EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri Sorumlusu" etiketli kararlar

2023/1653

28/09/2023

Konu: Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, veri sorumlusuna ait mağazadan alışveriş yaparken alışveriş kartı talep edilmiş ve bu kart için telefonuna gönderilen onay kodunu görevliye okumuştur. Ancak ilgili kişi, onay kodunu okuyarak “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan ettiğini fark etmiştir. Bu durum, kişisel verilerinin açık rızasının aldatma yoluyla ele geçirilmesi olarak değerlendirilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusundan gelen savunmaya göre; mağazalarda alışveriş kartı adı altında bir kart uygulaması bulunmamakta, ilgili kişinin belirttiği kartın bir “hediye kartı” olduğu, hediye kartının sadece ürün iadesi veya müşterinin isteği doğrultusunda kullanılabildiği belirtilmiştir. Hediye kartları için müşterilerden açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve müşterilere bu metne ulaşma yöntemleri sunulduğu ifade edilmiştir. Kasada yapılan işlemlerde müşterilere, aydınlatma metni ve kişisel veri işleme faaliyetleri hakkında bilgi verildiği ve müşterinin kayıt olup olmadığının sorulduğu, kayıt olmak isteyen müşterinin kendi cep telefonundan izin mesajı göndermesi gerektiği belirtilmiştir. Müşterinin gönderdiği mesaj üzerine şifre gönderildiği ve bu şifre içerisinde aydınlatma metni ve açık rıza beyanı gibi gerekli bilgilerin bulunduğu ifade edilmiştir. Kurulun değerlendirmeleri sonucunda; İlgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirilmiş ancak ilgili kişi rızasını geri çekmiştir. Bu durumda, Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirlenmiştir. Ancak, alışveriş sırasında ticari elektronik ileti gönderilerek kişisel verilerin işlenmesine ilişkin açık rıza alınmasının, ilgili kişilerin bu rızayı alışverişin bir parçası olarak verdiği izlenimi yaratabileceği ve bu durumun açık rızanın özgür irade ile açıklanma unsuruyla çelişebileceği değerlendirilmiştir. Bu çerçevede, ilgili uygulamanın, ilgili kişileri doğru bir şekilde bilgilendirerek alışverişin bir parçası olarak algılanmayacak şekilde revize edilmesine karar verilmiştir. Ayrıca, aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması, yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmesine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1578

14/09/2023

Konu: İlgili Kişinin Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Mahkemeye Aktarılması

Kararı Paylaşın

Karar Özeti:

Şikayet dilekçesine göre, ilgili kişi bir üniversiteye bağlı tıp merkezinde tedavi hizmeti alırken, şahsi terapi ve evlilik terapisi kayıtlarını içeren hasta dosyası, boşanma davası sürecinde görev yapan tıp merkezi mesul müdürü hekim tarafından mahkemeye gönderilmiştir. Bu dosyanın hiçbir önlem alınmadan, herkesin erişebileceği bir şekilde gönderilmesi sonucunda özel hayatına ait mahrem bilgilerin mahkeme tarafından taranarak geniş bir çevre tarafından öğrenildiği ifade edilmektedir. Hastanenin gereksiz detayları içeren notları paylaşmasının, ilgili kişinin özel hayatının açıkça ifşa edilmesine neden olduğu belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Tıp Merkezi hakkında işlem yapılması talep edilmektedir. İlgili kişinin özel nitelikli kişisel verilerinin, üniversitenin bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6. maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğu belirtilmiştir. İlgili kişinin özel nitelikli kişisel verisinin sağlık kayıtları, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221. maddesine dayanarak mahkemeye aktarılmıştır. Bu durumda, söz konusu kişisel veri aktarımının Kanun’un 8. maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğu ifade edilmiştir. Aktarım faaliyetlerinde, 2018/10 sayılı Kurul Kararı’na uygun olarak önlemlerin alınması gerektiği belirtilmiş ve özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilerek seçilmesi gerektiği vurgulanarak, veri sorumlusuna hatırlatma yapılmıştır. İlgili kişinin iddiaları arasında, belgenin UYAP’a yüklenerek üçüncü kişilerin erişimine açıldığına dair bir belirtilme olmasına rağmen, veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28. maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1548

