EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Yazılım" etiketli kararlar

2021/1304

23/12/2021

Konu: Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke karar

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen ihbarlar kapsamındaki gerçekleştirilen incelemeler neticesinde ilke karar verilerek, araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu, bu şekilde bir kara liste uygulamasının kullanılması amacıyla araç kiralama şirketlerine araç kiralama yazılımcısı ve satıcısı kişilerin “kara liste” özelliği içeren araç kiralama yazılımı hizmeti sundukları, araç kiralama şirketleri tarafından hizmetlerinden yararlanan müşterilere ait bilgilerin özellikle kullanım sürecinde meydana gelen olumsuzluk veya araç kiralama firmasının yorumlarının bu listede yer aldığı belirtilmiştir. Bununla birlikte, yazılım şirketleri tarafından sunulan hizmetin SaaS (software as a Service) şeklinde olduğu, hizmetin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketinde olduğu, yazılıma eklenen özellikler ile bir araç kiralama firmasının kara listeye girdiği bilgilerin diğer firmalar ile de paylaşılacak şekilde düzenlendiğinin tespit edildiği belirtilerek, bu şekilde müşterilerin kişisel verilerinin aynı yazılımı kullanan diğer veri sorumlularına aktarılması ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmesi anlamına geleceğine ve KVKK’nın 4’üncü maddesinde düzenlenen Genel İlkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli açık ve meşru amaçlar için işlenme”, “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil edeceğine karar verilmiştir. Ayrıca araç kiralama şirketi ve yazılım şirketinin kara liste kapsamında paylaşılan veriler açısında “ortak veri sorumlusu” olduğu değerlendirilerek, sorumluluk ve kusur miktarlarının olay bazında değerlendirilmesi gerektiğine karar verilmiştir.

Ceza: Veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında çerçevesinde işlem tesis edileceği belirtilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/294

01/10/2019

Konu: Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

Kararı Paylaşın

Karar Özeti:

İlgili kişi bir havayolunun sadakat programı çerçevesinde kullanıcı adı ve parola değiştirme talebinde bulunduğunda bu işlemi gerçekleştirmek için kimliğinin önlü arkalı fotoğrafı talep ediliyor. İlgili kişi uçuş biletine erişim sağlayabilmek adına gönderiyor ancak sonrasında bu bilgilerin silinmesini ve 3. kişilere aktarıldıysa onların da silinmesini talep edilmiştir. Kimlikte kişinin din ve kan grubu gibi özel nitelikte kişisel verileri var ve bunların kişinin açık rızası olmadan işlenmesi hukuka aykırı olduğuna, ayrıca veri işlemeyle ilgili olarak şeffaflık ilkesine ve dürüstlük kuralına da aykırı olduğuna, veri işleme için belirli bir hukuki dayanak olmadığına, amaçla bağlantılı, sınırlı ve ölçülü bir veri işleme bulunmadığına karar verilmiştir. Bununla birlikte, veri sorumlusu kimlik verilerini Kurumdan bilgi talep edildiğinde silmiş, dolayısıyla gerektiği kadar muhafaza etme ilkesine de aykırılık teşkil ettiği belirtilmiştir.

Ceza: 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/104

11/04/2019

Konu: Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu Facebook tarafından duyurulan ihlalde kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül – 25Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirlenmiştir. Kurul tarafından yapılan inceleme neticesinde veri sorumlusu hakkında KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: KVKK madde 12 kapsamında 1.100.000,00-TL ve geç bildirim sebebiyle 350.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?