Kişisel Verileri Koruma Kurulu'nun yaptırım ve ilke kararları
Otel, motel, pansiyon ve benzeri konaklama yerlerinin misafirlerden T.C. kimlik belgesi fotokopisi almasının Kanun'a aykırı olduğuna dair ilke kararı verilmiştir. Konaklama bildiriminde isim, soyisim ve TC kimlik numarası kaydı, Kimlik Bildirme Kanunu kapsamında hukuki olmakla birlikte, kimlik belgesinin fotokopisinin alınması gereğinden fazla veri işleme niteliği taşımakta olup herhangi bir hukuki dayanağı bulunmamaktadır. Ayrıca eski nüfus cüzdanlarında din ve kan grubu gibi özel nitelikli veriler yer aldığından bu uygulama Kanun'un 6. maddesine de aykırılık oluşturmaktadır. Veri sorumlularının bu uygulamaya derhal son vermesi ve daha önce alınmış olan fotokopileri Kanun'un 7. maddesine uygun şekilde imha etmesi gerektiğine karar verilmiştir.
Ödeme veya üyelik işlemleri sırasında doğrulama kodu bahanesiyle ilgili kişilerden alınan iletişim bilgilerinin, aydınlatma yapılmadan ve açık rıza alınmadan ticari elektronik ileti göndermek amacıyla kullanılmasının Kanun'a aykırı olduğuna dair ilke kararı verilmiştir.
Veri sorumlusu e-ticaret platformu tarafından Kuruma yapılan ihlal bildiriminde, başka platformlardan elde edilen kullanıcı adı ve şifre bilgilerinin satıcı portalında denenmesi sonucu 673 satıcı ve 7.202 müşterinin kişisel verilerine yetkisiz erişim sağlandığı bildirilmiştir. Kurul, satıcı portalında e-posta adreslerinin bulunup bulunmadığını kontrol eden bir zafiyetin siber saldırganlar tarafından kullanıldığını, bot trafiğini önlemek için kullanılan uygulamanın yetersiz kaldığını ve çift faktörlü kimlik doğrulamanın ancak ihlalden sonra uygulamaya konulduğunu tespit etmiştir. İhlalin 02.02.2024 tarihinde başlamasına rağmen ancak 06.02.2024'te tespit edilmesinin geç kalındığının göstergesi olduğu değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 3.250.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişinin internet taahhüt süresinin dolması nedeniyle tarife araştırırken abonesi olduğu A Şirketine benzer görsellerle sahte bir internet sitesine yönlendirildiği, buraya sadece telefon numarasını yazmasına rağmen T.C. kimlik numarası sorularak adres ve tarife bilgilerine erişildiği ve aldatılarak X Markasına abone yapıldığı iddia edilmiştir. Kurul, bayi C Şirketinin veri işleyen olarak hareket etmesi gerekirken sözleşme hükümlerine aykırı şekilde başka firmaya ait görselleri kullanarak potansiyel müşterileri yanılttığını ve bu suretle veri sorumlusu sıfatını kazandığını tespit etmiştir. İlgili kişinin iradesinin aldatılarak kişisel verilerinin hukuka aykırı işlendiği değerlendirilerek C Şirketine KVKK m.18/1(b) uyarınca 450.000 TL idari para cezası uygulanmış; B ve D Şirketleri hakkında işlem yapılmasına yer olmadığına karar verilmiştir.
Bir özel hastanenin hasta verilerini üçüncü taraf pazarlama şirketiyle paylaşması değerlendirilmiştir. Tespitler: Sağlık verileri özel nitelikli kişisel veridir (m. 6) Pazarlama amacıyla aktarım için m. 6/3 şartları oluşmamaktadır Hastaların açık rızası alınmamıştır Veri güvenliği tedbirleri yetersizdir Sonuç: Hem m. 6 hem m. 12 kapsamında ihlal tespit edilmiş, yüksek tutarda idari para cezası uygulanmıştır.
Kurul, çevrimiçi oyun dağıtıcısı olan veri sorumlusu hakkında e-Devlet şifresi talep edildiği, kişisel verilerin yurt dışına aktarıldığı ve aydınlatma yükümlülüğünün yerine getirilmediği iddialarıyla resen inceleme başlatmıştır. İncelemede, oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcılarının kişisel verilerinin yurt dışına aktarılmadığı; ancak internet sitesindeki çerezler aracılığıyla yurt dışına veri aktarımı yapıldığı, açık rızanın belirlilik ve özgür irade unsurlarının sağlanmadığı tespit edilmiştir. Veri sorumlusuna KVKK m.18/1(b) uyarınca 750.000 TL idari para cezası uygulanmış; çerez politikalarının Kanun'a uygun hale getirilmesi, aydınlatma metinlerinin düzeltilmesi ve yurt dışı aktarımı için usulüne uygun açık rıza alınması talimatlandırılmıştır.
Şikayette, ilgili kişinin üniversite tıp merkezinde aldığı terapi kayıtlarının boşanma davası kapsamında mahkemeye gönderilirken gizlilik önlemi alınmadığı ve bu kayıtların UYAP'a yüklenerek üçüncü kişilerin erişimine açıldığı iddia edilmiştir. Kurul, mahkeme müzekkeresine cevaben hasta dosyasının gönderilmesinin 6100 sayılı HMK'nın 221'inci maddesi kapsamında zorunlu olduğunu ve KVKK m.8/3 "kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır" kapsamında olduğunu tespit etmiştir. Mahkeme tarafından UYAP'a yükleme işlemlerinin KVKK m.28/1(d) kapsamında yargı makamlarının kişisel veri işlemesi olarak Kanun kapsamı dışında olduğu değerlendirilerek veri sorumlusu tıp merkezi hakkında yapılacak işlem bulunmadığına; ancak gizlilik esaslarına riayet edilerek gönderim yapılması gerektiği yönünde hatırlatma yapılmasına karar verilmiştir.
Şikayette, ilgili kişinin yüklenici firma bünyesinde sayaç okuma personeli olarak çalışırken rüşvet istediğine dair ses kaydının veri sorumlusu tarafından işlendiği ve mahkemeye sunulduğu iddia edilmiştir. Kurul, müşteri tarafından alınan ses kaydının suç teşkil edebilecek bir eylemin tespitine ilişkin olduğunu, başka türlü delil ile ispat imkanı bulunmadığı ani gelişen durumlarda alınan kayıtların hukuka uygun delil niteliği taşıdığını ve Yargıtay içtihatlarıyla da bu görüşün benimsendiğini tespit etmiştir. Ses kaydının KVKK m.5/2(e) "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" kapsamında hukuka uygun olarak işlendiği ve mahkemeye aktarıldığı değerlendirilerek veri sorumlusu hakkında yapılacak işlem bulunmadığına karar verilmiştir.
Şikayette, ilgili kişinin Borsa İstanbul'daki hisselerinin satılabilir hale getirilmesi sürecinde ad ve soyadının Kamuyu Aydınlatma Platformu'nda (KAP) yayımlandığı iddia edilmiştir. Kurul, Pay Tebliği'nin 15'inci maddesinin 3'üncü fıkrasında "MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur" hükmünün yer aldığını tespit etmiştir. Kişisel veri işleme faaliyetinin Pay Tebliği uyarınca KVKK m.5/2(ç) "hukuki yükümlülüğün yerine getirilmesi" kapsamında zorunlu olarak gerçekleştirildiği değerlendirilerek veri sorumlusu MKK hakkında yapılacak işlem bulunmadığına karar verilmiştir.
Şikayette, ilgili kişinin kişisel verilerinin KKB Kredi Kayıt Bürosu'na aktarılmasına ilişkin açık rızasını geri çekme talebinin veri sorumlusu banka tarafından reddedildiği iddia edilmiştir. Kurul, 5411 sayılı Bankacılık Kanunu'nun 73/4 ve Ek 1'inci maddesi ile Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik kapsamında bankaların Risk Merkezi ile veri paylaşımının sır saklama yükümlülüğünden istisna olduğunu tespit etmiştir. Kişisel verilerin KKB'ye aktarılmasının KVKK m.5/2(a), (c), (ç) ve (f) bentlerine dayandığı ve açık rızanın geri çekilmesinin bu kapsamda hukuken geçerli olmadığı değerlendirilerek veri sorumlusu hakkında yapılacak işlem bulunmadığına; ancak başvuru ret gerekçelerinin açıklanması gerektiğinin hatırlatılmasına karar verilmiştir.
Şikayette, veri sorumlusu okul tarafından kira uyuşmazlığı nedeniyle ilgili kişilerin açık rızası olmadan ses ve görüntü kaydı alındığı iddia edilmiştir. Kurul, görüntü kaydının güvenlik amacıyla KVKK m.5/2(ç) ve (f) kapsamında meşru olduğunu, ancak ses kaydının güvenlik gerekçesiyle meşru menfaat kapsamında değerlendirilemeyeceğini tespit etmiştir. Ses kaydının alınmasının KVKK m.5'teki işleme şartlarına dayanmadığı ve aydınlatma yükümlülüğünün yerine getirilmediği değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 200.000 TL ve KVKK m.18/1(a) uyarınca 30.000 TL olmak üzere toplam 230.000 TL idari para cezası uygulanmış; ses verilerinin imha edilmesi talimatlandırılmıştır.
Şikayette, ilgili kişinin araç kiralama şirketinin internet sitesine giriş yaparken başka bir kullanıcının T.C. kimlik numarası, ehliyet ve iletişim bilgilerine eriştiği iddia edilmiştir. Kurul, veri sorumlusunun sistemindeki algoritma hatasının dört farklı kişinin kişisel verilerinin yetkisiz erişime açık hale gelmesine neden olduğunu ve Kuruma veri ihlal bildiriminde bulunulmadığını tespit etmiştir. KVKK m.12 kapsamında kişisel verilere hukuka aykırı erişimi önleme yükümlülüğünün yerine getirilmediği değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 200.000 TL idari para cezası uygulanmış ve veri ihlal bildirimi yükümlülüğü hatırlatılmıştır.
Şikayette, ilgili kişinin kendisine ve çocuklarına ait DNA test raporlarının e-posta adresine hukuka aykırı olarak erişilerek veri sorumlusu avukat tarafından ele geçirildiği ve alacak davasında aleyhine kullanıldığı iddia edilmiştir. Kurul, DNA raporlarının ilgili kişinin çocuklarına da ait olması nedeniyle çocuklarla ortak kişisel veri niteliğinde olduğunu, raporun verilere hukuka aykırı erişildiğine dair tevsik edici belge sunulmadığını tespit etmiştir. Genetik verilerin, çocukların vekili olan avukat tarafından işlenmesinin ve mahkemeye aktarılmasının, 1136 sayılı Avukatlık Kanunu ve HMK m.219 kapsamında KVKK m.6/3 ve m.8'e uygun olduğu değerlendirilerek veri sorumlusu hakkında yapılacak işlem bulunmadığına karar verilmiştir.
Kurul, yemek kartı hizmeti sunan veri sorumlusunun mobil uygulamasına kayıt olurken T.C. kimlik numarası istendiğine ilişkin ihbar üzerine resen inceleme başlatmıştır. İncelemede, fiziksel yemek kartlarının mobil uygulamaya eklenmesinde doğrulama için T.C. kimlik numarası işlendiği tespit edilmiştir. Kurul, T.C. kimlik numarasının telefon numarasına göre daha hassas bir veri olduğunu ve veri ihlali halinde daha büyük zarara yol açacağını, işveren aracılığıyla kart ve telefon bilgisiyle doğrulama yapılmasının mümkün olduğunu değerlendirmiştir. Veri sorumlusuna KVKK m.18/1(b) uyarınca 200.000 TL idari para cezası uygulanmış; T.C. kimlik numarası işlenmeden doğrulama yapılması ve mevcut verilerin imha edilmesi talimatlandırılmıştır.
Şikayette, veri sorumlusu şirketin iş yerindeki mescitte kamera ile ibadet eden çalışanların görüntülerini kaydettiği, açık rızanın özgür iradeyle alınmadığı ve ayrımcılık yapıldığı iddia edilmiştir. Kurul, mescitteki kamera kaydının ilgili kişinin dini inancına ilişkin özel nitelikli kişisel veri işleme olduğunu, açık rızanın işten çıkarılma korkusuyla geriye dönük olarak imzalatıldığını ve özgür iradeyi yansıtmadığını tespit etmiştir. İbadethanenin kamera ile izlenmesinin KVKK m.4'teki "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğu değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 300.000 TL idari para cezası uygulanmış; veri işlemenin durdurulması ve verilerin imha edilmesi talimatlandırılmıştır.
Şikayette, veri sorumlusu otelin hazırladığı Housekeeping Task Sheet belgesinin sosyal medya üzerinden üçüncü bir kişi tarafından ilgili kişiye gönderildiği ve aydınlatma yükümlülüğünün yerine getirilmediği iddia edilmiştir. Kurul, belgede müşteri isim ve soyadına yer verilmesinin KVKK m.4/2(ç)'deki "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğunu ve verilerin üçüncü kişilerce elde edilmesinin yeterli teknik ve idari tedbirlerin alınmamış olmasından kaynaklandığını tespit etmiştir. Veri sorumlusuna KVKK m.18/1(b) uyarınca 500.000 TL idari para cezası uygulanmış; belgelerin düzenlenmesi, aydınlatma metinlerinin uyumlu hale getirilmesi ve açık rızanın ayrıca alınması talimatlandırılmıştır.
Şikayette, ilgili kişinin veri sorumlusu şirketten ayrıldıktan sonra eski e-posta adresine gelen iletilerin veri sorumlusu tarafından okunmaya devam ettiği iddia edilmiştir. Kurul, ilgili kişinin pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiğini ve bu iletilerin "tanımsız mail" olarak yönetici e-postasına düştüğünü, e-posta verilerinin kişisel veri niteliği taşıdığını tespit etmiştir. Söz konusu kişisel veri işleme faaliyetinin KVKK m.5'teki herhangi bir işleme şartına dayanmadığı değerlendirilerek veri sorumlusuna KVKK m.18 uyarınca 50.000 TL idari para cezası uygulanmış; sistemin düzeltilmesi ve verilerin imha edilmesi talimatlandırılmıştır.
Şikayette, ilgili kişinin havayolu firmasının mobil uygulamasından check-in yaparken tanımadığı dört kişinin kişisel verilerini (kimlik, pasaport, vize bilgileri) gördüğü iddia edilmiştir. Kurul, veri sorumlusunun PNR + soyadı kombinasyonu ile erişim sağlandığını beyan etmesine rağmen, ilgili kişinin ekran görüntülerinde farklı soyadlı kişilerin verilerinin görüldüğünü tespit etmiştir. KVKK m.12/1 kapsamında kişisel verilerin hukuka aykırı erişimini önlemeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı ve veri ihlali bildiriminin yapılmadığı değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 300.000 TL idari para cezası uygulanmış ve ilave teknik tedbirler alınması talimatlandırılmıştır.
Şikayette, veri sorumlusu bankanın mobil bankacılık uygulamasından kurumsal hesap için dijital parola alınırken yüz verilerinin işlenmesine rıza verilmediği durumda hizmetin sağlanamadığı iddia edilmiştir. Kurul, şikayet tarihinde kurumsal müşteriler için mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verisi ile dijital parola alınabildiğini, ancak şube ve telefon bankacılığı kanallarının alternatif olarak mevcut olduğunu ve bu hususun internet sitesinde belirtildiğini tespit etmiştir. Hizmetin şarta bağlanmadığı değerlendirilerek veri sorumlusu hakkında işlem yapılmasına yer olmadığına; ancak rıza vermeyen müşterilere alternatif kanallar hakkında açık bilgilendirme yapılması gerektiği yönünde uyarıda bulunulmasına karar verilmiştir.
Şikayette, araç kiralama şirketinin ilgili kişiden Findeks raporu talep ettiği ve bu rapor verilmeden araç teslim edilmeyerek rezervasyonun iptal edildiği iddia edilmiştir. Kurul, veri sorumlusunun internet sitesinde Findeks sorgulaması yapıldığının açıkça belirtildiğini ve Findeks raporu bilgilerinin işlenmesinin ancak KVKK m.5/1 kapsamında açık rıza ile mümkün olduğunu tespit etmiştir. Hizmetin açık rıza şartına bağlanmasının özgür iradeyi ortadan kaldırdığı değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 100.000 TL idari para cezası uygulanmış; başvuruların usulüne uygun yanıtlanması ve verilerin imha edilmesi gerektiği hatırlatılmıştır.
Şikayette, eczacının Medula sisteminden ilgili kişinin hastane rapor ve ilaç kayıtlarını alarak boşandığı eşine verdiği iddia edilmiştir. Kurul, eczacının Medula sistemi kapsamında veri işleyen sıfatını haiz olduğunu, ancak bu sistemin işlevi dışında verileri üçüncü kişilerle paylaşması halinde veri sorumlusu sıfatını kazanacağını değerlendirmiştir. Eczacının, çalışanının seçimi ve denetiminde gerekli özeni göstermediği, ilgili kişinin sağlık verilerini KVKK m.6'daki şartlara dayanmadan paylaştığı tespit edilmiştir. Veri sorumlusu eczacıya KVKK m.18/1(b) uyarınca 50.000 TL idari para cezası uygulanmış ve özel nitelikli kişisel verilerin korunmasına ilişkin uyarıda bulunulmuştur.
Şikayette, veri sorumlusunun internet sitesinden şeker ölçüm cihazı satın alabilmek için yurt dışına veri aktarımına açık rıza verilmesinin zorunlu tutulduğu iddia edilmiştir. Kurul, internet sitesi üzerinden satışta açık rıza alınmakla birlikte, müşteri hizmetleri aracılığıyla alternatif satış kanalının mevcut olduğunu ve bu kanalın ek maliyet öngörmediğini tespit etmiştir. Hizmetin açık rıza şartına bağlanmadığı değerlendirilmiş; ancak alternatif satış kanalının anlaşılır biçimde gösterilmesi için veri sorumlusunun talimatlandırılmasına karar verilmiştir. Gizlilik metinlerinin işaretlenmesi şartı aydınlatma yükümlülüğü kapsamında değerlendirilmiş ve Kanun'a aykırılık bulunmamıştır.
