EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Güvenliği" etiketli kararlar

2022/137

17/02/2022
Konu: Bir alışveriş merkezinin senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfası üyeliği için ise T.C. Kimlik numarası temin etmesi

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu alışveriş merkezi tarafından senetli alışverişler için e-Devlet şifresi, internet sayfası üyeliği içinse T.C. Kimlik numarası girilmesinin zorunlu tutulduğu tespit edilmiştir. Kurul tarafından yapılan incelemeler doğrultusunda, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; bahsi geçen kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede ilgili kişilerden söz konusu verilerin geçerli bir işleme şartı bulunmaksızın işlendiğine karar verilmiştir. Bu kapsamda, KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 300.000-TL idari para cezası uygulanmıştır.

2021/993

30/09/2021
Konu: Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, ilgili kişinin 2018-2020 yılları arasında kişisel verilerinin kargo taşıma sözleşmesinin gereği olarak işlendiği, ileride meydana gelecek olası uyuşmazlıklarda delil teşkil etmek üzere saklandığı, meslek kuruluşunun üyelerine indirim sağlanan sözleşme kapsamında veri sorumlusunun arşivinde bu verilerin yer aldığı, veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir ‘‘True/False’’ yanıtının iletildiği, aktarım yapılmadığı, şikayete konu olan faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, kişisel verilerin sözleşmenin ifası nedeniyle işlendiği, ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, üçüncü kişilere aktarım olmadığının kanıtlanmadığı, belirtilen süreler boyunca muhafaza etmenin hukuka uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/989

30/09/2021
Konu: İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu, haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceği, ilgili kişinin kendilerine yaptığı başvurunun usulüne uygun yapılmaması nedeniyle hukuka aykırı olduğu ve reddedilmesi gerektiği, başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı, ilgili veri işleme faaliyetinin ise kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, ilgili içeriğin KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca istisna olarak ele alınamayacağı, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesine yönelik uygun teknik ve idari tedbirleri almadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/889

30/09/2021
Konu: İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından veri sorumlusundan video kayıtlarının silinmesi talep edilmiş olup veri sorumlusunun da talebin kendilerine ulaşmasının ardından 2 adet maç kaydının yayından kaldırdığı, ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı, maçların kayıt altına alındığı ve daha sonra izlenebileceğine ilişkin bilgilendirmelerin tesislerde bulunduğu ve ilgili kişilerin bu yolla aydınlatılmış olduğu belirtilmiştir. Bununla birlikte, internet sitelerinde yer alan tüm maç yayınlarının 15 gün yayında kaldığı, sonrasında geri döndürülmeyecek şekilde imha edildiği, gelen talepler üzerine derhal yayından kaldırıldığı ve hiçbir şekilde yurtdışında aktarılmadığı, kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmediği, kayıtların alınabilmesi ve tesiste herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanıp tesislerde uygulanmaya başlandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak tesislerde uygulanmaya başlandığının ifade edildiği, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, kayıtlarda görüntüleri yer alan kişilerin özgün bir şekilde teşhis edilmesini sağlayabilecek görüntülerin olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/850

26/08/2021
Konu: Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından, telekomünikasyon sektöründe faaliyet göstermekte olduğundan, Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) mevzuatı kapsamında faaliyetlerini sürdürdüğü, numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntılarının BTK’da yer aldığı, şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı, veri sorumlusunun işlediği verilerin mevzuat kapsamında yer alan şartlara uygun olduğu, her türlü teknik ve idari tedbirin alındığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucu, kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığı, verileri işlemenin yasal ve güvenli olduğunu savunulduğu, veri sorumlusunun, ilgili verileri, kanunun şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu, veri sorumlusunun, KVKK 12’nci maddesinde belirtilen yükümlülükleri yerine getirdiği belirtilmiştir. Bu kapsamda, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/361

13/04/2021
Konu: Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusunun ilgili kişilerin açık rızasına başvurmadığı ve veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin talepleri nedeniyle veri sorumlusu tarafından maddi ve manevi zarara uğratıldığı ve başvurularının karşılanmadığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, ilgili kişilerin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı, uygulamaların açık rızaya dayanma şartını ihlal ettiği, uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2021/205

09/03/2021
Konu: İşten çıkarma sürecinde veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olan olayda ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusunun iş sözleşmesini haksız olarak sona erdirdiği, ilgili kişinin kişisel verilerine izinsiz erişildiği ve kişisel verilerinin işlendiği belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna uygun olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişimini engellendiği belirtmişse de bu durumun Kanuna uygun olduğu belirtilmiştir. Bu kapsamda, veri sorumlusuna yönelik yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

2021/140

25/02/2021
Konu: Belediyeler tarafından sunulan internet hizmetleri.

Kararı Paylaşın

Karar Özeti:

Kurul tarafından yapılan incelemeler neticesinde, KVKK’ya aykırı şekilde yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanması şeklindeki uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması gerektiği belirtilmiştir. Bu kapsamda, örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.

Ceza: Ceza uygulanmamış, belediyelerin talimatlandırılmasına karar verilmiştir.

2021/79

03/02/2021
Konu: Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında.

Kararı Paylaşın

Karar Özeti:

İlgili kişinin veri sorumlusu bankanın kredi kartını kullandığı, banka, ilgili kişinin akrabalarını arayıp ilgili kişinin borcu hakkında bilgi verdiği, ilgili kişinin 15.11.2019 tarihinde veri sorumlusuna başvurarak buna ilişkin bilgi talep ettiği; veri sorumlusunun ise 19.11.20219 tarihinde verdiği cevapta, ilgili kişinin borcu için arandığı ancak ulaşılamadığından diğer kişilerin arandığı belirtilmiştir. Kurul tarafından gerçekleştirilen incelemeler sonucunda, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğü, ilgili kişinin banka ile ilişkisinin yakınları ile paylaşılmasının KVKK’nın 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı belirtilmiştir. Bu kapsamda, veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir.

Ceza: İdari para cezası verilmiştir.

2020/504

30/06/2020
Konu: Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a yapılan başvuru kapsamında ilgili kişinin havayolu şirketi çağrı merkeziyle yapmış olduğu görüşme kayıtlarının talep etmesi üzerine veri sorumlusu tarafından bunun yalnızca yasal mercilerle paylaşılmasının mümkün olduğunu belirtmiştir. Kurul taraf tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesinde düzenlenen kişinin kendisine ait işlenen veriler üzerinde bilgi talep etme hakkının erişim hakkını da kapsadığını; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını içerdiği belirtilmiştir. Bu kapsamda, veri sorumlusu tarafından görüşme kayıtlarının, transkript şeklinde iletilmesinin KVKK’ya uygun olduğuna karar vererek herhangi bir idari işlem tesis etmemiştir.

Ceza: İdari para cezası verilmemiştir.