07/09/2023

Konu: İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu ve yüklenici firma arasında akdedilen hizmet alım sözleşmesi, eklerinde bulunan teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdü gibi belgeler çerçevesinde bir asıl işveren-alt işveren ilişkisi kurulmuştur. İş Kanunu’nun 2. maddesinin (6) numaralı fıkrasına göre, asıl işveren-alt işveren ilişkisi, işletmenin gereği ve teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçileri sadece o işyerinde çalıştıran işveren ile iş aldığı işveren arasında kurulan bir ilişkidir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak doğan yükümlülüklerinden sorumludur. İş Kanunu’na uygun olarak kurulan bu ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esası benimsenmiştir. Veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi bulunduğundan, hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden kaynaklanan sorumluluklar mevcuttur. İlgili kişi, sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme görevi ile yüklenici firma bünyesinde çalışan bir işçidir. Ancak İş Kanunu’nun 25. maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “”İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması”” nedeniyle iş sözleşmesi feshedilmiştir. Feshin hukuka uygunluğu yargı merciine intikal eden bir konudur ve bu süreçte feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususları değerlendirilmelidir. İlgili kişiye ait ses kaydı, uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında bir delil niteliği taşımaktadır. Hukuk Muhakemeleri Kanunu’nun 190. maddesi, ispat yükünün iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa ait olduğunu belirtmektedir. Ancak, hukuka aykırı olarak elde edilen delillerin dikkate alınamayacağı HMK’nun 189. maddesi ile belirtilmiştir. İzinsiz ses kaydının, belirli durumlarda Türk Ceza Kanunu’na aykırı olmadığı ve hukuka uygun delil niteliği taşıdığı Yargıtay içtihatları tarafından kabul edilmiştir. İşverenin iş sözleşmesini haklı nedenle feshetmesini ispat etme imkânı olmadığı durumlarda veya kaybolma ihtimali bulunan kanıtların korunması amacıyla alınan ses kaydı, hukuka uygun delil olarak kabul edilebilmektedir. Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda, ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği belirtilmiştir. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine dair iddialar ise dosya içerisinde tevsik edilememiştir.

Sonuç olarak, iş sözleşmesinin feshine neden olan ses kaydı, Kanun’un 8. maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5. maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “”Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulmuştur. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddialar ise dosya kapsamında tevsik edilememiştir. Bu nedenle, veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek bulunmamaktadır.”

Ceza: Herhangi bir işlem yapılmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1321

03/08/2023

Konu: İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi

Kararı Paylaşın

Karar Özeti:

Kuruma intikal eden şikâyete göre, ilgili kişi, eski ortağı olduğu veri sorumlusu Şirketten ayrılarak yeni bir şirket kurmuş, ancak eski ortağı olduğu döneme ait e-posta adresinin hala aktif olduğunu ve bu adres üzerinden gönderilen e-postaların okunduğunu tespit etmiştir. Bu durumun kendisi için haksız rekabet ve maddi zarara yol açtığını düşünen kişi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemlerin yapılmasını talep etmiştir. Yapılan inceleme sonucunda veri sorumlusundan alınan savunmada, ilgili kişinin ortaklıktan ayrılmasıyla e-posta adresinin kapatıldığı ve teknik olarak kullanılamaz hale getirildiği belirtilmiştir. Ayrıca, söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği ve iddialara rağmen bu e-postalarda kişisel veri bulunmadığı ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun değerlendirmeleri ışığında, ilgili kişinin eski e-posta adresine, şu anda pasif durumda olmasına rağmen, hala ileti gönderildiği tespit edilmiştir. Bu e-posta adresindeki veriler kişisel veri niteliğinde olup, ilgili kişinin işten ayrılmasına rağmen e-posta gönderiminin engellenmemesi sebebiyle tanımsız e-posta üzerinden iletiler görüntülenmeye devam edilmektedir. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi kapsamında bir dayanağa sahip olmadığı için, Kanun’un 18. maddesi uyarınca veri sorumlusuna idari para cezası uygulanması yönünde karar verilmiştir. Ayrıca, söz konusu sistemde işten ayrılan kişilere ilişkin kişisel veri işleme faaliyetinin sonlandırılması için düzenlemeler yapılması ve bu düzeltmelerin Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir. Şikayet konusu kişisel verilerin imha edilmesi de talep edilmiş ve bu yönde veri sorumlusuna talimatlandırma yapılmıştır.