İlgili kişinin m. 11 kapsamındaki başvurusuna süresinde cevap verilmemesi değerlendirilmiştir. Tespitler: İlgili kişi, verilerinin silinmesi talebinde bulunmuştur Veri sorumlusu 30 günlük sürede cevap vermemiştir Kurul'a şikayet sonrası veri sorumlusu cevap vermiştir Sonuç: m. 13/2'deki süreye uyulmaması nedeniyle idari para cezası uygulanmıştır. Silme talebinin yerine getirilmesi emredilmiştir.
Şikayette, ilgili kişinin veri sorumlusu bankaya sanal kartının kopyalandığı iddiasıyla yaptığı başvurunun yanıtsız bırakıldığı ve müşteri temsilcisi ile görüşme kaydının paylaşılmadığı iddia edilmiştir. Kurul, bankanın sır saklama yükümlülüğünün üçüncü kişilere bilgi verilmemesini gerektirdiğini, ancak KVKK m.11/1(b) kapsamında ilgili kişilerin kendi verilerine erişim hakkının bulunduğunu değerlendirmiştir. Görüşme dökümünün, üçüncü kişi verileri maskelenerek ilgili kişiye gönderilmesi ve başvuruların KVKK m.13 ile Tebliğ hükümlerine uygun şekilde yanıtlanması gerektiği yönünde veri sorumlusu talimatlandırılmıştır.
Şikayette, üniversite öğrencisi olan ilgili kişinin kendisine tahsis edilen kurumsal e-posta adresine istemediği günlük duyuru e-postaları gönderildiği ve gönderim listesinden çıkarılma talebinin reddedildiği iddia edilmiştir. Kurul, e-postaların içeriğinde öğretim hakkıyla ilgili akademik ve idari duyurular, kampüs etkinlikleri, iş sağlığı ve güvenliği ile bilgi güvenliği bilgilendirmelerine yer verildiğini tespit etmiştir. İlgili kişinin kişisel verisi niteliğindeki kurumsal e-posta adresine gönderim yapılmasının KVKK m.5/2(f) "veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" kapsamında olduğu değerlendirilerek veri sorumlusu hakkında işlem yapılmasına yer olmadığına; ancak aydınlatma metninde bu hususa yer verilmek üzere güncelleme yapılması talimatlandırılmıştır.
Şikayette, ilgili kişinin veri sorumlusu bankaya kredi başvurusunda bulunduğu, bankaya verdiği telefon numarası dışında sistemde kayıtlı olmayan başka bir telefon numarasına da kredi işlemiyle ilgili mesaj gönderildiği iddia edilmiştir. Kurul, bankanın Kredi Kayıt Bürosu'ndan (KKB) temin ettiği alternatif iletişim bilgisini, dolandırıcılığın önlenmesi ve başvuru güvenliğinin sağlanması amacıyla kullandığını, Bankacılık Bilgi Sistemleri Yönetmeliği'nin 36'ncı maddesi uyarınca riskli işlemleri tespit etme yükümlülüğünün bulunduğunu tespit etmiştir. Söz konusu kişisel veri işleme faaliyetinin KVKK m.5/2(a) "kanunlarda açıkça öngörülmesi" ve m.5/2(ç) "hukuki yükümlülüğün yerine getirilmesi" kapsamında olduğu değerlendirilerek veri sorumlusu hakkında işlem yapılmasına yer olmadığına karar verilmiştir.
Şikayette, veri sorumlusu otopark işletmecisinin ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlattığı, araç ruhsat bilgilerinin nasıl temin edildiğinin belirsiz olduğu ve internet sitesinde plaka sorgusuyla borç bilgisine alenen ulaşılabildiği iddia edilmiştir. Kurul, otopark hizmetinden yararlanan ilgili kişinin kimlik bilgilerine ulaşılmasının ve aracın fotoğraflarının dava dosyasına sunulmasının KVKK m.5/2(e) "bir hakkın tesisi, kullanılması veya korunması" kapsamında olduğunu tespit etmiştir. Ancak yalnızca plaka ile tek kademeli sorgulama yapılmasının veri güvenliği açısından yetersiz olduğu ve aydınlatma yükümlülüğünün yerine getirilmediği değerlendirilerek veri sorumlusuna KVKK m.18/1(a) uyarınca 75.000 TL idari para cezası uygulanmış; çift faktörlü doğrulama sistemi kurulması talimatlandırılmıştır.
Şikayette, üniversite rektörü tarafından gönderilen toplu e-posta ekinde ilgili kişilere ve üçüncü kişilere ait telefon numaraları, e-posta adresleri, HES kodları, aşı bilgileri ve risk durumu gibi kişisel ve özel nitelikli verilerin paylaşıldığı iddia edilmiştir. Kurul, söz konusu Excel dosyasının sehven değil, daha önceki e-postada da benzer paylaşım yapıldığından kasıtlı olarak gönderildiğini, sağlık verilerinin KVKK m.6'daki işleme şartlarına dayanmadan üçüncü kişilerle paylaşıldığını tespit etmiştir. Veri ihlali niteliği taşıyan söz konusu olay için Kurula bildirim yapılmadığı değerlendirilerek KVKK m.18/3 uyarınca veri sorumlusu bünyesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılması ve Kurula bilgi verilmesi talimatlandırılmıştır.
Şikayette, veri sorumlusu havayolu şirketinin özel yolcu programında biriken millerin görüntülenmesi için pazarlama faaliyetlerinde kullanılmaya ilişkin kutucuğun işaretlenmesinin zorunlu tutulduğu iddia edilmiştir. Kurul, özel yolcu programının bir sadakat programı olduğunu, ilgili kişinin programa katılmaksızın da temel hizmet olan uçak bileti satışından faydalanabildiğini ve biriken millerin çağrı merkezi, web sitesi veya satış ofisleri üzerinden de görüntülenebildiğini tespit etmiştir. Ek menfaatlerin açık rıza koşuluna bağlanmasının özgür iradeyi ortadan kaldırmayacağı, Kurulun 2019/198 sayılı Kararında da bu hususun değerlendirildiği ve açık rızanın koşul olarak dayatılması niteliği taşımadığı değerlendirilerek veri sorumlusu hakkında işlem yapılmasına yer olmadığına karar verilmiştir.
Şikayette, ilgili kişinin kişisel verilerinin KOOPBİS'e hukuka aykırı işlendiği, kooperatif ortaklığından noter ihtarnamesiyle ayrılmasına rağmen genel kurul davetiyesi gönderilmeye devam edildiği ve imha talebinin yerine getirilmediği iddia edilmiştir. Kurul, KOOPBİS'in veri kayıt sisteminin kurulmasından Ticaret Bakanlığının sorumlu olduğunu, 1163 sayılı Kooperatifler Kanunu'nun 13'üncü maddesi uyarınca noter bildirimi tarihinden itibaren ortaklığın sona erdiğini tespit etmiştir. Kooperatif ortaklığından ayrılmasına rağmen ilgili kişinin kişisel verilerinin KVKK m.5'teki işleme şartlarına dayanmadan işlenmeye devam edildiği değerlendirilerek veri sorumlusu kooperatife KVKK m.18/1(b) uyarınca 50.000 TL idari para cezası uygulanmış; başvuruların süresinde sonuçlandırılması gerektiği hatırlatılmıştır.
Şikayette, veri sorumlusu kargo şirketinin kuryesi tarafından kargo teslimatı sonrasında ilgili kişinin cep telefonu numarasına taciz içerikli mesaj gönderildiği iddia edilmiştir. Kurul, eylemi gerçekleştiren kişinin veri sorumlusu adına geçici olarak çalıştığını, TBK m.66 ve İş Kanunu m.2 uyarınca veri sorumlusunun sorumluluğunun bulunduğunu tespit etmiştir. Söz konusu kişiye kişisel verilerin korunması konusunda eğitim verilmediği ve bilgilendirme yapılmadığı, KVKK m.5'teki işleme şartlarına dayanılmadan cep telefonu numarasının hukuka aykırı paylaşıldığı değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 250.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişilerin özel hastanede yaşadıkları sağlık sorununa ilişkin özel nitelikli kişisel verilerinin gazetede haberleştirildiği ve bu haberin çok sayıda internet sitesinde yayımlandığı iddia edilmiştir. Kurul, haberde olayın bir gazete haberinin gerektirdiğinden fazla detay ile anlatıldığını, ilgili kişilerin sağlık sorununa ilişkin tüm detaylar, sarf edilen sözler gibi bilgilerin özel hayatın gizliliğini ihlal ettiğini tespit etmiştir. KVKK m.28/1(c)'deki ifade özgürlüğü istisnasının kişilik haklarını ihlal etmemek kaydıyla geçerli olduğu, özle biçim arasındaki dengenin korunmadığı değerlendirilerek veri sorumlusu gazete hakkında KVKK m.18/1(b) uyarınca 100.000 TL idari para cezası uygulanmıştır.
İhbarda, özel hastanenin hastalara imzalattığı onam formlarında görüntü ve videoların reklam ve tanıtım amacıyla paylaşılmasına açık rıza istendiği ve bu verilerin sosyal medyada yayımlandığı iddia edilmiştir. Kurul, Özel Hastaneler Yönetmeliği'nin 60'ıncı maddesinde özel hastanelerin talep yaratmaya yönelik reklam yapmasının yasak olduğunu, açık rıza bulunsa dahi sektörel düzenlemeye aykırı veri işlemenin meşru olmadığını tespit etmiştir. Toplum bilinci oluşturma amacının kişisel veri işlenmeden de gerçekleştirilebileceği ve ölçülülük ilkesine aykırılık bulunduğu değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 250.000 TL idari para cezası uygulanmış; verilerin imha edilmesi talimatlandırılmıştır.
İhbarda, sağlık kuruluşunun internet sitesinden randevu alınırken tanıtım amacıyla kişisel veri işlemeye açık rıza verilmesinin zorunlu tutulduğu iddia edilmiştir. Kurul, ihbar tarihinde tanıtım kutucuğu işaretlenmeden randevu işleminin tamamlanamadığını, ancak inceleme başladıktan sonra veri sorumlusunun bu durumu düzelttiğini tespit etmiştir. Sağlık hizmetiyle doğrudan bağlantılı olmayan tanıtım faaliyetine yönelik açık rızanın zorunlu tutulmasının KVKK m.4'teki "hukuka ve dürüstlük kurallarına uygunluk" ilkesine aykırı olduğu ve özgür iradenin sakatlandığı değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 300.000 TL idari para cezası uygulanmış; aydınlatma ve açık rıza metinlerinin düzenlenmesi talimatlandırılmıştır.
Şikayette, veri sorumlusu tıp merkezi çalışanı hekimin e-Nabız sistemi üzerinden ilgili kişinin sağlık verilerine yetkisiz ve onaysız eriştiği iddia edilmiştir. Kurul, hekimin e-imza şifresini sekreteri ile paylaştığını, sekreterin de bir tanıdığının talebiyle ilgili kişinin e-Nabız bilgilerini sorguladığını tespit etmiştir. İlgili kişinin e-Nabız gizlilik ayarlarını "Tüm Hekimler Görsün" şeklinde ayarlamış olmasının, herhangi bir hekime amacı dışında verilere erişim hakkı vermediği, KVKK m.6'daki işleme şartlarına dayanılmadan özel nitelikli kişisel verilere erişildiği değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 200.000 TL idari para cezası uygulanmıştır.
Şikayette, üniversite fakülte dekanı tarafından gönderilen e-posta ekinde ilgili kişinin ve tüm öğretim üyelerinin sicil numaraları, çalıştıkları birim ve izin durumlarını gösteren verilerin tüm personelle paylaşıldığı iddia edilmiştir. Kurul, izin kullanımı hususunda uyarı amacıyla kişisel verilerin birimde görevli diğer tüm personelle paylaşılmasının gereklilik arz etmediğini ve yalnızca ilgili kişinin muhatap alınarak alternatif süreçlerin işletilebileceğini tespit etmiştir. Söz konusu veri paylaşımının KVKK m.5'teki işleme şartlarından herhangi birine dayanmadığı ve m.12/1'e aykırılık teşkil ettiği değerlendirilerek KVKK m.18/3 uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması talimatlandırılmıştır.
Şikayette, veri sorumlusu e-ticaret sitesinde alışveriş yapabilmek için kredi/banka kartı bilgilerinin zorunlu olarak kaydedilmesinin talep edildiği iddia edilmiştir. Kurul, alışverişin tamamlanması için girilen kart bilgilerinin işlem sonrasında cüzdan bölümünde kayıtlı olmaya devam ettiğini, EDPB'nin 02/2021 sayılı Tavsiye Kararında sonraki alışverişleri kolaylaştırmak amacıyla kart bilgilerinin işlenmesinde dayanılması gereken işleme şartının açık rıza olduğunun belirtildiğini tespit etmiştir. Veri sorumlusunun kart bilgilerini zorunlu olarak kaydettirmesinin KVKK m.4/2'deki genel ilkelere ve m.5'teki işleme şartlarına aykırı olduğu değerlendirilerek KVKK m.18/1(b) uyarınca 500.000 TL idari para cezası uygulanmış; açık rızaya dayalı kayıt sistemi geliştirilmesi talimatlandırılmıştır.
Şikayette, kripto varlık hizmet sağlayıcısı olan veri sorumlusunun üyelik seviyesinin yükseltilmesi için kimlik belgesinin ön ve arka yüzü fotoğrafı ile birlikte kişinin kendi fotoğrafını talep ettiği ve ölçüsüz veri işleme yapıldığı iddia edilmiştir. Kurul, veri sorumlusunun 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve Tedbirler Hakkında Yönetmelik kapsamında yükümlü olduğunu, müşteri tanıma yükümlülüğü çerçevesinde kimlik tespiti yapmasının zorunlu olduğunu tespit etmiştir. Kullanıcının kimliğinin tespit edilmesinde kamusal bir menfaat bulunduğu ve kişisel verilerin işlenmesinin KVKK m.5/2(a) "kanunlarda açıkça öngörülmesi" kapsamında olduğu değerlendirilerek veri sorumlusu hakkında yapılacak işlem bulunmadığına karar verilmiştir.
Şikayette, avukatlık ortaklığının vekili olduğu şirketin borç takibi kapsamında ilgili kişiye beş kez kısa mesaj gönderdiği ve aydınlatma yükümlülüğünün yerine getirilmediği iddia edilmiştir. Kurul, avukatlık ortaklığının Şirketten aldığı vekalete dayanarak icra takibi öncesi borç bilgilendirmesi yapmasının KVKK m.5/2(e) "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" kapsamında olduğunu tespit etmiştir. Ayda bir kez, hafta içi mesai saatlerinde gönderilen mesajların KVKK m.4/2(a) "hukuka ve dürüstlük kuralına uygunluk" ve m.4/2(ç) "ölçülülük" ilkelerine aykırı olmadığı değerlendirilerek veri sorumlusu hakkında yapılacak işlem bulunmadığına karar verilmiştir.
Kurul, tüketici finansman kredisiyle alışveriş yapan müşterilerden e-Devlet şifresi talep edildiğine ilişkin ihbarlar üzerine resen inceleme başlatmıştır. İncelemede, veri sorumlusunun müşterilerden kredi değerlendirmesi için sigorta hizmet dökümünü e-Devlet üzerinden temin etmelerini istediği ve bu amaçla e-Devlet şifresi ile şubeye davet edildiğine dair kısa mesajlar gönderildiği tespit edilmiştir. e-Devlet şifresinin ele geçirilmesi halinde kişilerin tüm verilerine erişim sağlanabilecek ciddi riskler oluştuğu, veri sorumlusunun savunmalarının tutarlılık içermediği ve kamuoyunda çok sayıda benzer şikayet bulunduğu değerlendirilerek KVKK m.18/1(b) uyarınca 400.000 TL idari para cezası uygulanmış; hukuka aykırı işlenen verilerin imha edilmesi talimatlandırılmıştır.
Kurul, TikTok uygulaması hakkında internet ve sosyal medyada yer alan açık rıza, veri güvenliği ve gizlilik açıklarına ilişkin haberler üzerine resen inceleme başlatmıştır. İncelemede, 2021 öncesinde 13-15 yaş arası kullanıcıların profillerinin varsayılan olarak herkese açık olduğu, 13 yaş altı çocuklardan uygun ebeveyn izni olmadan veri toplandığı, Gizlilik Politikasında hangi verilerin hangi amaçla işlendiğinin net belirtilmediği, açık rızanın aydınlatmadan ayrı alınmadığı ve profilleme için çerez kullanımında açık rıza alınmadığı tespit edilmiştir. Veri sorumlusuna KVKK m.18/1(b) uyarınca 1.750.000 TL idari para cezası uygulanmış; Hizmet Koşullarının Türkçeye çevrilmesi, Gizlilik Politikasının düzeltilmesi ve usulüne uygun aydınlatma yapılması talimatlandırılmıştır.
Şikayette, belediye meclis toplantısında belediye başkanı tarafından ilgili kişinin dava sürecine ilişkin bilgilerinin paylaşıldığı ve toplantı kaydının sosyal medyada yayımlandığı iddia edilmiştir. Kurul, ilgili kişinin eski meclis üyesi olduğunu, 5393 sayılı Belediye Kanunu'nun 20'nci maddesinde meclis toplantılarının sesli ve görüntülü cihazlarla kaydedilebileceğinin öngörüldüğünü ve Belediye Meclisi Çalışma Yönetmeliği'nin 11'inci maddesinde toplantıların halka açık olduğunun düzenlendiğini tespit etmiştir. Kamuoyunun konuya ilişkin bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu değerlendirilerek video kaydının yayımlanmasının KVKK m.5/2(ç) "hukuki yükümlülüğün yerine getirilmesi" kapsamında olduğuna ve belediye başkanlığı hakkında yapılacak işlem bulunmadığına karar verilmiştir.
