EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Minimizasyonu" etiketli kararlar

2023/1430

17/08/2023

Konu: Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi

Kararı Paylaşın

Karar Özeti:

Yemek kartı hizmeti veren bir şirketin mobil uygulamasında fiziki yemek kartını kaydetmek istediğinde TC kimlik no ile doğrulama yapılması zorunlu tutulması üzerine Kuruma bir şikayet iletilmiştir. Yapılan inceleme üzerine veri sorumlusundan cevap istenmiş. Cevapta; mobil kartlar için telefon numarası ile doğrulama yapılabildiğini ancak fiziki kartların uygulamaya eklenmesi gerektiği zaman müşterilerin güvenliği ve müşteri tanıma protokollerinin işletilebilmesi için TC kimlik no istendiği belirtilmiştir. Kurum incelemesinde her ne kadar genel nitelikli kişisel verilerinden olsa da TCKN telefon numarası ve diğer doğrulama bilgilerinden daha olduğu için bu işlemin daha düşük seviye veriler ile de yapılabileceğine karar vermiştir. 5 maddedeki hükümlere aykırılık tespit ederek 12. madde hükümlerince veri güvenliğinin tehlikeye düştüğünü söylemiştir.

Ceza: 200.000 TL idari para cezası verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1310

03/08/2023

Konu: Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

“Bir bankanın kurumsal hem kurumsal hem de bireysel müşterisi olan başvuran (ilgili kişi), mobil bankacılık uygulamasında kullandığı şifresini unutması üzerine mobil bankacılık uygulaması üzerinden “”şifremi unuttum”” adımlarını takip eder. Kurumsal hesabı için yeni şifre almaya çalışan başvuran, kurumsal hesaplar için sadece TC kimlik numarası ve devamında yüz okuma sistemi ile yeni şifre alabileceğini görür. Adımalrı takip eden kullanıcı, biyometrik verilerinin işlenmesini kabul etmediği seçeneğini işaretlediğinde işlemi gerçekleştiremeyip hata alıp ana ekrana geri dönmeye zorlanmıştır. Başvuran, hizmetin özel nitelikli kişisel veri işleme şartına bağlandığı gerekçesiyle şikayette bulunmuştur. Kuruma yapılan ilgili kişi şikayeti üzerine veri sorumlusu bankadan savunma talep edilmiştir.
Banka yaptığı savunmada; bireysel hesaplar için şifre yenileme seçenekleri arasında banka/kredi kartı ile de işlem yapılabildiğini ve kurumsal hesaplarda da bu seçeneklerin eklenmesi için geliştirmelerin devam ettiğini belirtmiştir. Ayrıca kurumsal hesaplar için müşteri hizmetleri telefon hattından ve şubeler aracılığıyla mobil bankacılık şifresinin değiştirildiğini, bu seçeneklerin de internet sitelerinde açıkça belirtildiği yönünde savunma yapılmıştır. Kişisel Verileri Koruma Kurumu yaptığı incelemede bankanın açıklamalarını haklı bulmuş ve diğer seçenekler göz önüne alındığında hizmetin herhangi bir veri işleme şartına bağlanmadığına karar vermiştir.

Bankaya ilgili biyometrik veri okuma aşamasında diğer seçenekleri belirten bir uyarı eklenmesi ve durumun açıklanması yönünde talimat verilmesine karar verilmiş olup idari para cezasına hükmedilmemiştir.”

Ceza: İdari para cezası verilmemiştir

İlgili GDPR kararlarını görmek ister misin?

8/2/2018

02/08/2018

Konu: Mahkemece kişisel veri sorumlusundan bir takım verilerin istenmesi ve veri sorumlusunun gereğinden fazla veri paylaşması. (Veri minimizasyonu ilkesine aykırılık)

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu incelemede bir mahkemenin veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edildiği ve veri sorumlusunun gereğinden fazla veri aktarımda bulunduğu tespit edilmiş, KVKK’nın 4’üncü maddesinin 1 numaralı fıkrasının ç bendinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil etiğine karar verilerek idari yaptırım uygulanmıştır.

Ceza: İdari para cezası uygulanmış, miktar açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?