Ceza: 50.000 TL idari para cezası verilmesi yönünde karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/1050

15/06/2023

Konu: Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

Kararı Paylaşın

Karar Özeti:

Kişi, bankanın müşteri iletişim merkeziyle yaptığı görüşmede sanal kartının kopyalandığını ve kartının kullanıma kapatıldığını öğrenmiştir. Bu durum üzerine, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında, kopyalanan kişisel veriler ve bu verilerin hangi banka işlemiyle ilgili olduğunu öğrenmek amacıyla veri sorumlusuna başvuruda bulunmuştur. Ancak, yapılan başvuru yanıtsız bırakılmıştır. Daha sonra aynı konuda ikinci bir başvuru yaparak kişisel verilerinin işlenip işlenmediğini teyit etmek ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ait ses kaydını veya dökümünü talep etmiştir. Ancak bu başvuru da yanıtsız bırakılmıştır. Bu nedenle, kişi ilgili ses kayıt dökümünün tarafına sağlanmasını talep etmektedir. Kurulun değerlendirmeleri sonucunda; 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer alan “sır saklama yükümlülüğü,” müşteri ile ticari bağlantı nedeniyle elde edilen bilgilerin kanuni düzenlemelerin öngördüğü durumlar dışında üçüncü kişilere açıklanmamasını gerektirir. Aynı zamanda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesinin (1) numaralı fıkrasının (b) bendi, ilgili kişilerin kişisel verilerinin işlenip işlenmediğini öğrenme hakkını içerir. Bu hak, veriye erişim hakkını da kapsar ve ilgili kişilere kişisel verilerinin nasıl işlendiği hakkında bilgi alma imkanı tanır. Bu bağlamda, taraflar arasındaki görüşmeye dair doğrudan ifadeler içeren belgenin, ilgili kişi dışındaki kişisel verilerin çıkarılması veya maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi ve bu işlemler hakkında Bilgi Teknolojileri ve İletişim Kurumu’na bilgi verilmesi için Veri Sorumlusuna talimat verilmesi gerekmektedir. Ayrıca, Kanun kapsamında yapılan başvuruların, Kanun’un 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6. maddesi hükümlerine uygun bir şekilde, etkin, hukuka uygun ve dürüst bir şekilde gerekçe belirtilerek ve süresi içinde sonuçlandırılması gerektiği konusunda Veri Sorumlusuna hatırlatma yapılması kararlaştırılmıştır.

Ceza: Ceza verilmesini gerektiren bir durum söz konusu değildir. İlgili Kişi dışında başkalarına ait kişisel veriler varsa bunların çıkarılması/maskelenmesi gibi önlemlerin alınması yoluyla İlgili Kişiye gönderilmesi ve buna ilişkin yapılan işlemler hakkında Kurula bilgi verilmesi yönünde veri sorumlusu talimatlandırılmış ve ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2023/932

01/06/2023

Konu: İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi

Kararı Paylaşın

Karar Özeti:

ilgili kişi, cep telefonu numarası üzerinden online olarak veri sorumlusu Banka’ya müşteri olduğunu bildirmiş ve aynı gün bireysel kredi başvurusunda bulunmuştur. Ancak aynı gün içinde, hem ilgili Banka’ya verdiği telefon numarasına hem de adına kayıtlı ancak Banka işlemlerinde kullanılmayan başka bir telefon numarasına kredi başvurusuyla ilgili farklı içerikte kısa mesajlar gönderildiği belirtilmektedir. İlgili kişi tarafından yapılan ilk başvuruya verilen cevapta, Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığı belirtilmiştir. Ancak ikinci başvuruya verilen cevapta ise, şikayet konusu numaranın diğer bankalardan alındığı ifade edilmiştir. KKB’nin internet sitesinde yapılan araştırmada ise ilgili kuruluşta kayıtlı telefon numarasının, Banka’ya verilen telefon numarası ile aynı olduğu, yani şikayet konusu numaranın Banka’ya ait olmadığı belirtilmiştir. Veri sorumlusu, ilgili kişinin bildirmediği iletişim numarasını kredi işlemleriyle ilgili bilgilendirme yapmak amacıyla işlemiştir. Bu işlemin Kanun’un 5. maddesinin 2. fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirilmiştir.