Şikayette, ilgili kişinin iş akdinin feshedildiği, fesih gerekçesi olarak şirket e-posta hesabından kişisel e-postasına ilettiği verilerin ve gizlice kaydedilen telefon görüşmesinin gösterildiği, e-posta denetiminin hukuka aykırı olduğu iddia edilmiştir. Kurul, veri sorumlusunun e-posta denetimi aracılığıyla gerçekleştirilen veri işleme hakkında ilgili kişiye aydınlatma yaptığını, şirket bilgilerinin dışarı aktarılmasının tespiti amacıyla denetim yapmasında meşru menfaatinin bulunduğunu tespit etmiştir. AYM ve AİHM kararlarında belirlenen kriterlere uygun olarak şüpheli konulu e-postaların tespit edildikten sonra içerik denetimine geçilmesinin KVKK m.5/2(e) ve (f) kapsamında ve m.4/2(ç)'deki ölçülülük ilkesine uygun olduğu değerlendirilerek veri sorumlusu hakkında işlem yapılmasına yer olmadığına karar verilmiştir.
Şikayette, GSM operatörü tarafından ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin ad-soyadı ve borç bilgilerini içeren kısa mesaj gönderildiği ve bu suretle üçüncü kişilerle kişisel verilerin paylaşıldığı iddia edilmiştir. Kurul, kurumsal iletişim numaralarının ilgili kişinin bireysel sözleşmelerinde iletişim numarası olarak kullanılmasının KVKK m.4/2(b)'deki "doğru ve güncel olma" ilkesine aykırı olduğunu tespit etmiştir. Veri sorumlusu GSM operatörünün hatalı veri paylaşması nedeniyle borca konu işlemle ilgisi olmayan üçüncü kişilerle kişisel verilerin paylaşıldığı değerlendirilerek KVKK m.18/1(b) uyarınca 85.000 TL idari para cezası uygulanmış; veri işleyen avukatlık ortaklığı hakkında ise işlem yapılmasına yer olmadığına karar verilmiştir.
Şikayette, ilgili kişinin banka hesabına ilişkin ekstre ve anlık hesap hareketlerinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği iddia edilmiştir. Kurul, şikayete konu e-posta adresinin ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığını, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında formu imzalayarak e-posta adresini onayladığını ve başvuru üzerine bankanın hemen düzeltme yaptığını tespit etmiştir. Veri sorumlusu bankanın özen yükümlülüğü çerçevesinde hareket ettiği değerlendirilerek hakkında işlem yapılmasına yer olmadığına; ancak Kurulun 2020/966 sayılı İlke Kararı doğrultusunda iletişim bilgilerinin belirli periyotlarla doğrulanması hususunda uyarılmasına karar verilmiştir.
Şikayette, veri sorumlusu kargo firmasının barkodlama hatası nedeniyle ilgili kişiye ait kargo paketini üçüncü kişiye, üçüncü kişiye ait paketi ise ilgili kişiye teslim ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak paylaşıldığı iddia edilmiştir. Kurul, çapraz barkodlama hatası nedeniyle gerçekleşen veri paylaşımının KVKK m.5'teki herhangi bir işleme şartına dayanmadığını ve KVKK m.12/1 kapsamında kişisel verilerin hukuka aykırı işlenmesini önleme yükümlülüğünün yerine getirilmediğini tespit etmiştir. Söz konusu durumun veri ihlali olmasına rağmen Kurula bildirimde bulunulmadığı değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 75.000 TL idari para cezası uygulanmıştır.
Şikayette, spor salonunun üyelerden sağlık verileri (kan grubu), biyometrik veriler (parmak izi) ve kamera görüntüleri işlediği ancak aydınlatma yapılmadığı ve açık rıza alınmadığı iddia edilmiştir. Kurul, üyelik sözleşmesinde özel nitelikli kişisel veri olan kan grubu bilgisinin işlendiğini ancak açık rıza alınmadığını, aydınlatma metninin sözleşmeden ayrı olarak sunulmadığını tespit etmiştir. Veri sorumlusunun Kanun'un 12/1 kapsamındaki yükümlülüklerini yerine getirmediği değerlendirilerek, çok sayıda üyenin verisinin işlenmesi ve özel nitelikli verilerin bulunması riski dikkate alınarak Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmış, aydınlatma ve açık rıza metinlerinin düzenlenmesi hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, oyun platformunun internet sitesinde çerez işleme süreçleriyle ilgili aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı iddia edilmiştir. Kurul, sitede çok sayıda çerezin mevcut olduğunu, herhangi bir aydınlatma yapılmadığını ve reklam/istatistik amaçlı çerezler için açık rıza alınmadığını tespit etmiştir. Kesinlikle gerekli çerezler dışındaki çerezler için "opt-in" mekanizmasıyla açık rıza alınması gerektiği, veri sorumlusunun Kanun'un 12/1 kapsamındaki yükümlülüklerini yerine getirmediği değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 300.000 TL idari para cezası uygulanmış ve aydınlatma yükümlülüğünün yerine getirilmesi hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, icra takibi kapsamında borçlunun oğlunun cep telefonu numarasının veri sorumlusu avukat tarafından aranarak borca ilişkin bilgi verildiği iddia edilmiştir. Kurul, haciz tutanağından borçlunun oğlunun haciz mahallinde bulunduğu, yediemin olarak tayin edildiği ve borç bilgisinden zaten haberdar olduğunu tespit etmiştir. Kanun'un 5/2(e) bendi uyarınca "bir hakkın tesisi, kullanılması veya korunması" amacıyla oğlunun cep telefonu numarasının işlenmesinin hukuka uygun olduğuna karar verilmiştir. Ancak veri sorumlusunun başvurularda özel yetki talep ederek başvuruları zorlaştırmaması hususunda uyarılmasına karar verilmiştir.
Şikayette, döviz bürosunda hatalı işlem sonucu fazla ödeme yapılan ilgili kişinin görüntülerinin yerel TV kanalına aktarılarak yayınlandığı iddia edilmiştir. Kurul, döviz bürolarında kamera bulundurulmasının Türk Parası Kıymetini Koruma Tebliği gereği zorunlu olduğunu ve aydınlatma levhalarının asılı olduğunu tespit etmiştir. Fazla ödemenin iadesini sağlamak amacıyla, yalnızca göz çevresi ve siluetin göründüğü görüntülerin ilan amacıyla TV kanalına aktarılmasının Kanun'un 5/2(f) bendi kapsamında "veri sorumlusunun meşru menfaatleri için zorunlu olması" şartına uygun olduğuna ve ilgili kişinin temel hak ve özgürlüklerine zarar vermediğine karar verilmiştir. Her iki şikayet hakkında Kanun kapsamında yapılacak işlem olmadığına karar verilmiştir.
Şikayette, ilgili kişinin adıyla veri sorumlusu arama motorunda yapılan aramada Resmi Gazete'de yayınlanan beraat kararına ilişkin sayfanın çıktığı ve unutulma hakkı kapsamında bu sonucun indeksten çıkarılması talep edilmiştir. Kurul, 23/06/2020 tarihli ve 2020/481 sayılı kararında belirlenen kriterler çerçevesinde değerlendirme yaparak; içeriğin 20 yılı aşkın süre öncesine ait olması nedeniyle güncelliğini yitirdiğini, tebligat amacının gerçekleştiğini, beraat kararı olsa bile önyargıya sebep olabileceğini ve kamu yararı bulunmadığını tespit etmiştir. URL adresinin ilgili kişinin ad ve soyadıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, mobilya-dekorasyon şirketinde çalışan ilgili kişinin iş akdinin feshinden sonra da görüntülerinin TV reklamlarında ve sosyal medyada kullanıldığı, cep telefonu numarasının kargo süreçlerinde işlendiği ve satış işlemlerinde işlem yetkilisi olarak gösterildiği iddia edilmiştir. Kurul, iş akdi feshedilmiş bir çalışanın kişisel verilerinin reklam/pazarlama amacıyla kullanılmaya devam edilmesinin Kanun'un 4/2(b) "doğru ve gerektiğinde güncel olma" ilkesine aykırı olduğunu tespit etmiştir. Veri sorumlusunun Kanun'un 12/1(a) bendindeki yükümlülüklerini yerine getirmediği, negatif sonuç doğurma riskinin yüksek olduğu değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 250.000 TL idari para cezası uygulanmış ve hukuka aykırı işlenen verilerin imha edilmesi hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, ilaç sektöründe faaliyet gösteren bir şirketin çalışanı tarafından ilgili kişiye reklam amaçlı e-posta gönderildiği ve e-posta adresinin ecza depoları vasıtasıyla paylaşıldığı iddia edilmiştir. Kurul, veri sorumlusunun eski çalışanı tarafından kurumsal e-posta üzerinden ilgili kişinin e-posta adresine izinsiz reklam içerikli ileti gönderilmesinde Kanun'un 5. maddesinde yer alan işleme şartlarından herhangi birinin bulunmadığını tespit etmiştir. Veri sorumlusunun Kanun'un 12/1(a) bendi kapsamındaki yükümlülüğünü yerine getirmediği değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 50.000 TL idari para cezası uygulanmış ve ilgili kişinin e-posta adresinin imha edilerek sonucunun Kurula bildirilmesi hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, daha önce hakkında Kurul kararı verilen veri sorumlusu telekomünikasyon şirketinin, üçüncü kişilere ait e-faturaları ilgili kişinin e-posta adresine göndermeye devam ettiği iddia edilmiştir. Kurul, veri sorumlusunun mevcut ve yeni abonelerin e-posta adreslerini doğrulamaya yönelik bir mekanizma bulundurmadığını, KVKK m.4/2(b)'deki "doğru ve güncel olma" ilkesine aykırı davrandığını tespit etmiştir. Daha önce talimatlandırılmış olmasına rağmen gerekli tedbirleri almayan veri sorumlusuna KVKK m.18/1(b) uyarınca 200.000 TL idari para cezası uygulanmış ve üçüncü kişi verilerinin ilgili kişiye iletilmemesi için tedbir alınması talimatlandırılmıştır.
Şikayette, ilgili kişinin hastanede muayene olduğu doktorun hastaneden ayrılarak özel muayenehane açtığı ve ilgili kişiye reklam amaçlı SMS gönderdiği iddia edilmiştir. Kurul, ilgili kişinin telefon numarasının hastane kayıtlarından alındığının tevsik edilemediğini, doktorun muayene sırasında aldığı iletişim verisini hasta-doktor ilişkisi dışında reklam amacıyla kullanmasının KVKK m.5'teki işleme şartlarından herhangi birine dayanmadığını tespit etmiştir. Hastane hakkında işlem yapılmasına yer olmadığına, veri sorumlusu doktor hakkında ise KVKK m.18/1(b) uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Şikayette, veri sorumlusu işveren tarafından ilgili kişiye ait kişisel verilerin işlenirken aydınlatma yapılmadığı ve Savcılık şikayet dilekçesinin ilgili kişinin kardeşine e-posta ile iletildiği iddia edilmiştir. Kurul, özlük dosyası kapsamındaki verilerin KVKK m.5/2(a) ve (ç) bentlerine dayalı olarak işlenmesinde hukuka aykırılık bulunmadığına, ancak Savcılık dilekçesinin üçüncü kişiye iletilmesinin KVKK m.12/1 kapsamındaki veri güvenliği yükümlülüklerine aykırı olduğuna karar vermiştir. Veri sorumlusuna KVKK m.18/1(b) uyarınca 150.000 TL idari para cezası uygulanmış; aydınlatma yükümlülüğü ve başvuruya cevap verme konusunda uyarıda bulunulmuştur.
Şikayette, veri sorumlusu şirketin, iletişim onayı olmadan ve aydınlatma yapmadan ilgili kişiye pazarlama amaçlı SMS gönderdiği iddia edilmiştir. Kurul, veri sorumlusunun kendi sitesinden onay veren müşterilere gönderilmesi gereken mesajın sehven satış platformu müşterilerine gönderildiğini ve bu durumun KVKK m.5'teki işleme şartlarından herhangi birine dayanmadığını tespit etmiştir. KVKK m.12/1 kapsamında veri güvenliği tedbirlerinin alınmadığı ve veri ihlali bildiriminin yapılmadığı değerlendirilerek veri sorumlusuna KVKK m.18/1(b) uyarınca 30.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişinin başka bir bankadan veri sorumlusu bankaya para gönderdiği ve akabinde rızası olmadan tanıtım amacıyla arandığı iddia edilmiştir. Kurul, bankanın devam eden müşteri ilişkisi kapsamında 6563 sayılı Kanun'un 6'ncı maddesi ile Ticari İletişim Yönetmeliği'nin 6'ncı maddesi uyarınca ilgili kişiyi aramasının KVKK m.5/2(a) "kanunlarda açıkça öngörülme" şartına dayandığını değerlendirmiştir. Veri sorumlusunun, ilgili kişinin başvurusuna yasal sürede ve usulüne uygun cevap vermesi ve adi posta yerine güvenli yöntemlerle yanıt iletmesi gerektiği yönünde uyarıda bulunulmasına karar verilmiştir.
Şikayette, yasal bahis platformunun ilgili kişinin e-posta adresine üyelik bilgilerini ve ticari elektronik ileti onayı bildirimini gönderdiği, ancak ilgili kişinin platforma herhangi bir üyeliğinin bulunmadığı iddia edilmiştir. Kurul, üçüncü bir kişinin üyelik oluştururken sehven ilgili kişinin e-posta adresini girdiğini, platformda e-posta doğrulama mekanizması bulunmadığını tespit etmiştir. İlgili kişinin e-posta adresinin ve asıl üyenin isim-soyad ile üyelik numarasının Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanılmadan işlendiği ve aktarıldığı değerlendirilerek 2020/966 sayılı İlke Kararı kapsamında e-posta teyit mekanizması kurulması hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, avukatlık büroları için yazılım üreten şirketin ilgili kişinin iş e-posta adresine reklam içerikli e-posta gönderdiği, e-posta adresinin internet arama motorlarından temin edildiği iddia edilmiştir. Kurul, veri sorumlusunun 6563 sayılı Kanun'un esnaf ve tacirlere ilişkin hükmüne dayandığını ancak Avukatlık Kanunu'nun 11. maddesi uyarınca avukatların tacir veya esnaf sıfatıyla hareket edemediğini tespit etmiştir. İlgili kişinin e-posta adresinin avukatlık mesleğine yönelik iletişim amacıyla alenileştirildiği, pazarlama amacıyla işlenmesinin Kanun'un 5. maddesindeki işleme şartlarına dayanmadığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 150.000 TL idari para cezası uygulanmıştır.
Şikayette, idare mahkemesinde devam eden davada davalı kamu kurumunun talebi üzerine üniversite hastanesinin ilgili kişiye ait sağlık verilerini kamu kurumuna aktardığı iddia edilmiştir. Kurul, sağlık verilerinin Kanun'un 6. maddesindeki özel nitelikli kişisel veri olduğunu, aktarımın dava amacıyla talep edildiğini ancak Kanun'un 6/3 kapsamında şartların mevcut olmadığını tespit etmiştir. Ayrıca talep edilenden fazla bilgi paylaşılarak veri minimizasyonu ilkesine aykırı davranıldığı değerlendirilerek Kanun'un 18/3 kapsamında sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve verilerin imha edilmesi hususunda veri sorumlusu talimatlandırılmıştır.
Şikayette, kağıt fabrikasında çalışanların işe giriş-çıkışlarda yüz tanıma sistemine tabi tutulduğu, açık rıza ve aydınlatma unsurlarının yetersiz olduğu, ayrıca tuvalet alanlarına yakın konumda güvenlik kameraları bulunduğu iddia edilmiştir. Kurul, fabrikada kullanılan yüz tanıma sisteminin biyometrik veri işleme niteliğinde olduğunu, Kanun'un 6. maddesinde açık rıza dışında yalnızca kanunlarda öngörülen hallerde işlenebileceğini ancak iş sağlığı ve güvenliği mevzuatının biyometrik veri işlemeye açıkça izin vermediğini tespit etmiştir. Biyometrik verilerin hukuka aykırı işlendiği değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 500.000 TL idari para cezası uygulanmış, yüz tanıma uygulamasının durdurulması ve verilerin imha edilmesi hususunda talimat verilmiştir.
Şikayette, ilgili kişinin halihazırda çalışmakta olduğu şirketten ayrı bir şirkete iş görüşmesine gittiği, görüşme yapan veri sorumlusunun ilgili kişinin mevcut işvereni hakkındaki beyanlarını mevcut işverenle paylaştığı ve bunun sonucunda ilgili kişinin ücretsiz izne çıkarıldığı iddia edilmiştir. Kurul, mevcut işverenin ilgili kişiye gönderdiği ihtarnamede görüşme yapılan şirket tarafından kendilerine bilgi verildiğinin açıkça belirtildiğini tespit etmiştir. İş görüşmesi bilgilerinin üçüncü kişiyle paylaşılmasının Kanun'un 8. maddesindeki aktarım şartlarına dayanmadığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmıştır.
Şikayette, ev eşyası satan veri sorumlusunun ilgili kişiyi borç tahsili amacıyla aradığı, ancak ilgili kişinin söz konusu borçla herhangi bir ilgisinin bulunmadığı, silme talebine rağmen aramalara devam edildiği iddia edilmiştir. Kurul, veri sorumlusunun üçüncü kişi ile imzaladığı sözleşmede ilgili kişinin telefon numarasından farklı bir numaranın bulunduğunu, ilgili kişiye ait olmadığı öğrenilen numaranın 2019-2021 yılları arasında defalarca arandığını tespit etmiştir. Kanun'un 4. maddesindeki "doğru ve gerektiğinde güncel olma" ilkesine ve 5. maddesindeki işleme şartlarına aykırı davranıldığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 200.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişinin telefonunun bir sigorta şirketi tarafından arandığı, telefon numarasının veri sorumlusu banka aracılığıyla elde edildiği iddia edilmiştir. Kurul, bankanın ilgili sigorta şirketi ile acentelik sözleşmesi bulunduğunu, ancak sunulan "Kampanya İletişim Tercihleri Talimatı" belgesinin kişisel verilerin aktarımına yönelik bilgilendirme içermediğini ve açık rıza şartlarını karşılamadığını tespit etmiştir. Bankacılık Kanunu'nun 73. maddesi uyarınca müşteri sırrının paylaşımı için gizlilik sözleşmesi ve müşteri talebi/talimatı gerektiği, bunların sunulmadığı değerlendirilerek Kanun'un 8. maddesine aykırı aktarım nedeniyle veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 250.000 TL idari para cezası uygulanmıştır.
