâyete konu olayın; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği belirtilmiştir. İşlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği belirtilmiştir. İlgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği çalışanlara eğitim verildiği üstelik kargo üstündeki isim bilgilerinin de Karayolu Taşıma Kanunu’nun 43. maddesi uyarınca üzerine yazıldığı belirtilmiştir. Kurum yapmış olduğu inceleme sonucunda, ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı tespit edilmiş, 75.000 TL idari para cezası verilmesine karar verilmiştir.

Ceza: 75.000 TL İdari Para Cezası Verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/993

30/09/2021

Konu: Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin 2018-2020 yılları arasında kişisel verilerinin kargo taşıma sözleşmesinin gereği olarak işlendiği, ileride meydana gelecek olası uyuşmazlıklarda delil teşkil etmek üzere saklandığı, meslek kuruluşunun üyelerine indirim sağlanan sözleşme kapsamında veri sorumlusunun arşivinde bu verilerin yer aldığı, veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir ‘‘True/False’’ yanıtının iletildiği, aktarım yapılmadığı, şikayete konu olan faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, kişisel verilerin sözleşmenin ifası nedeniyle işlendiği, ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, üçüncü kişilere aktarım olmadığının kanıtlanmadığı, belirtilen süreler boyunca muhafaza etmenin hukuka uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/989

30/09/2021

Konu: İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu, haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceği, ilgili kişinin kendilerine yaptığı başvurunun usulüne uygun yapılmaması nedeniyle hukuka aykırı olduğu ve reddedilmesi gerektiği, başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı, ilgili veri işleme faaliyetinin ise kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili içeriğin KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca istisna olarak ele alınamayacağı, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesine yönelik uygun teknik ve idari tedbirleri almadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/889

30/09/2021

Konu: İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusundan video kayıtlarının silinmesi talep edilmiş olup veri sorumlusunun da talebin kendilerine ulaşmasının ardından 2 adet maç kaydının yayından kaldırdığı, ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı, maçların kayıt altına alındığı ve daha sonra izlenebileceğine ilişkin bilgilendirmelerin tesislerde bulunduğu ve ilgili kişilerin bu yolla aydınlatılmış olduğu belirtilmiştir. Bununla birlikte, internet sitelerinde yer alan tüm maç yayınlarının 15 gün yayında kaldığı, sonrasında geri döndürülmeyecek şekilde imha edildiği, gelen talepler üzerine derhal yayından kaldırıldığı ve hiçbir şekilde yurtdışında aktarılmadığı, kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmediği, kayıtların alınabilmesi ve tesiste herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanıp tesislerde uygulanmaya başlandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak tesislerde uygulanmaya başlandığının ifade edildiği, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, kayıtlarda görüntüleri yer alan kişilerin özgün bir şekilde teşhis edilmesini sağlayabilecek görüntülerin olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/850

26/08/2021

Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/361

13/04/2021

Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/205

09/03/2021

Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/140

25/02/2021

Konu: Belediyeler tarafından sunulan internet hizmetleri.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’ya aykırı şekilde yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanması şeklindeki uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.

Ceza: Ceza uygulanmamış, belediyelerin talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

1 / 3123

Türkçe dilinde GDPR karar özetlerini görmek ister misin?