Ceza: Veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek olmadığına karar verilmiştir. KKB kayıtlarına ilişkin talep ve iddiaların KKB nezdinde ileri sürülmesi gerektiği ilgili kişiye hatırlatmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/845

18/05/2023

Konu: Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi

Kararı Paylaşın

Karar Özeti:

Kuruma iletilen şikayette özetle; bir online alışveriş platformu üzerinden gerçekleştirilen bir alışverişin ardından, siparişin bir gün sonra veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği ifade edilmektedir. Ancak, teslimatın ardından kurye tarafından gönderilen taciz içerikli mesajın alıcıya ulaştığı ve mesajın kurye tarafından gönderildiğinin kargo şirketi (veri sorumlusu) tarafından doğrulandığı belirtilmektedir. Bu durumda, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının müşteriyi rahatsız ettiği ifade edilerek, gerekli önlemlerin alınması talep edilmektedir. Veri sorumlusu, ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasını, Kanun’un öngördüğü kişisel veri işleme şartlarına uyulmaksızın hukuka aykırı olarak paylaşmıştır. Bu nedenle, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığı sonucuna varılarak, Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000 TL idari para cezası, ayrıca kurye 5237 sayılı Türk Ceza Kanunu kapsamında ve ceza yargılaması neticesinde cezalandırılmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/646

27/04/2023

Konu: Üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması ile kişisel veri işleme faaliyetinin Kanun’da yer alan İşleme Şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği hakkında Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilmiştir. Kanunun “”Kişisel Verilerin İşlenme Şartları”” başlıklı 5. maddesinin (1) numaralı fıkrasına göre kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak (2) numaralı fıkra, belirli şartlar altında rızanın aranmayabileceğini belirtmektedir. Bu şartlar arasında, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rıza alınamayacak durumlar, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri gibi durumlar bulunmaktadır.
Ancak, Kanunun 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlü olduğunu belirtir.
Yapılan inceleme sonucunda, ilgili kişinin izin durumuna ilişkin kişisel verilerinin paylaşımının, Kanunun 5. maddesinin belirlediği şartlara uymadığı ve bu durumun Kanunun 12. maddesine aykırılık teşkil ettiği kanaatine varılmıştır. Bu nedenle, veri sorumlusu bünyesinde görev yapan ilgili personele disiplin hükümleri uyarınca işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir.

Ceza: Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/1239

09/12/2021

Konu: Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen olayda banka ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamaması gösterilmiştir. Kurul tarafından yapılan incelemeler sonucunda, veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Ceza: İdari yaptırım uygulanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2018/118

16/10/2018

Konu: İlgili kişinin, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna yaptığı başvuruya tatminkar bir cevap alamaması üzerine yaptığı başvuru sonucunda konu ile ilgili Kurul tarafından alınan kararın ilgili veri sorumlusu tarafından süresinde yerine getirilmemesi.

Kararı Paylaşın

Karar Özeti:

Kurul yapmış olduğu inceleme sonucunda ilgili kişinin başvurusu sonucunda Kurulun aldığı kararın ilgili veri sorumlusu tarafından kanuni süre içerisinde yerine getirilmediği görülmüştür. Kamu kuruluşu olarak değerlendirilen veri sorumlusuna 30 günlük yasal süre içerisinde Kurul kararının gereğinin yerine getirilmemesi ve şikayetçiye gönderilen bilgilendirme yazısında Kurul Kararında belirtilen hususlara yer verilmemiş olması nedeniyle şirket hakkında KVKK’nın 18’inci maddesinin 3’üncü fıkrası gereği işlem tesis edilmiştir.

Ceza: İdari yaptırım uygulanmış, ceza miktari açıklanmamıştır.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?