Şikayette, pazarlama şirketinin serbest girişimcisi tarafından 8 yaşındaki bir çocuğa mektup yoluyla tanıtım amaçlı broşür gönderildiği, velisinin açık rızası olmaksızın çocuğun ev adresi ve isminin işlendiği iddia edilmiştir. Kurul, serbest girişimcinin şirketten bağımsız olarak veri sorumlusu sıfatını haiz olduğunu, e-ticaret sitesi üzerinden daha önce yapılan siparişle broşür gönderimi arasında dört buçuk aylık süre bulunduğunu tespit etmiştir. Tanıtım ve pazarlama amacıyla broşür gönderilmesinin Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanmadığı değerlendirilerek serbest girişimci hakkında Kanun'un 18/1(b) bendi uyarınca 30.000 TL idari para cezası uygulanmıştır.
Şikayette, e-ticaret sitesinden alışveriş yapan üçüncü bir kişinin isim benzerliği nedeniyle sehven ilgili kişinin e-posta adresini girerek sipariş verdiği, bu siparişe ilişkin gönderici ve alıcı bilgilerini içeren bilgilendirme e-postalarının ilgili kişiye gönderildiği iddia edilmiştir. Kurul, misafir müşteri girişiyle yapılan alışverişlerde e-posta doğrulama mekanizması bulunmadığını, bu durumun veri ihlal riski taşıdığını ve üçüncü kişilerin kişisel verilerinin hukuka aykırı işlenmesine zemin hazırladığını tespit etmiştir. Veri sorumlusunun Kanun'un 12/1 kapsamında teyit mekanizması kurmadan kişisel veri işlediği değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 120.000 TL idari para cezası uygulanmıştır.
Şikayette, tasfiye edilmiş limited şirketin eski ortaklarına ait kişisel verilerin veri sorumlusu avukat tarafından borç tahsili amacıyla işlendiği, ısrarla arama yapıldığı ve aydınlatma yükümlülüğünün yerine getirilmediği iddia edilmiştir. Kurul, avukatın ilgili kişilerin ad, soyad, T.C. kimlik numarası ve telefon numaralarını UHAP ve bilinmeyen numara servisleri gibi yasal platformlardan edindiğini, bu işlemenin Kanun'un 5/2(ç) "hukuki yükümlülük" ve 5/2(e) "hak arama hürriyeti" şartlarına dayandığını tespit etmiştir. "Defaten/ısrarla" arama iddiasının sunulan belgelerden ispat edilemediği, aydınlatma yükümlülüğüne ilişkin iddiaların ise veri sorumlusuna yapılan başvuruda yer almadığı değerlendirilerek Kanun kapsamında yapılacak işlem olmadığına karar verilmiştir.
Şikayette, veri sorumlusu e-ticaret platformundan yapılan alışverişlere ilişkin kredi kartı bilgileri ve teslimat telefon numarasının Kanun kapsamında talep edildiği ancak veri sorumlusunun bu talebi reddettiği iddia edilmiştir. Kurul, kredi kartı bilgilerinin PCI DSS uyumluluğu gereği mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğunu, veri sorumlusunun bu bilgilere erişiminin olmadığını tespit etmiştir. İlgili kişinin üyelik hesabından verilen siparişlerde üçüncü kişinin telefon numarasının bulunduğu durumlarda, ilgili kişinin makul gerekçesi olması ve dolandırıcılık riski bulunmaması halinde bu bilginin kimlik doğrulama mekanizmalarıyla paylaşılabileceği değerlendirilerek veri sorumlusu bu hususta talimatlandırılmıştır.
Şikayette, bir işletmenin hizmet alanına girişte avuç içi ve parmak izi tarandığı, açık rıza alınmadığı iddia edilmiştir. Kurul, kullanılan cihazın "el geometrisi" bilgisini işlediğini, bu cihazın elin 31.000 noktadan üç boyutlu taranarak karakteristiklerini analiz ettiğini, yanılma oranının çok düşük olduğunu tespit etmiştir. El geometrisinin fizyolojik özellik aracılığıyla gerçekleştirilen biyometrik bir kimlik doğrulama yöntemi olduğu, Kanun'un 6. maddesindeki özel nitelikli kişisel veri işleme şartlarının bulunmadığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmış, biyometrik veri işleme uygulamasının durdurulması ve işlenen el geometrisi verilerinin yok edilmesi hususunda talimat verilmiştir.
Şikayette, özel bir hastanede burun ameliyatı sırasında baygın olduğu esnada çekilen fotoğraflarının, hastanede çalışan doktorun sosyal medya hesabında reklam amaçlı paylaşıldığı iddia edilmiştir. Kurul, görsellerde yüzün kaş, bıyık gibi bölümlerinin açıkça yer aldığını ve ilgili kişinin kimliğini belirlenebilir kıldığını tespit etmiştir. Muvafakatnamede açık rıza gösterilen tarafın hastane olduğu, doktorun bu verileri paylaşması için ayrı bir rızanın bulunmadığı değerlendirilerek Kanun'un 12/1 kapsamında gerekli tedbirlerin alınmadığı sonucuna varılmış ve veri sorumlusu hastane hakkında Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmıştır.
Şikayette, işveren bünyesinde çalışan ilgili kişilerin uyuşturucu testine zorlandığı, test sonuçlarının işyerindeki üçüncü bir kişinin e-posta adresine gönderildiği, dolayısıyla sağlık verilerinin rızaları olmaksızın paylaşıldığı iddia edilmiştir. Kurul, veri sorumlusu sağlık kuruluşunun test sonuçlarını gönderdiği üçüncü kişinin işyeri hekimi olmadığını, Kanun'un 6. maddesi kapsamında sır saklama yükümlülüğü altında bulunan kişilerden olmadığını tespit etmiştir. Açık rızayı kanıtlayıcı belge sunulmadığı, özel nitelikli kişisel verilerin hukuka aykırı işlendiği değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 75.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişinin bir elektronik eşya mağazasından kredi sorgulaması için veri sorumlusu bankaya SMS gönderdiği, bankanın daha önceden kişisel verilerini işlediği, aydınlatma yapılmadığı ve başvuruya usulüne uygun yanıt verilmediği iddia edilmiştir. Kurul, bankanın ilgili kişinin iradesiyle başlattığı kredi hesaplama sürecinde kişisel verilerini KPS, Kredi Kayıt Bürosu ve TBB Risk Merkezi aracılığıyla işlediğini, bu verilerin banka bünyesinde önceden tutulmadığını tespit etmiştir. Aydınlatma yükümlülüğünün yerine getirildiği ancak Aydınlatma Tebliği'ne uyum açısından bazı eksiklikler bulunduğu değerlendirilerek aydınlatma metninin Tebliğ'e uygun hale getirilmesi ve başvurulara eksiksiz yanıt verilmesi hususlarında veri sorumlusu talimatlandırılmıştır.
Şikayette, giyim mağazasında katalog modeli olarak çalışan ilgili kişinin iş ilişkisinin sona ermesine rağmen fotoğraflarının veri sorumlusunun internet sitesinde yayınlanmaya devam ettiği iddia edilmiştir. Kurul, ilgili kişi ile veri sorumlusu arasında yazılı olmayan bir fotomodellik sözleşmesinin bulunduğunu, bu sözleşme kapsamında çekilen fotoğrafların Kanun'un 5/2(c) bendi uyarınca "sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması" şartına istinaden işlendiğini tespit etmiştir. Kıyafet stoklarının bitmesiyle fotoğrafların kaldırıldığı ve ilgili kişinin belirttiği linklerin artık açılmadığı anlaşıldığından veri sorumlusu hakkında Kanun kapsamında yapılacak işlem bulunmadığına karar verilmiştir.
Şikayette, ilgili kişinin hukuki danışmanlık sözleşmesi bulunan Birlik ile arasındaki anlaşmazlık sonrasında, kendisini Birlik vekili olarak tanıtan bir avukatı Baroya şikayet ettiği, bu avukatın savunma dilekçesi ekinde ilgili kişiye ait serbest meslek makbuzu ve stopaj ödeme listesi fotokopilerine yer verdiği iddia edilmiştir. Kurul, Birliğin kamu tüzel kişiliğini haiz olarak dışarıdan avukatlık hizmeti aldığını, ilgili kişinin kişisel verilerini içeren belgelerin avukat ile paylaşılmasının Kanun'un 5/2(e) bendi kapsamında "bir hakkın tesisi, kullanılması veya korunması" şartına uygun olduğunu tespit etmiştir. Avukatın bu belgeleri Baro soruşturması kapsamında savunma dilekçesine eklemesinin de aynı hukuki sebebe dayandığı değerlendirilerek her iki veri sorumlusu hakkında Kanun kapsamında yapılacak işlem olmadığına karar verilmiştir.
Bir şirketin müşteri verilerini yurt dışındaki bulut sunucularında barındırması değerlendirilmiştir. Tespitler: Veriler ABD merkezli bulut sağlayıcısında depolanmaktadır ABD yeterli korumaya sahip ülke değildir Açık rıza alınmamış, taahhütname sunulmamıştır Sonuç: m. 9 kapsamında hukuka aykırı yurt dışı aktarım tespit edilmiş, veri sorumlusuna aktarımı durdurması ve uyum sağlaması için süre verilmiştir.
Belediyelerin emlak vergisi sorgulama sayfalarında yalnızca TC kimlik numarası ile vatandaşların emlak bilgilerine erişilmesinin Kanun'un 12. maddesine aykırılık oluşturduğu, ek güvenlik tedbirlerinin alınması gerektiğine dair ilke kararı verilmiştir.
Şikayette, iş akdi feshedilen ilgili kişinin ad ve soyadının veri sorumlusunun sosyal medya hesabında "usulsüzlükler nedeniyle işten atıldığına" dair ifadelerle paylaşıldığı iddia edilmiştir. Kurul, duyurunun şirket müşterilerine değil herkese açık bir platformda yapıldığını, Kanun'un 4. maddesindeki ölçülülük ilkesine aykırı olduğunu ve Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanılmadığını tespit etmiştir. Veri sorumlusunun ilgili kişinin kişisel verilerini hukuka aykırı şekilde işlediği değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 30.000 TL idari para cezası uygulanmış ve sosyal medya paylaşımındaki kişisel verilerin imha edilmesi hususunda talimat verilmiştir.
Şikayette, veri sorumlusu tarafından gönderilen ücretsiz izin ihtarnamesinde ilgili kişinin T.C. kimlik numarası ve adresinin yedi başka çalışanla birlikte paylaşıldığı iddia edilmiştir. Kurul, ihtarnamenin noterliğe iletilmesinin Kanun'un 5/2(e) "bir hakkın tesisi, kullanılması veya korunması" şartına uygun olduğunu, ancak sekiz çalışanın bilgilerinin aynı ihtarnamede karartma veya ayrı keşide işlemi yapılmadan yer almasının kişisel verilerin birbirleriyle paylaşılmasına yol açtığını tespit etmiştir. Bu işleme faaliyetinin Kanun'un 5. maddesindeki şartlardan herhangi birine dayanmadığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmıştır.
Şikayette, pazarlama şirketinin Trabzon bölge yetkilileri tarafından ilgili kişinin e-posta adresine bir market adına düzenlenmiş faturaların gönderildiği iddia edilmiştir. Kurul, şirketin dağıtım ağında yetkili satıcının son satıcı bilgilerini DBS'ye kaydettiğini, e-posta adresinin el yazısıyla iletilmesi nedeniyle sehven farklı şekilde kaydedildiğini tespit etmiştir. İlk sözleşme imzalanan şirketin olayda sorumluluğu bulunmadığı, veri işleyen yetkili satıcı tarafından kasıtsız şekilde hatalı kayıt yapıldığı ve düzeltildiği değerlendirilerek ikinci pazarlama şirketi hakkında işlem yapılmadığına, ancak 2020/966 sayılı İlke Kararı kapsamında e-posta teyit mekanizması kurulmasının hatırlatılmasına karar verilmiştir.
Şikayette, elektronik perakende zincirine onarım için teslim edilen kulaklığın distribütör firmaya gönderilmesi amacıyla kargo şirketine teslim edildiği, ancak kargonun sehven üçüncü bir şahsa teslim edildiği iddia edilmiştir. Kurul, onarım için gerekli bilgilerin distribütör firmaya aktarılmasının Kanun'un 5/2(c) ve (ç) bentlerine uygun olduğunu, kargo paketinin içeriğini bilmeyen kargo şirketinin veri sorumlusu veya veri işleyen sıfatını haiz olmadığını tespit etmiştir. Hatalı teslimatın kargo şirketinden kaynaklandığı, ancak veri sorumlusunun gelecekte benzer olaylar için Kanun'un 12/5 uyarınca bildirim yükümlülüğüne uyması ve formlarda minimum düzeyde kişisel veri paylaşılması hususunda talimatlandırılmasına karar verilmiştir.
Şikayette, veri sorumlusunun internet sitesinde çerez politikası bulunmadığı, yurt dışına veri aktarıldığı ve başvuruya yanıt verilmediği iddia edilmiştir. Kurul, veri sorumlusunun sunucuları yurt dışında bulunan bir bulut hizmeti kullandığını, Kurula onaylı taahhütname sunulmadığını ve açık rıza alınmadığını tespit etmiştir. Veri sorumlusunun yurt dışına sistemli şekilde kişisel veri aktardığı, bu durumun icrai hareketle kasten gerçekleştirildiği, çok sayıda ilgili kişinin etkilendiği değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 950.000 TL idari para cezası uygulanmış, yurt dışına aktarımın Kanun'un 9. maddesine uygun hale getirilmesi ve başvurulara etkin yanıt verilmesi hususunda talimat verilmiştir.
Şikayette, ilgili kişi ile aynı isme sahip üçüncü bir kişinin e-ticaret sitesine üye olmadan misafir girişiyle sipariş verirken ilgili kişinin e-posta adresini sehven girmesi sonucu faturanın ilgili kişiye gönderildiği iddia edilmiştir. Kurul, misafir girişlerinde e-posta doğrulama mekanizması bulunmadığını, bu durumun veri ihlal riski taşıdığını ve Kanun'un 4/2(b) "doğru ve gerektiğinde güncel olma" ilkesine aykırı olduğunu tespit etmiştir. Veri sorumlusunun e-posta adresinin işlenmesinde Kanun'un 5. maddesindeki işleme şartına dayanmadığı değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmış ve 2020/966 sayılı İlke Kararı'na uyum hatırlatılmıştır.
Şikayette, banka ATM'sinde bulunan banka kartını çağrı merkezine bildiren ilgili kişinin ad, soyad ve telefon numarasının kart sahibi ile paylaşıldığı iddia edilmiştir. Kurul, çağrı merkezi personelinin "kart sahibine kartı sizin bulduğunuzu ileteceğim" ifadesine verilen "tamam" cevabının açık rıza unsurlarını karşılamadığını, ilgili kişinin kişisel verilerinin paylaşılacağı bilgisini içermediğini tespit etmiştir. Aydınlatma yükümlülüğünün yerine getirildiği ancak kişisel verilerin Kanun'un 5. maddesindeki işleme şartlarından birine dayanmadan üçüncü kişiyle paylaşıldığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca idari para cezası uygulanmıştır.
Şikayette, bir e-ticaret sitesinin çerez politikasının yetersiz olduğu, kesinlikle gerekli olmayan çerezler için açık rıza alınmadığı ve kişisel verilerin yurt dışına aktarıldığı iddia edilmiştir. Kurul, veri sorumlusunun reklam/pazarlama ve analitik çerezleri için açık rıza almadan işlem yaptığını, Kanun'un 9. maddesine uygun olmadan yurt dışına veri aktardığını ve aydınlatma metninin Tebliğ'e uygun olmadığını tespit etmiştir. Veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 800.000 TL idari para cezası uygulanmış, kesinlikle gerekli olmayan çerezler için "opt-in" mekanizmasıyla açık rıza alınması ve yurt dışına aktarımın Kanun'a uygun hale getirilmesi hususunda talimat verilmiştir.
Şikayette, alacak yönetim şirketinin ilgili kişinin kardeşi ve eşine ait telefon numaralarına borç tahsilatı SMS'i gönderdiği iddia edilmiştir. Kurul, veri sorumlusunun çağrı merkezini arayan kişilerin telefon numaralarını otomatik olarak ilgili kişinin numaraları olarak kaydettiğini ve bu numaralara borç bilgisi içeren SMS gönderildiğini tespit etmiştir. Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanılmadan üçüncü kişilerin telefon numaralarının işlendiği ve borç bilgisinin paylaşıldığı değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 50.000 TL idari para cezası uygulanmış ve bu uygulamaya son verilmesi hususunda talimat verilmiştir.
Şikayette, yurt dışında mukim veri sorumlusunun Türkiye'deki irtibat bürosunun işe kabulde adli sicil kaydı, sağlık raporu, kan grubu belgesi ve aile bireylerinin nüfus cüzdanı fotokopilerini istediği, açık rıza almadığı ve başvuruya yanıt vermediği iddia edilmiştir. Kurul, irtibat bürosunun tüzel kişiliği bulunmadığından veri sorumlusu sıfatının yurt dışındaki ana şirkete ait olduğunu, iş akdi kapsamında kişisel verilerin yurt dışına aktarılmasının hukuka uygun olduğunu tespit etmiştir. Ancak ilgili kişinin başvurusuna yasal süre içinde yanıt verilmediği ve imha işlemlerini tevsik edici belge sunulmadığı belirlenmiştir. Veri sorumlusunun başvurulara azami dikkat göstermesi ve imha belgelerini ilgili kişiye ileterek Kurula bilgi vermesi hususunda talimatlandırılmasına karar verilmiştir.
Resen incelemede, bir alışveriş merkezinin internet sitesinde senetli alışveriş için müşterilerden e-Devlet şifresi istendiği ve üyelik için T.C. kimlik numarası zorunlu tutulduğu tespit edilmiştir. Kurul, e-Devlet şifresi ve T.C. kimlik numarasının zorunlu bilgi olarak talep edilmesinin özgür iradeye dayalı geçerli bir açık rıza oluşturmadığını, veri işleme şartlarına dayanılmadan kişisel veri işlendiğini belirlemiştir. Ayrıca T.C. kimlik numarası girildiğinde daha önce üye olan kişilerin kişisel verilerinin görüntülenmesinin veri güvenliği açığına işaret ettiği tespit edilmiştir. Veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 300.000 TL idari para cezası uygulanmış, e-Devlet şifreleri ve T.C. kimlik numaralarının imha edilmesi ile güvenlik açığının giderilmesi hususunda talimat verilmiştir.
Şikayette, tasarruf finansman şirketinin ilgili kişiye rızası olmadan ticari elektronik ileti gönderdiği, İleti Yönetim Sistemi'ne (İYS) kayıt yapılmasına temel teşkil edecek bir ilişki bulunmadığı iddia edilmiştir. Kurul, veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde ilgili kişinin veri sorumlusu ile bir ilişkisinin tespit edilemediğini ve ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediğini belirlemiştir. Veri sorumlusunun Kanun'un 12/1 kapsamında gerekli tedbirleri almadığı değerlendirilerek Kanun'un 18/1(b) bendi uyarınca 75.000 TL idari para cezası uygulanmış ve hukuka aykırı işlenen verinin imha edilerek sonucundan Kurula bilgi verilmesi hususunda talimat verilmiştir.
Şikayette, veri sorumlusu tekstil firmasının çalışanı tarafından ilgili kişinin adının geçtiği şirkete ait icra takibi evrakının sosyal medyada paylaşıldığı iddia edilmiştir. Kurul, şirket unvanında ilgili kişinin adı ve soyadı geçse de, yapılan paylaşımlarda tüzel kişiliğin hedeflendiğini, şirket unvanının veya borç bilgisinin gerçek kişinin hak ve menfaatlerinde bir etkiye sahip olmadığını veya gerçek kişiye belirli bir şekilde davranılması amacıyla kullanılmadığını tespit etmiştir. Bu nedenle paylaşılan verilerin Kanun'un 3. maddesindeki kişisel veri tanımını karşılamadığına ve şikayet konusunun Kanun'un 2. maddesi uyarınca Kanun kapsamında olmadığına karar verilmiştir.
Şikayette, sağlık kuruluşunun hasta kaydı sırasında elde edilen e-posta adresine rızası olmadan ticari içerikli e-posta gönderdiği iddia edilmiştir. Kurul, e-posta adresinin hasta kaydı açılırken Kanun'un 5/2(c) ve (ç) bentleri kapsamında hukuka uygun şekilde elde edildiğini, ancak pazarlama amacıyla kullanılmasının Kanun'un 4/2(ç) "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğunu tespit etmiştir. Kişisel verilerin elde edilme amacı dışında kullanılması suretiyle hukuka aykırı işlendiği değerlendirilerek veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca 100.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişinin YKS sınav sonuç belgesinin (ad, soyad, fotoğraf, yerleştiği program, yerleştirme puanı) yerel haber sitesi tarafından açık rızası olmadan paylaşıldığı iddia edilmiştir. Kurul, sınav sonuç bilgilerinin kişisel veri niteliğinde olduğunu, haberin toplumda sık rastlanan bir olay olması nedeniyle kamu yararı bulunmadığını, dolayısıyla Kanun'un 28/1(c) bendindeki ifade özgürlüğü istisnası kapsamında değerlendirilemeyeceğini tespit etmiştir. Veri sorumlusunun Kanun'un 12/1(a) bendine aykırı davrandığı, ancak karar tarihi itibarıyla haberin kaldırılmış olması hafifletici unsur olarak dikkate alınarak Kanun'un 18/1(b) bendi uyarınca 30.000 TL idari para cezası uygulanmıştır.
Şikayette, ilgili kişinin eski ortağı olduğu şirkete ait bilgilerin Ticaret Odası'nın internet sitesinde yer aldığı, eski ortak olarak adının görünmesini istemediği ve silme talebinin reddedildiği iddia edilmiştir. Kurul, Türk Ticaret Kanunu'nun 35 ve 587. maddeleri ile Ticaret Sicili Yönetmeliği'nin 15. maddesi uyarınca herkesin sicilin içeriğini inceleyebileceğini, tescil edilen olgularda meydana gelen değişikliklerin de tescil edileceğini tespit etmiştir. Ticaret Sicil Gazetesi'nde yayınlanan bilgilerin ticaret odasının sayfasında da yer almasının aynı amaca hizmet ettiği, Kanun'un 7. maddesi uyarınca işlenmesini gerektiren sebeplerin ortadan kalkmadığı değerlendirilerek ilgili kişinin talebiyle ilgili Kanun kapsamında yapılacak işlem olmadığına karar verilmiştir.
Kuruma yapilan ihbarda, arac kiralama sektorunde faaliyet gosteren yazilim sirketlerinin 'kara liste' uygulamasi araciligiyla musteri kisisel verilerini paylastigi iddia edilmistir. Kurul, resen inceleme baslatarak ilgili yazilim sirketlerinden bilgi talep etmis, arac kiralama firmalarinin musterilerine ait iyi/kotu yorumlari diger program ortaklariyla paylastigini tespit etmistir. Yazilim sirketlerinin veri sorumlusu veya veri isleyen sifatlari ve kisisel veri isleme faaliyetlerinin hukuki dayanagi incelenmis, ilgili kisilerin acik rizasi alinmaksizin kara liste olusturulmasinin Kanun'a aykiri oldugu degerlendirilerek idari yaptirim uygulanmasina karar verilmistir.
Kararda, bir veri sorumlusunun kisisel veri isleme faaliyetleri incelenmistir. Kurul, ilgili kisinin sikayet dilekçesinde belirttigi hususlari ve veri sorumlusunun savunmasini degerlendirmis, Kanun'un ilgili maddeleri cercevesinde inceleme yapmistir. Veri isleme faaliyetlerinin hukuka uygunlugu degerlendirilmis ve karara baglanmistir.
Araç kiralama sektöründe kullanılan kara liste uygulamalarının Kanun'a aykırılık teşkil ettiği tespit edilmiştir. Müşterilerin kişisel verilerinin diğer firmalarla paylaşılması ve olumsuz yorumların işlenmesi konusunda veri sorumluları uyarılmıştır.
Ilgili kisi, bir sigorta sirketi ile paylasmadigini iddia ettigi banka bilgilerinin hukuka aykiri olarak islendigini ve veri sorumlusuna yaptigi basvurunun yanitlanmadigini sikayet etmistir. Kurul, ilgili kisinin banka bilgilerinin sigorta acentesi sifatiyla hareket eden banka tarafindan poliçe kapsaminda sigorta sirketine aktarildigini, bu verilerin Tuketici Hakem Heyeti kararinin yerine getirilmesi amaciyla Kanun'un 5'inci maddesinin (c) ve (ç) bentleri kapsaminda islendigini tespit etmistir. Veri sorumlusuna yapilan basvurunun ozel vekaletname gerektirdigi, ancak genel vekaletname ile yapildigina dair itirazin incelendigi, sonuc olarak sikayetin reddine karar verilmistir.
Ilgili kisi, veri sorumlusu sirkette calistigi surecte parmak izi ve yuz tarama sistemiyle giris yapildigini, aydinlatma yukumlulugunu yerine getirilmedigini, ozel nitelikli verilerinin acik rizasi olmaksizin islendigini ve kisisel verilerinin yurt disina aktarildigini sikayet etmistir. Kurul, is sozlesmesinin aydinlatma ve acik riza metinlerinin ayri ayri duzenlenmesi gerektigi halde karma bir metin seklinde kaleme alindigini, bu nedenle aydinlatmanin usulune uygun yapilmadigini tespit etmistir. Parmak izi gibi ozel nitelikli verilerin islenmesi icin acik riza alinmadigi belirlenmis, veri sorumlusuna Kanun'un 18'inci maddesi uyarinca idari para cezasi uygulanmasina karar verilmistir.
Ilgili kisi, bir banka ile kredi sozlesmesi akdettigi, ancak borcun tahsili icin acik rizasi olmaksizin anne ve babasinin sabit telefonundan arandigini ve bu aramalarda aile uyelerine bilgi paylasildigini sikayet etmistir. Kurul, bankanin Risk Merkezi'nden elde ettigi alternatif telefon numarasini aradigini, ancak yapilan aramalarda ucuncu kisilere sadece not birakildigini ve bilgi paylasilmadigini tespit etmistir. Banka tarafindan ilgili kisinin talep etmesine ragmen numaranin arama engelli listeye alinmamasi nedeniyle aramalarin devam ettigi belirlenmis, bu hususta talimat verilmesine karar verilmistir.
Ilgili kisi, bir insan kaynaklari firmasindan ticari tanitim amacli e-postalar aldigini, kisisel verilerinin nereden temin edildigini bilmedigini ve acik rizasi bulunmadigini sikayet etmistir. Kurul, veri sorumlusunun ilgili kisinin e-posta adresini Kanun'un 5'inci maddesinin (d) bendi kapsaminda 'alenilestirme' sartina dayanarak isledigini iddia ettigini, ancak alenilestirme iradesine iliskin herhangi bir kanitlayici belge sunmadigini tespit etmistir. Veri sorumlusunun hukuka aykiri veri isleme faaliyetinde bulundugu sonucuna varilarak Kanun'un 18'inci maddesi uyarinca 50.000 TL idari para cezasi uygulanmasina ve kisisel verilerin imha edilmesine karar verilmistir.
Ilgili kisi, bir medya sirketinin televizyon kanalinda gercege aykiri bir haber yapilarak kendisinin ve cocugunun fotograflarinin kullanildigini, haberde bicaklanma olayi ile iliskili gosterildigini sikayet etmistir. Kurul, haberdeki fotograflarin buzlanarak yayinlanmasina ragmen isim benzerligi nedeniyle yanlis kisi hakkinda haber yapildigini tespit etmis, ancak fotograflarin aleni bir sosyal medya hesabindan alindigini ve 6112 sayili Kanun kapsaminda RTUK denetimine tabi olan medya kuruluslarinin bu tur sikayet ve duzeltme taleplerini oncelikle yargi yoluyla cozumlemesi gerektigini belirterek Kanun kapsaminda islem yapilmasina yer olmadigina karar vermistir.
Ilgili kisi, yurt disinda mukim veri sorumlusunun Istanbul Irtibat Burosu'nda calistigi surecte aydinlatma yapilmadigini, is sozlesmesinin eylemli fesihle sona erdirilmesinden sonra fotografinin internet sitesinde yayinlanmaya devam ettigini ve Kanun kapsamindaki basvurusuna yeterli cevap verilmedigini sikayet etmistir. Kurul, veri sorumlusunun is iliskisi surecinde Kanun'un 10'uncu maddesi kapsamindaki aydinlatma yukumlulugunu yerine getirmedigini, ilgili kisinin verilerinin yurt disina aktarilip aktarilmadigi konusunda bilgilendirme yapmadigini ve Kanun'un 13'uncu maddesi kapsamindaki basvuruya yeterli cevap vermedigini tespit ederek veri sorumlusuna idari para cezasi uygulanmasina ve talimat verilmesine karar vermistir.
Ilgili kisi, Bakanlik tarafindan yetkilendirilen bir universite egitim merkezinde verilen egitim programinda, yoklama listelerinde T.C. kimlik numaralarinin yer aldigi ve bu listelerin elden ele dolastirilarak imzalandigini, ayrica aydinlatma yapilmadigini sikayet etmistir. Kurul, egitim kuruluslarinin devam cizelgelerini duzenlerken T.C. kimlik numaralarini cikararak veya listeleri elden ele dolastirmayarak islem yapabilecegini, Bakanligin ise veri sorumlusu sifatiyla sorumlulugunun bulunmadigini degerlendirmis ve egitim kurulusunun veri isleme faaliyetlerinde olculuuluk ilkesine uygun hareket etmesi gerektigi sonucuna varmistir.
İlgili kişi, Digiturk bayisi olduğunu belirten farklı numaralardan reklam amaçlı arandığını ve SMS gönderildiğini şikayet etmiştir. Kurul, Krea İçerik Hizmetleri ve bayisinin veri sorumlusu olmadığını, ancak taşeron M.D.'nin numara türetme yöntemiyle telefon numarasını elde ettiğini ve M.A.'nın sunduğu açık rıza formunun geçerli olmadığını tespit etmiştir. Kanunun 5. maddesindeki işleme şartlarına dayanmadan kişisel veri işleyen M.D. ve M.A. hakkında Kanunun 18/1-b maddesi kapsamında idari para cezası uygulanmasına ve verilerin imha edilmesi talimatı verilmesine karar verilmiştir.
Eski çalışan olan ilgili kişi, veri sorumlusu tarafından kurumsal e-posta hesabındaki özel yazışmalarına, banka hesap dökümlerine ve harcama kayıtlarına erişilerek dava dosyasına sunulduğunu şikayet etmiştir. Kurul, Anayasa Mahkemesi ve AİHM kararlarına atıfla, çalışanların e-postalarının denetlenebileceğine dair önceden aydınlatma yapılmadığı hallerde çalışanların haklı beklenti içinde olacağını değerlendirmiştir. İlgili kişiye Kanun kapsamında aydınlatma yapılmadan e-postalarının incelenmesinin Kanunun 5. maddesindeki işleme şartlarına dayanmadığı tespit edilerek veri sorumlusuna 250.000 TL idari para cezası uygulanmıştır.
Açık rızanın geçerlilik şartlarının değerlendirildiği karar. Tespitler: Rıza metni, hizmet sözleşmesinin içine gömülmüştür "Kabul etmiyorum" seçeneği sunulmamıştır Rıza vermeden hizmetten yararlanmak mümkün değildir (coupled consent) Kurul değerlendirmesi: Açık rıza özgür iradeyle açıklanmalıdır. Hizmetin rızaya bağlanması, rızanın geçerliliğini ortadan kaldırır. Sonuç: m. 5/1 kapsamında ihlal tespit edilmiştir.
İlgili kişi, tıbbi ürün satan veri sorumlusundan açık rızası olmaksızın ticari elektronik ileti gönderildiğini şikayet etmiştir. Veri sorumlusu, ilgili kişinin cep telefonu numarasının başka bir müşteri tarafından sehven bildirildiğini açıklamıştır. Kurul, numaranın veri sorumlusu kayıtlarında ilgili kişi ile ilişkilendirilmediğini, müşterinin hatalı numara bildirmesi sonucu olayın gerçekleştiğini tespit etmiştir. Veri sorumlusu hakkında yapılacak işlem olmadığına, ancak numaranın kara listeye alınmak yerine Kanunun 7. maddesine uygun şekilde imha edilmesi talimatı verilmiştir.
TÜBİTAK Araştırma ve Yayın Etiği Kurulu tarafından yağmacı yayıncılık tespiti yapılan ilgili kişinin bilgilerini içeren gizli ibareli belgenin üniversite tarafından internet sitesinde yayınlandığı şikayet edilmiştir. Kurul, belgenin fakülte dekanları ile EBYS üzerinden paylaşılmasının Kanunun 5/2-ç ve 5/2-e bentleri kapsamında hukuka uygun olduğunu değerlendirmiştir. Ancak bilgilendirme amacını aşacak şekilde tüm kişisel verilerin internet sitesinde paylaşılmasının ölçülülük ilkesine aykırı olduğu tespit edilerek Kanunun 18/3 maddesi kapsamında sorumlular hakkında işlem yapılması talimatı verilmiştir.
İlgili kişi, banka hesaplarını kapattırmasına rağmen COVID-19 pandemisi döneminde bilgilendirme SMS'leri gönderilmeye devam edildiğini şikayet etmiştir. Banka, yasal saklama süreleri devam ettiğinden silme talebinin yerine getirilemediğini ancak pazarlama amaçlı iletişimin durdurulduğunu belirtmiştir. Kurul, Bankacılık Kanunu kapsamında 10 yıllık saklama süresinin devam ettiğinden silme talebinin reddinin hukuka uygun olduğunu, ancak hesap kapatıldıktan sonra bilgilendirme amaçlı SMS gönderilmesinin Kanunun 5. maddesindeki işleme şartlarına dayanmadığını tespit ederek 50.000 TL idari para cezası uygulamıştır.
İlgili kişi, veri sorumlusu avukatın vekillik yaptığı bir davada tanık olarak dinlenmesinin ardından adli sicil kaydının mahkemeye sunularak paylaşıldığını şikayet etmiştir. Kurul, Adli Sicil Kanununun 7. maddesi uyarınca avukatlara ilgili kişilerin adli sicil bilgilerine resen erişim yetkisi verilmediğini, dolayısıyla verilerin hukuka aykırı elde edildiğini tespit etmiştir. Özel nitelikli kişisel veri olan adli sicil kaydının Kanunun 6. maddesindeki işleme şartlarına dayanmadan işlenmesi nedeniyle avukata 75.000 TL idari para cezası uygulanmış ve verilerin imha edilmesi talimatı verilmiştir.
Bir holding bünyesindeki şirketin icra takibi başlattığı müşterilerin T.C. kimlik numarası, telefon, adres ve araç plakası bilgilerinin bir internet sitesinde yayınlandığına dair ihbarda bulunulmuştur. Kurul, internet sitesinde yayınlanan kişisel verilerin İcra İflas Kanunu kapsamındaki işlemlerin ötesinde herhangi bir işleme şartına dayanmadığını tespit etmiştir. Kişisel verilerin çokluğu, önemi ve internet ortamında ifşa edilmesinin oluşturduğu güvenlik riski dikkate alınarak veri sorumlusuna 200.000 TL idari para cezası uygulanmıştır.
İlgili kişi, bireysel kredi kartı ödemelerinde gecikme olmamasına rağmen bankanın Türkiye Bankalar Birliği Risk Merkezine yanlış bildirim yaparak kredi notunun düşürülmesine sebep olduğunu şikayet etmiştir. Banka, ticari kredi kartından kaynaklanan gecikmenin bireysel kredi kartı kaydına yansıtıldığını kabul etmiş ve sistem geliştirmesi yaptığını belirtmiştir. Kurul, Kanunun 4. maddesindeki doğru ve güncel olma ilkesinin ihlal edildiğini, bankanın Risk Merkezine düzenli bildirim yükümlülüğü nedeniyle aktif özen yükümlülüğü bulunduğunu değerlendirerek 150.000 TL idari para cezası uygulamıştır.
İlgili kişi, borçlu yakını olarak banka avukatı tarafından İcra İflas Kanununun 89/1 maddesi kapsamında haciz ihbarnamesi gönderilmesiyle kişisel verilerinin paylaşıldığını şikayet etmiştir. Kurul, haciz ihbarnamesinin icra müdürlüğü tarafından düzenlendiğini ve veri sorumlusunun banka avukatı olduğunu tespit etmiştir. Banka alacağının tahsili amacıyla yürütülen işlemlerin Kanunun 5/2-e bendi kapsamında bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu değerlendirilerek hem banka hem avukat hakkında yapılacak işlem olmadığına karar verilmiştir.
İlgili kişi, iş arama platformunda yaptığı başvurulara ilişkin işverenlere sunulan verilerine erişim talebinin yerine getirilmediğini ve rızası olmadan verilerinin silineceğinin bildirildiğini şikayet etmiştir. İncelemede, ilgili kişinin Kurula şikayetten önce veri sorumlusunun cevabını beklemediği, erişim talebinin 30 gün içinde karşılandığı ve Kanunun 11. maddesinin tüm bentlerini kullanma talebi nedeniyle silme talebinin de bulunduğunun anlaşıldığı tespit edilmiştir. Kurul, tüm taleplerin karşılandığını ve veri kaybının olmadığını değerlendirerek şikayetle ilgili yapılacak işlem olmadığına karar vermiştir.
Bir forum sitesinde 4792 müşteriye ait kişisel verilerin satışa çıkarıldığına dair veri ihlali bildiriminde bulunulmuştur. Kurul, ihlalin daha önce hizmet alınan veri işleyen bünyesinde gerçekleştiğini ancak Kanunun 12/2 maddesi kapsamında veri sorumlusunun müşterek sorumluluğunun devam ettiğini tespit etmiştir. Veri işleyene sızma testi yaptırılmaması ve ticari ilişki sonlandıktan sonra verilerin imhasının sağlanmaması nedeniyle veri sorumlusuna 450.000 TL idari para cezası uygulanmış ve aynı veri işleyenden hizmet alan diğer veri sorumluları hakkında resen inceleme başlatılmasına karar verilmiştir.
Şikayette, kargo şirketinin ilgili kişi adına sehven fatura düzenlediği, bu faturanın başka bir firmaya gönderilen kargoya ait olduğu ve kişisel verilerin silinmesi talebinin yerine getirilmediği iddia edilmiştir. Kurul, ilgili kişinin kişisel verilerinin meslek kuruluşu ile yapılan indirim sözleşmesi kapsamında temin edilmesinin hukuka uygun olduğunu, ancak hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesinin hukuka aykırı veri işleme faaliyeti olduğunu tespit etmiştir. Veri sorumlusunun Kanun'un 12/1(a) bendi kapsamındaki yükümlülüğünü yerine getirmediği değerlendirilerek Kanun'un 18/1(b) bendi uyarınca idari para cezası uygulanmıştır. Verilerin mevzuat gereği saklanması nedeniyle silme talebinin reddinde hukuka aykırılık bulunmadığına karar verilmiştir.
Şikayette, bir haber sitesinde yayınlanan içerikte ilgili kişinin (kısıtlı bir çocuğun) fotoğrafının rızası olmadan ve yanlış bilgilerle birlikte kullanıldığı, fotoğrafın kaldırılması talebinin yerine getirilmediği iddia edilmiştir. Kurul, içeriğin veri sorumlusu bünyesinde çalışan bir editör tarafından oluşturulduğunu, dolayısıyla şirketin veri sorumlusu sıfatını haiz olduğunu tespit etmiştir. Haber içeriğinin kamu yararı taşımadığı ve kişilik haklarını ihlal ettiği değerlendirilerek Kanun'un 28/1(c) istisna kapsamında olmadığına, Kanun'un 5. maddesindeki işleme şartları bulunmadan veri işlendiğine ve veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.
Şikayette, iş sözleşmesi sendikal nedenlerle feshedilen bir işçi adına açılan işe iade davasında, ilgili kişinin sendika üyeliğinden istifa ettiği bilgisinin dava dilekçesinde paylaşıldığı iddia edilmiştir. Kurul, sendika üyeliği bilgisinin Kanun'un 6. maddesi kapsamında özel nitelikli kişisel veri olduğunu, ancak sendikal nedenle fesih iddiasının ispatı yükünün işçide olduğu davalarda, Avukatlık Kanunu'nun 2. maddesi ve Hukuk Muhakemeleri Kanunu'nun 119. maddesi uyarınca bu bilginin dava dilekçesinde kullanılmasının Kanun'un 6/3. fıkrası kapsamında kanunlarda öngörülen hal olarak değerlendirilebileceğini tespit etmiştir. Şikayetin Kanun'a aykırılık teşkil etmediğine karar verilmiştir.
Şikayette, bir avukatın icra takibi kapsamında ilgili kişinin T.C. kimlik numarası ve adresini rızası olmadan icra dairesine verdiği iddia edilmiştir. Kurul, İcra ve İflas Kanunu'nun 89. maddesi uyarınca borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla haciz ihbarnamesi gönderilmesi için gerekli bilgilerin paylaşılmasının Kanun'un 5/2(a) "kanunlarda açıkça öngörülmesi" ve 5/2(e) "bir hakkın tesisi, kullanılması veya korunması" şartlarına dayandığını tespit etmiştir. Şikayete ilişkin Kanun kapsamında işlem yapılmasına yer olmadığına karar verilmiş, ancak veri sorumlusuna başvuru cevaplama süresine uyması hatırlatılmıştır.
İhbarda, halı saha tesislerinde spor yapan kişilerin görüntülerinin açık rızaları alınmadan kaydedildiği ve internet sitesinde yayınlandığı iddia edilmiştir. Kurul, görüntü kayıtlarının Kanun'un 5. maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın işlendiğini, veri sorumlusunun Kanun'un 12/1(a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önleme yükümlülüğünü yerine getirmediğini tespit etmiştir. Bu nedenle veri sorumlusu hakkında Kanun'un 18/1(b) bendi uyarınca idari para cezası uygulanmış ve açık rıza alınması yönünde gerekli düzenlemelerin yapılması için talimat verilmiştir.
İhbarda, telekomünikasyon şirketinin bayilerinde numara taşıma işlemi sırasında müşteri kimlik belgelerinin çalışanların kişisel telefonlarıyla fotoğraflandığı ve bu durumun veri güvenliği riski oluşturduğu iddia edilmiştir. Kurul, kimlik fotokopisi alınmasının Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği uyarınca zorunlu olduğunu, veri sorumlusunun Kanun'un 5/2(a), (c), (ç) bentleri ile 12. maddesi kapsamındaki yükümlülüklerini yerine getirdiğini tespit etmiştir. Ancak genel ilkelere uyum için kurumsal cihaz kullanımının yaygınlaştırılması ve aydınlatma yükümlülüğünün yerine getirilmesi hususunda veri sorumlusu talimatlandırılmıştır.
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir şirkete ait web sitesi üzerinden daha önce kullandığı ancak şu anda kullanmadığı adres bilgilerinin silinmesini talep ettiği ancak bu yöndeki talebinin iki kez reddedildiği ve silme işleminin gerçekleştirilmeyeceğinin bildirildiği beyan ve iddiaları ile veri sorumlusu hakkında gerekli yasal işlemlerin yapılması talep edilmiştir.
Şikayette, internet hizmeti almak isteyen ilgili kişinin kimlik fotoğrafı çekilmek istendiği ancak "Müstenidattır" yazısı ekleme talebinin reddedildiği, sözleşme yapılmaması üzerine verilerinin silinmesi talebinin karşılanmadığı iddia edilmiştir. Kurul, kimlik fotoğrafı çekilmesinin Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği gereği zorunlu olduğunu, sözleşme kurulmasa da veri sorumlusunun savunma hakkını korumak için Kanun'un 5/2(e) bendi kapsamında asgari kimlik verisi işleyebileceğini tespit etmiştir. Ancak bu verilerin asgari süreyle sınırlı saklanması ve diğer verilerin imha edilmesi hususunda veri sorumlusu talimatlandırılmıştır.
Ilgili kisi, uluslararasi gecerliligi olan bir dil sinavina giris icin biyometrik fotograf ve parmak izinin herhangi bir veri isleme sartina dayanilmaksizin alindigini, kisisel verilerinin yurt disina aktarimi konusunda bilgilendirilmedigini ve reklam icin acik rizasi alinmadan e-posta gonderildigini sikayet etmistir. Veri sorumlusu, fotografin biyometrik olmayip vesikalik fotograf oldugunu, parmak tarama kayitlarinin sinav guvenligi icin alindigini ve yurt disina aktarilmadigini savunmustur. Kurul, kisisel verilerin sozlesmenin ifasi kapsaminda islendigini, aydinlatma metninde gerekli bilgilerin yer aldigini, ancak reklam icin acik riza alinmadigi tespit edilerek veri sorumlusu hakkinda talimat verilmesine karar vermistir.
Sikayetci, bosanma davasinda yargilanan esinin, musterek cocuklarina ait saglik ve epikriz raporlarini ustinaf dilekcesin ekinde kullandigini, bu raporlarin hastane tarafindan izni olmadan esinin vekiline verildigini sikayet etmistir. Hastane, cocuk hastaliklari uzmani doktorun belgeleri vekile verdigi ikrar edilerek, doktorun yogun poliklinik kosullari nedeniyle yasal duzenlemeleri hatirlamasinin mumkun olmadiginin degerlendirildigini bildirmistir. Kurul, veri sorumlusunun ozel nitelikli kisisel verilerin aktariminda Kanun'un 6'nci ve 8'inci maddelerine aykiri davrandigini, veri guvenligi tedbirlerinin yetersiz oldugunu tespit ederek idari para cezasi uygulanmasina ve personele kisisel verilerin korunmasi egitimlerinin verilmesi yonunde talimat verilmesine karar vermistir.
Ilgili kisi, dogal gaz dagitim sirketi tarafindan duzenlenen faturalarda otomatik odeme talimati bolumunde banka adi bilgisine yer verildigini, bu bilginin kisisel veri niteliginde oldugunu ve ucuncu kisilerle paylasilmasi anlamina geldigini sikayet etmistir. Veri sorumlusu, banka bilgisinin otomatik odeme talimati veren musterilerin bankalari araciligiyla sistem entegrasyonu kapsaminda aktarildigini savunmustur. Kurul, ilgili kisinin talebinin veri sorumlusu tarafindan karsilandigini, tum musterilerin faturalarinda banka adi yerine sadece VAR ifadesinin yazilacak sekilde duzenleme yapildigini tespit ederek sikayetin reddine karar vermistir.
Sikayetci, bosanmis esi tarafindan cocugunun dogum belgesinin hastaneden temin edilerek yargilamanin iadesi davasina delil olarak sunuldugunu, hastaneye yaptigi basvuruya cevap alinmadigini sikayet etmistir. Hastane, evrak yogunlugu nedeniyle basvurunun ilgili birimlere iletilemedigini, belgenin ucuncu kisilerce gizlice fotograflandigini ve bununla ilgili suc duyurusunda bulunuldugunu savunmustur. Kurul, veri sorumlusunun Kanun'un 13'uncu maddesi kapsaminda basvuruya 30 gun icinde cevap vermedigini, bu durumun hukuka aykiri oldugunu belirleyerek basvurulara yasal sureler icinde cevap verilmesi ve veri guvenligi tedbirlerinin gozden gecirilmesi hususunda talimat verilmesine karar vermistir.
Ilgili kisi, veri sorumlusunun internet sitesi uzerinden is basvurusunda bulundugunu, mulakattin olumsuz sonuclanmasi uzerine kisisel verilerinin silinmesini talep ettigini, ancak isim-soyisim ve kimlik numarasinin gelecekte yapilacak basvurularda degerlendirilmek uzere saklanacaginin bildirildigini sikayet etmistir. Veri sorumlusu, kisisel verilerin Kanun'un 5'inci maddesinin (2) numarali fikrasinin (c), (e) ve (f) bentleri kapsaminda islendigini, ilgili kisinin talepleri uzerine tum verilerin silindigini savunmustur. Kurul, veri sorumlusunun ilgili kisinin taleplerini karsiladigini ve verilerin silindigini tespit ederek sikayetin reddine karar vermistir.
Ilgili kisi, internet alisveris sitesinden ev adresine teslim talepli verdigi siparislerin, belirtmedigi halde isyeri adresine gonderildigini tespit ederek kargo sirketi hakkinda sikayet etmistir. Veri sorumlusu kargo sirketi, ilgili kisinin basvurusunda T.C. kimlik numarasinin bulunmadigini, isyeri adresinin onceki kargolardan elde edildigini ve yasal zorunluluklar nedeniyle silinemedigini savunmustur. Kurul, ilgili kisinin adresinin onceki siparislerde verilen bilgilerden elde edildigini, hatali teslimat nedeniyle musterinin magdur edilmemesi icin gerekli tedbirlerin alindigini tespit ederek sikayetin reddine karar vermistir.
Ilgili kisi, sigortacilik alaninda faaliyet gosteren sirket tarafindan cep telefonuna, 24 saat icinde iptal yaniti verilmezse aranmak icin olumlu yanit verildigi varsayilacak icerikli SMS gonderildigini sikayet etmistir. Veri sorumlusu, ilgili kisinin telefon numarasini bir Baronun resmi internet sitesinden temin ettigini ve Kanun'un 5'inci maddesinin (2) numarali fikrasinin (d) bendi kapsaminda aleni veri oldugunu savunmustur. Kurul, aleni verinin serbest olmadigi surece islenemeyecegini, mesajdaki zimni onay mekanizmasinin acik riza kosuluyla bagdasmadigini tespit ederek veri sorumlusu hakkinda idari para cezasi uygulanmasina ve ilgili kisinin verilerinin silinmesi yonunde talimat verilmesine karar vermistir.
Ilgili kisi, ogrenci olarak ogretmenleri ile yaptigi bir gorusmede rizasi olmaksizin fotografinin cekilerek okulun brosurunde ve internet sitesinde kullanildigini sikayet etmistir. Veri sorumlusu okul, fotografin ozel olarak cekilmedigini, tum ogrencilerin katildigi etkinlik sirasinda cekildigini ve veliden izin alindigini savunmustur. Kurul, veliden alinan yazili iznin bulundugunu, ancak ilgili kisinin okul degistirmesi uzerine acik rizasini geri alabilecegini degerlendirmis, veri isleme sartlarinin ortadan kalkmasi halinde fotograflarin silinmesi gerektigi yonunde veri sorumlusuna talimat verilmesine karar vermistir.
Ilgili kisi, sikayette bulunan dijital platform ile hicbir iliskisi olmamasina ragmen surekli olarak cagri merkezinden aranarak uyelik icin pazarlama yapildigini sikayet etmistir. Dijital platform, ilgili kisinin sistemlerinde kayitli olmadigini ve aramanin bir bayii tarafindan yapildigini bildirmistir. Kurul, bayiinin dijital platformdan bagimsiz olarak kisisel verileri elde ederek arama yaptigini, ancak dijital platformun bayii ile olan iliskisinde kisisel verilerin korunmasina iliskin gerekli denetim ve kontrolu saglamadigini tespit ederek dijital platformun veri isleme sureclerini gozden gecirmesi ve bayilerini bilgilendirmesi yonunde talimat verilmesine karar vermistir.
Ilgili kisi, veri sorumlusu hastane tarafindan telefonuna acik rizasi olmaksizin reklam ve pazarlama amacli SMS gonderildigini sikayet etmistir. Hastane, sikayetcinin sistemlerinde kaydi olmadigini savunmus, ancak gonderilen SMS'lerdeki MERSİS numarasinin hastaneye ait oldugu tespit edilmistir. Kurul, ilgili kisiye vekili araciligiyla ihtarname gonderildigini ve hastane tarafindan cevap verilmedigini belirlenmis, Kanun'un 5'inci maddesindeki sartlardan birine dayanmaksizin kisisel veri islendigi icin veri sorumlusu hakkinda idari para cezasi uygulanmasina ve kisisel verinin imha edilmesi yonunde talimat verilmesine karar vermistir.
İlgili kişi, işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin kendisine iletilmesini talep etmiş, veri sorumlusu ise kimlik doğrulama için ek bilgi istemiş ve gmail adresine şifrelenmiş dosya göndererek şifre için telefon aramasını talep etmiştir. İlgili kişi bu güvenlik önleminin hukuka aykırı olduğunu ve verilerine erişiminin engellendiğini şikayet etmiştir. Kurul, veri sorumlusunun ilgili kişinin verilerine erişim talebini şifreleme yöntemi ile güvenli bir şekilde karşıladığını, bu uygulamanın Kanun'un 12'nci maddesi kapsamında veri güvenliğini sağlamaya yönelik meşru bir tedbir olduğunu değerlendirerek şikayetin reddine karar vermiştir.
Ilgili kisi, farkli bir sahis yerine sehven T.C. kimlik numarasinin kaydedilmesi nedeniyle Banka, Varlik Yonetim Sirketi ve avukatlar tarafindan borclu olmadigi halde icra takibi baslatildigini, KKB kayitlarina kara liste olarak islendigini sikayet etmistir. Banka, 2017'de basvuru uzerine hatanin duzeltildigini ve Varlik Yonetim Sirketine bildirim yapildigini savunmustur. Kurul, Bankanin sehven yanlis T.C. kimlik numarasi kaydederek veri isleme ilkelerine aykiri davrandigini, ilgili kisinin talebine ragmen duzeltmenin gecikmeli yapildigini tespit ederek Banka hakkinda Kanun'un 18'inci maddesi uyarinca 100.000 TL idari para cezasi uygulanmasina ve Varlik Yonetim Sirketi ile avukatlarin kayitlarini duzeltmesi yonunde talimat verilmesine karar vermistir.
Bir e-ticaret sitesinin hizmet aldigi yardim masasi panelinde yapilan toplu yetkilendirme calismasinda SQL Script kodundaki hata sonucu, partner firmaya yanlis yetki verilmis ve 13 farkli firmanin yardim masasi bildirimlerine erisim saglanmistir. Kurul, ihlalin veri sorumlusunun ihmalinden kaynaklandigini, 950'den fazla kisinin etkilendigini ve veri guvenligine yonelik gerekli teknik tedbirlerin alinmadigini tespit etmistir. Kanun'un 18'inci maddesinin (1) numarali fikrasinin (b) bendi uyarinca 300.000 TL idari para cezasi uygulanmasina ve bilgi belge talebine iliskin gerekli dikkat ve ozenin gosterilmesi hususunda talimat verilmesine karar verilmistir.
E-ticaret sitesinde pazar yeri modeli ile satis yapmak isteyen partner firma, sisteme giris sirasinda bir guvenlik acigi kesfederek ucuncu kisilerin bilgilerine eristiklerini veri sorumlusuna bildirmistir. Veri sorumlusu, partner firma ile gizlilik sozlesmesi imzalayarak durumu kapatmaya calismis, ancak ihbarin Kuruma yapilmasi uzerine inceleme baslatilmistir. Kurul, ihlalin 22.10.2019'da gerceklesip ayni gun tespit edilmesine ragmen Kuruma bildirilmedigini tespit etmis, veri guvenligini saglamaya yonelik teknik tedbirleri almayan ve bildirim yukumlulugune aykiri davranan veri sorumlusu hakkinda toplam 800.000 TL idari para cezasi uygulanmasina karar vermistir.
Ilgili kisi, veri sorumlusunun is yerinde pilates egitmeni olarak calistigi donemde cekilen fotograflarinin, is iliskisi sona erdikten sonra veri sorumlusunun sosyal medya hesabinda herkese acik sekilde paylasildigi ve talebine ragmen kaldirilmadigini sikayet etmistir. Veri sorumlusu Kuruma savunma sunmamis, ancak ilgili kisiye verdigi cevapta fotograflarin izinle cekildigini ve talepten sonra kullanimdan vazgecildigini belirtmistir. Kurul, veri isleme sartlarinin ortadan kalkmasi halinde verilerin silinmesi gerektigini, veri sorumlusunun Kanun'un 15'inci maddesi kapsaminda Kurul kararini uygulamasi gerektigi yonunde talimat verilmesine karar vermistir.
Ihbar eden ilgili kisi, bireysel emeklilik sigorta sirketinin internet sayfasindan police bilgilerine ulasmak icin giris yaparken kisisel verilerin islenmesine riza gostermeye zorlandigi, bu kutuyu isaretlemeden hicbir islem yapilamadigini bildirmistir. Kurul, veri sorumlusunun aydinlatma ve acik riza metinlerini ayirmadigi, bu haliyle aydinlatma yukumlulugunu usulune uygun yerine getirmedigi ve acik rizayi hizmet sartinamit baglama ihtimali bulundugu tespit edilmistir. Veri sorumlusunun aydinlatma yukumlulugunu mevzuata uygun hale getirmesi ve acik rizayi hizmet sartina baglamamasi yonunde talimat verilmesine karar verilmistir.
Veri sorumlusu hastanede calisan bir hekim, 789 hastaya ait dosyalarin arsivden alinarak hastane disina cikarilmasini saglamis, bu durum 17 gun sonra kamera kayitlarinin incelenmesiyle tespit edilmistir. Dosyalarin 54'u yediemine teslim edilmis, geriye kalanlarinin akibeti bilinmemektedir. Kurul, dosya guvenligine yonelik yeterli tedbirlerin alinmadigini, calisanlara kisisel verilerin korunmasi egitiminin tamamlatilmadigini ve ihlalin tespitinden 25 gun sonra Kuruma bildirildigini, ilgili kisilere bildirim yapilmadigini tespit etmistir. Kanun'un 12'nci maddesi kapsaminda veri guvenligini saglamamak ve bildirim yukumlulugunu yerine getirmemek nedeniyle toplam 600.000 TL idari para cezasi uygulanmasina karar verilmistir.
Ilgili kisi, oturdugu sitenin yonetim sirketinin telefon numarasini rizasi disinda bir mobil uygulama ile paylastigini ve bilgi mesajlari gonderildigini sikayet etmistir. Yonetim sirketi, uygulamayi yonetim hizmetleri icin kullandigini ve ilgili kisinin kendisinin programa kaydoldugunu iddia etmistir. Kurul, ilgili kisinin ikamet ettigi sitede Kat Mulkiyeti Kanunu'ndan kaynaklanan yukumlulukler icin verilerin islenmesinin zorunlu oldugunu, ancak veri aktarimi sirasinda aydinlatma yapilmasi gerektigini tespit ederek yonetim sirketinin aydinlatma yukumlulugunu yerine getirmesi yonunde talimat verilmesine karar vermistir.
Ilgili kisi, maas musterisi oldugu bankanin mobil uygulamalari uzerinden acik rizasi alinmadan tanitim iletileri gonderildigini, kisisel verilerinin silinmesi talebine cevap olarak hesap ve kredi kartlarinin iptal edildigini sikayet etmistir. Banka, kullanicilarin uygulamayi indirdikten sonra bildirim tercihi istendigini, izin vermeyenlere pazarlama iletisi gonderilmedigini ve ilgili kisinin silme talebine istinaden hesabinin kapatildigini, ancak sonrasinda yeniden hesap acildigini savunmustur. Kurul, veri sorumlusunun Kanun'un 7'nci maddesi kapsaminda hareket ettigini ve ilgili kisiye zarar olusmadigini belirleyerek sikayetin reddine karar vermistir.
İlgili kişi, 2003 yılında kurulan bankacılık ilişkisinin sona ermesine rağmen kişisel verilerinin 16 yıldır saklandığını, SMS'ler gönderildiğini ve kredi kartı teklifleri için arandığını şikayet etmiştir. Banka, 5411 sayılı Bankacılık Kanunu'nun 42'nci maddesi gereğince müşteri bilgilerinin son işlem tarihinden itibaren 10 yıl saklanması gerektiğini, e-haciz iptali gibi yasal bilgilendirme içeren SMS'lerin iletişim izni gerektirmediğini savunmuştur. Kurul, veri sorumlusunun başvuruya 2 gün gecikmeli cevap vermesinin hukuka uygun olmadığını belirleyerek bu konuda dikkatli olunması gerektiği yönünde talimat verilmesine karar vermiştir.
Ilgili kisi, trafik kazasi sonrasi kasko policesi kapsaminda hasar dosyasi acildigini, ancak aracinin pert sureci islemlerinin bilgisi ve onay olmadan ucuncu bir sirkete aktarildigini sikayet etmistir. Veri sorumlusu sigorta sirketi, sovtaj yonetimi hizmetleri kapsaminda ucuncu kisi sirketle sozlesme imzaladigini ve kisisel verilerin sozlesmenin ifasi icin aktarildigini savunmustur. Kurul, aktarimin Kanun'un 8'inci maddesi kapsaminda sozlesmenin ifasi ile ilgili oldugunu, aydinlatma metninde bu hususun belirtildigini tespit ederek sikayetin reddine karar vermistir.
Veri sorumlusu e-ticaret sitesinde yeni bir kampanya nedeniyle yuksek erisim yasanmis, veri isleyen tarafindan eklenen yeni sunucularda DDos koruma fonksiyonunun hatali calismasi sonucunda 48 dakika boyunca uye girisi yapan musterilere rastgele diger uyelerin profil bilgileri (ad-soyad, e-posta, adres) gorunur olmustur. Kurul, fonksiyonun canli ortama alinmadan once yeterli test yapilmadan uygulamaya konuldugunu, sitenin yogun oldugu saatlerde degisiklik yapildigini ve kisisel verilerin sifreleme/maskeleme ile korunmadigini tespit etmistir. Kanun'un 12'nci maddesinin (1) numarali fikrasi kapsaminda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkinda Kanun'un 18'inci maddesi uyarinca 200.000 TL idari para cezasi uygulanmasina karar verilmistir.
Ilgili kisi, bir tur sirketinden tatil paketi satin aldiktan sonra paylastigi kisisel verilerinin ucuncu bir kisiye aktarildigini ve mahkeme dosyasina sunuldugunu sikayet etmistir. Veri sorumlusu, tum satis kanallarindan yapilan rezervasyonlarin tek bir satis altyapisinda saklandigini, log kayitlarinin tutuldugunu ve ilgili kisinin verilerinin hicbir sekilde ucuncu kisilerle paylasilmadigini savunmustur. Kurul, log kayitlarini inceleyerek veri sorumlusunun ilgili kisinin verilerini Kanun'a aykiri sekilde ucuncu kisilerle paylastigina dair yeterli delil bulunmadigini belirlemis ve sikayetin reddine karar vermistir.
Sikayetci, olen esinin hayat sigortasi policesisnin, is kazasi nedeniyle yapilmasi gereken odeme miktarinin tespiti icin gerekli oldugunu, ancak veri sorumlusu sigorta sirketi tarafindan ozel vekaletname gerektiği gerekçesiyle policenin verilmedigini sikayet etmistir. Kurul, muteveffanin Grup Hayat Sigortasi Policesi kapsaminda sigortali oldugunu, sigorta teminatinin tamaminin murislere odendigini, muteveffanin taraf olmadigi Grup Sigortasi Sozlesmesi'nin paylasilma yukumlulugu bulunmadigini tespit etmistir. Sikayetcinin policenin tam metnini sigorta ettiren bankadan veya yargi yoluyla talep edebilecegi degerlendirilerek sikayetin reddine karar verilmistir.
Ilgili kisi, kamu kurumu personeli olan bosanma surecindeki esinin, gorev geregi eristigi SGK sisteminden T.C. kimlik numarasi ile maas bilgilerini sorguladigini ve bosanma davasinda mahkeme ile paylaştığını sikayet etmistir. Kurul, ilgili personelin evlilik devam ederken ve esinin bilgisi dahilinde sorgulama yaptigini beyan ettigini ancak sistemin amaci disinda kullanildigini, bunun veri isleme ilkelerine aykiri oldugunu tespit etmistir. Ilgili personelin Il Mudurlugu tarafindan yazili olarak uyarildigi belirtilmis, veri sorumlusu kamu kurumunun erisim yetkilerini gozden gecirmesi ve gerekli tedbirleri almasi yonunde talimat verilmesine karar verilmistir.
COVID-19 salgini nedeniyle yasanan zorluklar gerekce gosterilerek cesitli veri sorumlulari, ust kuruluslar ve kamu kurumlari tarafindan Veri Sorumlulari Sicili'ne (VERBİS) kayit surelerinin uzatilmasi talep edilmistir. Kurul, yillik calisan sayisi 50'den cok veya yillik mali bilanco toplami 25 milyon TL'den cok olan veri sorumlulari, ana faaliyet konusu ozel nitelikli kisisel veri isleme olan veri sorumlulari ve kamu kurum ve kuruluslari icin Sicile kayit yukumlulugunu yerine getirme suresinin 31.12.2021 tarihine kadar uzatilmasina oybirligi ile karar vermistir.
Ilgili kisi, taraf olmadigi bir icra dosyasi ile ilgili telekomunkasyon sirketi adina hareket eden hukuk burosu tarafindan telefon numarasina mesajlar gonderildigini, her iki tarafa yaptigi basvuruya yasal surede cevap alamadigini sikayet etmistir. Kurul, avukatin muvekkili ile arasindaki vekalet sozlesmesi kapsaminda ayri bir veri sorumlusu sifatini haiz oldugunu, borclu sirketin ortagi olarak Ticaret Sicil Gazetesi'nden ilgili kisinin ismini ogrendigini ve BTK yetkilisi bir kurulustan telefon numarasina ulastigini tespit etmistir. Avukatin Kanun'un 5'inci maddesinin (2) numarali fikrasinin (e) bendi kapsaminda bir hakkin tesisi icin veri islemesinin meşru sayilabilecegine, ancak Kanun'un 10'uncu maddesi kapsaminda aydinlatma yukumlulugunu yerine getirmesi gerektigi yonunde talimat verilmesine karar verilmistir.
Ilgili kisi, bir egitim kurumu tarafindan cep telefonuna acik rizasi olmaksizin reklam/bildirim amacli SMS gonderildigini sikayet etmistir. Yapilan incelemede, SMS gonderiminin isim hakki sozlesmesi kapsaminda faaliyet gosteren baska bir sirket tarafindan gerceklestirildigini, bu sirketin telefon numarasini anket yapan firmalardan aldigini beyan ettigi tespit edilmistir. Kurul, ilgili kisinin telefon numarasinin ucuncu bir kisi tarafindan anket formuna sehven girildigini, veri sorumlusunun acik rizanin alindigina dair ispat yukumlulugunu yerine getiremedigini belirleyerek Kanun'un 18'inci maddesi uyarinca idari para cezasi uygulanmasina karar verilmistir.
Ilgili kisi, is sozlesmesinin feshedilmesi surecinde sahsi esyalarina el konuldugunu, sirket bilgisayarinin ve kisisel harici hard diskinin alindigini, e-postalarinin incelendigini ve sifreleri ile banka bilgilerinin ekrana yansitildigini sikayet etmistir. Kurul, ilgili kisinin ayni iddialari daha once is mahkemesinde dava konusu yaptigini ve mahkemenin bu iddialari hakli bulmadigini, davalarin halen istinaf asamasinda oldugunu tespit etmistir. Dilekce Hakkinin Kullanilmasina Dair Kanun'un 6'nci maddesinin (b) bendi kapsaminda konunun yarginin gorev alanina girdigi degerlendirilerek Kurul'un bu konuda karar almasina yer olmadigina karar verilmistir.
Bir bankanin sube calisaninin, musteri sikayet uzerine yapilan incelemede, kendisine tanimlanan Musteri Bilgileri ve Belgeleri gozlem yetkisini amaci disinda kullanarak bir musterinin kimlik goruntusunu sahsi cep telefonu ile fotograflayip ucuncu kisiyle paylastigi tespit edilmistir. Kurul, calisanlarin sinirsiz sayida musteri bilgisi sorgulayabildigini, sorgulama kota limitlerinin ihlalden sonra getirildigini ve verilen egitimler ragmen calisanin rol ve sorumluluklari hakkinda farkindaliginin saglanamdigini belirlenmistir. Kanun'un 18'inci maddesinin (1) numarali fikrasinin (b) bendi uyarinca 100.000 TL idari para cezasi uygulanmasina karar verilmistir.
Veri sorumlusu emeklilik sirketi, bilgi sistemleri hizmeti aldigi veri isleyende meydana gelen sistemsel hata nedeniyle 28 musteri sirkete, diger 31 musteri sirketin calisanlarina ait kisisel verileri iceren raporlari hatali sekilde gondermistir. Kurul, ihlalin 2018 yilinda gerceklesmesine ragmen 2020 yilinda tespit edildigini, uygulama yaziliminda gerekli kontrollerin yapilmadigini ve veri guvenliginin takibinin saglanmadigini belirlenmistir. Kanun'un 18'inci maddesinin (1) numarali fikrasinin (b) bendi uyarinca 125.000 TL idari para cezasi uygulanmasina ve ilgili kisilere yapilacak bildirimlerin Kurulun 2019/271 sayili Kararina uygun olmasi yonunde talimat verilmesine karar verilmistir.
Kararda, ilgili kisinin kisisel verilerinin islenmesine iliskin sikayeti incelenmistir. Kurul, veri sorumlusunun savunmasini ve ileri surulen iddialari Kanun huumleri cercevesinde degerlendirmis, kisisel verilerin islenmesinin hukuki temelini incelemistir. Yapilan degerlendirmeler sonucunda karar verilmistir.
Veri sorumlusu sigorta acentesinin eski bir calisaninin, gorev geregi eristigi 544 musteriye ait kimlik, iletisim ve arac plaka numaralarini kurumsal e-posta adresinden sahsi gmail hesabina gonderdigi ve sonrasinda yeni isyerine aktardigi tespit edilmistir. Kurul, DLP sistemlerinin dogru yapilandirilmadigi, log kayitlarinin duzenli kontrol edilmedigi ve calisana verilen kisisel veri koruma egitimlerinin tamamlanmadan isten ayrilmasina izin verildigi icin veri guvenligine yonelik gerekli teknik ve idari tedbirlerin alinmadigini belirlenmistir. Kanun'un 18'inci maddesinin (1) numarali fikrasinin (b) bendi uyarinca 150.000 TL idari para cezasi uygulanmasina karar verilmistir.
İlgili kişi, yakınına ait borca ilişkin cep telefonuna SMS gönderildiğini şikayet etmiştir. İncelemede, borç tahsilatı için kullanılan Yasal Takip Sistemine ilgili kişinin telefon numarasının ilk Hukuk Bürosu çalışanı tarafından girildiği ve ikinci Hukuk Bürosu tarafından bu numaraya SMS gönderildiği tespit edilmiştir. Kurul, her iki Hukuk Bürosu Avukatının veri sorumlusu sıfatını haiz olduğunu, alacaklı Şirketin ise verilerin doğruluğunu denetlemeden paylaştığını değerlendirerek ilk Avukata 50.000 TL, Şirkete 115.000 TL ve SMS gönderen ikinci Avukata 50.000 TL olmak üzere toplam 215.000 TL idari para cezası uygulamıştır.
İlgili kişi, bankaya olan borcu nedeniyle kız kardeşinin cep telefonunun banka avukatı tarafından aranarak ve SMS gönderilerek kişisel verilerinin hukuka aykırı paylaşıldığını şikayet etmiştir. Kurul, kız kardeşinin telefon numarasının banka sistemine açık rıza olmadan kaydedildiğini ve Yasal Takip Sisteminde avukat ile paylaşıldığını tespit etmiştir. Bankanın borçlu dışındaki kişilerin verilerini avukat ile paylaşmasının hukuka aykırı olduğu değerlendirilerek bankaya 175.000 TL idari para cezası uygulanmış, numaranın borçluya ait olmadığını bilemeyecek durumda olan avukat hakkında ise yapılacak işlem olmadığına karar verilmiştir.
Şikayette, bir e-ticaret sitesinden alışveriş yapan ilgili kişinin aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği iddia edilmiştir. Kurul, veri sorumlusunun internet sitesinde yer alan "Kişisel Veriler Politikası" metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5. maddesinin (g), (ğ) ve (j) bentlerine aykırı olduğunu tespit etmiştir. Karar kapsamında Kanun'un 10. maddesi uyarınca aydınlatma yükümlülüğünün usulüne uygun yerine getirilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusu talimatlandırılmıştır.
Kuruma yapilan ihbarda, veri sorumlusunun Istanbul Havalimani subesinde dis hatlara gelen yolculara kontorlü hat satisi yapilirken musteri pasaport fotograflarinin rizasi olmadan cekilip whatsapp grubunda depolandigi ve ucuncu kisilerle paylasildiginin iddia edildigi, ihbarcinin eski calisan olarak bu gruplara uye oldugu belirtilmistir. Veri sorumlusu, sistem uzerinde yapilan her islemin telekomunkasyon sirketi tarafindan kontrol edildigini, sahsi telefonlarin magazada kullaniminin yasak oldugunu savunmustur. Kurul, veri sorumlusunun calisanlarini kisisel verilerin korunmasi konusunda bilgilendirdigini, ancak calisanlarin bu kurallara uygun davranmadiginin tespit edildigini, veri sorumlusunun gerekli teknik ve idari tedbirleri aldigini belirleyerek sikayetin reddine karar vermistir.
Kuruma intikal eden bir şikâyette; başvuru sahibi Hastanenin, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. 125.000 TL idari para cezası uygulanmıştır.
Ilgili kisi, kredi karti borcuna iliskin banka tarafindan ablasi ve babasina ait telefon numaralarinin arandigini, ailelerinin iletisim bilgilerine nasil ulasildigi ve kisisel verilerinin ucuncu kisilerle neden paylasildigini sikayet etmistir. Banka, ilgili kisiye ulasilamadigi durumlarda Risk Merkezi'nden elde edilen alternatif numaralardan arandigini, yapilan gorusmelerde sadece geri arama notu birakildigini, ilgili kisinin talebi uzerine bu numaralardan aranmama kaydinin olusturuldugunu savunmustur. Kurul, verilerin Risk Merkezi'nden yasal duzenlemeler cercevesinde elde edildigini, ancak ucuncu kisilerin aranmasinin Kanun'a uygun olup olmadiginin degerlendirilmesi gerektigi ve ilgili kisinin talebinin karsilanmis oldugu dikkate alinarak sikayetin reddine karar vermistir.
Ilgili kisi, bosanma davasinda esi tarafindan kendisine ait karsiliksiz cek bilgilerinin ve tedbir kararlarina iliskin bilgilerin Banka uzerinden sorgulanarak mahkemeye sunuldugunu sikayet etmistir. Banka, sube calisani olan diger esin gorevinden kaynaklanan yetkisini amaci disinda kullandigini tespit ederek disiplin sureci baslattigini, ancak musterilerin birbirini tanimasi nedeniyle Banka sistemlerinden sorgulanmanin onlenemeyecegini savunmustur. Kurul, sorunun tespit edilip gerekli islemlerin yapildigini ve ilgili kisinin ayni iddialari yargi yoluna tasimis olmasini degerlendirerek Kanun kapsaminda yapilacak islem bulunmadigina karar vermistir.
Fatura, ekstre gibi kişisel veri içeren dokümanların SMS/e-posta ile gönderiminde, ilgili kişilerin beyan ettiği iletişim bilgilerinin doğruluğunun teyit edilmesi gerektiğine, aksi halde üçüncü kişilere veri aktarımının Kanun'a aykırılık oluşturacağına dair ilke kararı verilmiştir.
Güvenlik seviyesini artırmak amacıyla yeni sunucuya geçiş sürecinde sistem parametreleri optimize edilmediğinden 337 çalışanın maaş bordrosu yanlış çalışanlara e-posta ile gönderilmiştir. İhlalin gerçekleşmesinden 13 dakika sonra tespit edildiği ve 2 saat içinde sonlandırıldığı görülmüştür. Kurul, ihlalin kısa sürede tespit ve giderildiğini, çalışanlar arasında gerçekleştiğinden olumsuz etki riskinin düşük olduğunu değerlendirerek yapılacak işlem olmadığına, ancak 72 saat içinde bildirim yapılmadığından daha dikkatli olunması talimatı vermiştir.
Sigorta şirketinin çağrı merkezi çalışanı, sağlık yenileme talebinde bulunan bir müşteriye sehven başka bir müşterinin poliçe muafiyet bildirimini göndermiştir. DLP sistemi kontrolleri sırasında tespit edilen ihlalden 1 kişinin kimlik, iletişim ve sağlık verileri etkilenmiştir. Kurul, ihlalin 72 saat içinde Kurula bildirildiğini ve ilgili kişiye bildirim yapılacağını değerlendirerek Kanunun 12. maddesi kapsamında yapılacak işlem olmadığına, ancak sehven gönderilen verilerin silindiğine dair belge sunulması talimatı vermiştir.
Veri sorumlusunun kurum içi arşiv platformunda, eğitim sorumlusu çalışanın kullanıcı listesini ortak klasörde saklaması sırasında sehven şifre bilgilerinin de görünür hale gelmesiyle veri ihlali gerçekleşmiştir. İhlalden 2 kişi etkilenmiş, 8 kullanıcı tarafından erişilebilmiş ve dosya ivedilikle kaldırılmıştır. Kurul, ihlalin 72 saat içinde bildirilmemesine rağmen çok uluslu yapı dikkate alınarak makul sürede bildirim yapıldığını, gerekli tedbirlerin alındığını değerlendirerek Kanunun 12. maddesi kapsamında yapılacak işlem olmadığına ve ilgili kişilere bildirim yapılması konusunda daha dikkatli olunması talimatı vermiştir.
Üniversite öğretim üyesi olan ilgili kişi, aile yakınının işe alınmasına ilişkin sosyal medyada yayınlanan haberlerin arama motorundan kaldırılmasını talep etmiştir. Kurul, 2020/481 sayılı Kararında belirlenen kriterleri uygulayarak, ilgili kişinin kamusal alanda görev yapması, haberlerin güncel ve gazetecilik faaliyeti kapsamında olması, bilginin özel nitelikli kişisel veri taşımaması ve suç içermemesi değerlendirmelerini yapmıştır. Arama motorunun indeksten çıkarmayı reddetme işleminin yerinde olduğuna, haberlerin gerçeği yansıtmadığı iddiasının ise yargı mercilerine taşınması gerektiğine karar verilmiştir.
Belediye personeli olan ilgili kişi, mesai kontrolü için parmak izinin alınmasının hukuka aykırı olduğunu şikayet etmiştir. Kurul, Danıştay kararlarına da atıfla, üstün güvenlik önlemi gerektirmeyen alanlarda mesai kontrolü için parmak izi alınmasının ölçülülük ilkesine aykırı olduğunu tespit etmiştir. Veri sorumlusunun alternatif yöntemler (sicil numarası, şifreli giriş, ıslak imza) kullanabildiği dikkate alınarak biyometrik veri işleme sisteminin kaldırılması, mevcut verilerin imha edilmesi ve disiplin hükümlerinin işletilmesi talimatı verilmiştir.
Sigorta şirketinin test sunucusuna siber saldırı gerçekleştirildiğine ve 311 kişinin T.C. kimlik no, isim ve e-posta bilgilerinin etkilendiğine dair veri ihlali bildiriminde bulunulmuştur. Kurul, test sunucusunun sızma testlerine dahil edilmediğini, zayıf parola kullanıldığını, test için gerçek veri işlendiğini ve SSL VPN gibi güvenlik önlemlerinin alınmadığını tespit etmiştir. Teknik tedbirlerin yetersizliği nedeniyle 300.000 TL, 72 saatlik bildirim süresine uyulmaması ve ilgili kişilere bildirim yapılmaması nedeniyle 30.000 TL olmak üzere toplam 330.000 TL idari para cezası uygulanmıştır.
Mağazada alışveriş yapan müşterinin e-faturası, aynı ad-soyada sahip başka bir müşterinin e-posta adresine gönderilmiştir. CRM sistemindeki telefon numarası karışıklığından kaynaklanan ihlalin ertesi gün tespit edildiği, hatalı e-postanın silinmesi sağlandığı ve ilgili kişiye telefon ile bildirim yapıldığı görülmüştür. Kurul, ihlalden 1 kişinin etkilendiğini ve olumsuz etki riskinin düşük olduğunu değerlendirerek Kanunun 12. maddesi kapsamında yapılacak işlem olmadığına karar vermiştir.
Sağlık sektöründe faaliyet gösteren veri sorumlusunun kullandığı yaygın bir uygulamadaki açıktan yararlanılarak sunucuya zararlı yazılım yüklendiğine dair veri ihlali bildiriminde bulunulmuştur. İhlalden 200 kişinin kimlik, iletişim ve fatura bilgileri etkilenmiştir. Kurul, ihlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmadığını, makul teknik ve idari tedbirlerin alındığını ve ihlale kısa zamanda müdahale edildiğini değerlendirerek ilgili kişilere bildirim yapıldığına dair belge sunulması halinde yapılacak işlem olmadığına karar vermiştir.
Eski çalışan olan ilgili kişi, şirket devri sonrası aydınlatma yapılmadığını, sağlık verilerinin açık rızası olmadan işlendiğini ve ticari elektronik ileti gönderildiğini şikayet etmiştir. Kurul, kişisel verilerin 2014-2015 yıllarında Kanun yürürlüğe girmeden önce işlendiğini, özlük dosyasının İş Kanunu ve Sosyal Sigortalar Kanunu kapsamında tutulduğunu, sağlık verilerinin sır saklama yükümlülüğü altındaki iş yeri hekimi tarafından işlendiğini değerlendirerek şikayetle ilgili yapılacak işlem olmadığına karar vermiştir.
Banka hakkında daha önce verilen Kurul kararında aydınlatma metninin Tebliğ hükümlerine uygun hale getirilmesi talimatı verilmişti. İnceleme sonucunda, bankanın aydınlatma metninde kişisel verilerin hangi işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer vermediği, sadece Kanun maddelerini sıraladığı tespit edilmiştir. Kurul kararına uyulmaması ve Kanunun 15/5 maddesine aykırı hareket edilmesi nedeniyle bankaya 120.000 TL idari para cezası uygulanmıştır.
Banka hakkında daha önce verilen Kurul kararında aydınlatma metninin güncellenmesi ve faaliyet bazlı aydınlatma yapılması talimatı verilmişti. İnceleme sonucunda, bankanın yeni bir aydınlatma metni hazırladığı ancak kişisel verilerin hangi işleme şartına dayanılarak işlendiğini ayrıntılı belirtmediği, farklı bankacılık ürünleri için genel nitelikli aydınlatma metni kullandığı tespit edilmiştir. Kurul kararının yerine getirilmemesi nedeniyle bankaya 120.000 TL idari para cezası uygulanmıştır.
Veri sorumlusunun çalışanı, 400 kişilik alıcı grubuna e-posta gönderirken sehven 43 müşterinin e-posta adresini konu satırına eklemiştir. İhlalin tespiti üzerine ilgili kişilere bildirim yapılmış ve hatalı e-postanın imha edilmesi talep edilmiştir. Kurul, ihlalden yalnızca e-posta adreslerinin etkilendiğini, ilgili kişilere bildirim yapıldığını ve 72 saatlik sürede Kurula bildirimde bulunulduğunu değerlendirerek veri sorumlusu hakkında Kanunun 12. maddesi kapsamında yapılacak işlem olmadığına karar vermiştir.
Kiracı olan ilgili kişi, aidat borç bilgilerinin site yönetimi tarafından ev sahibiyle paylaşılmasının hukuka aykırı olduğunu şikayet etmiştir. Kurul, 634 sayılı Kat Mülkiyeti Kanununun 22. maddesi uyarınca ev sahibi ile kiracının ortak giderlerden müştereken sorumlu olduğunu değerlendirmiştir. Aidat bilgilerinin paylaşılmasının Kanunun 5/2-e bendi kapsamında bir hakkın tesisi, kullanılması veya korunması çerçevesinde gerçekleştirildiğine ve şikayetle ilgili yapılacak işlem olmadığına karar verilmiştir.
Banka çalışanının 346 müşteriye ait kimlik, iletişim ve finans verilerini üçüncü kişiye e-posta ile gönderdiğine dair veri ihlali bildiriminde bulunulmuştur. Kurul, DLP sistemlerinin yetersiz kaldığını ve çalışana verilen eğitimin etkin olmadığını tespit etmiştir. Veri güvenliğine ilişkin tedbirlerin yetersizliği nedeniyle 225.000 TL, 72 saatlik bildirim süresine uyulmaması nedeniyle 50.000 TL olmak üzere toplam 275.000 TL idari para cezası uygulanmıştır.
İlgili kişi, telekomünikasyon şirketinin müşteri hizmetleriyle yaptığı görüşmelerin ses kayıtlarına erişim talebinin reddedildiğini şikayet etmiştir. Kurul, Kanunun 11/1-b maddesi kapsamında bilgi talep etme hakkının erişim hakkını da kapsadığını değerlendirmiştir. Ses kayıtlarının doğrudan verilmesi yerine, üçüncü kişilerin verileri maskelenerek dökümlerinin ilgili kişiye gönderilmesi ve başvuruların süresinde cevaplanması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişiler, icra takibi esnasında borçlu olmayan akrabalarının kişisel verilerinin İcra Müdürlüğü tarafından paylaşıldığını şikayet etmiştir. Kurul, İcra ve İflas Kanununun 89. maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla haciz ihbarnamesi gönderilmesinin kanuni bir yükümlülük olduğunu tespit etmiştir. Kişisel verilerin işlenmesinin Kanunun 5/2-a bendi kapsamında 'kanunlarda açıkça öngörülme' şartına dayandığına ve şikayetle ilgili yapılacak işlem olmadığına karar verilmiştir.
Veri sorumlusunun internet sitesinde, başka sitelerden sızdırılmış e-posta ve şifrelerle 832 müşteri hesabına yetkisiz erişim sağlandığına dair veri ihlali bildiriminde bulunulmuştur. Kurul, aynı IP adresinden başarısız giriş denemelerinin sınırlandırılması ve şifre değiştirme politikası gibi tedbirlerin ihlalden önce alınması gerektiğini tespit etmiştir. Veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusuna Kanunun 18/1-b maddesi uyarınca 165.000 TL idari para cezası uygulanmıştır.
İlgili kişi, bir derneğin cep telefonuna açık rızası olmaksızın reklam SMS'i gönderdiğini ve bilgi talebine yanıt verilmediğini şikayet etmiştir. Dernek, telefon numarasının muhtemelen önceki SMS bağışından kaldığını ancak açık rıza tespit edemediğini belirtmiştir. Kurul, kişisel verinin hukuka aykırı olarak elde edilip işlendiğini ve başvuruya yanıt verilmediğini tespit ederek idari para cezası uygulamış, telefon numarasının imha edilmesi talimatı vermiştir.
İlgili kişi, sigorta şirketinin sağlık sigortası poliçesini yenilemek için açık rıza talep etmesinin Kanuna aykırı olduğunu şikayet etmiştir. Kurul, sağlık sigortası poliçesinin özel nitelikli kişisel veri olan sağlık verilerini içerdiğini, bu verilerin Kanunun 6/3 maddesi kapsamında işlenemeyeceğini değerlendirmiştir. Sağlık verilerinin işlenmesinin ancak ilgili kişiden açık rıza alınarak gerçekleştirilebileceği, dolayısıyla açık rıza talebinin Kanuna aykırılık teşkil etmediğine karar verilmiştir.
Biyometrik imzanın 6098 sayılı Borçlar Kanunu kapsamında değerlendirilip değerlendirilemeyeceği hakkında görüş talep edilmiştir. Kurul, biyometrik imzanın özel nitelikli kişisel veri olan biyometrik veri niteliğinde olduğunu, Borçlar Kanununun 15. maddesindeki imza düzenlemesinin Kanunun 6/3 maddesindeki 'kanunlarda öngörülme' şartını karşılamadığını belirlemiştir. Biyometrik imza kullanımının ancak açık rıza alınması, aydınlatma yapılması ve Kurul tarafından belirlenen özel nitelikli veri güvenlik önlemlerinin alınması şartıyla mümkün olduğu değerlendirilmiştir.
18 yaşından küçük ilgili kişinin babası tarafından veri sorumlusuna başvuru yapılmış, ilgili kişinin kendisi ise Kurula şikayette bulunmuştur. Kurul, kişisel verilerin korunması hakkının kişiye sıkı sıkıya bağlı haklardan olduğunu, ayırt etme gücüne sahip küçüklerin bu hakkı bizzat kullanabileceğini veya velisinin de onun adına kullanabileceğini değerlendirmiştir. Her iki tarafın iradesinin örtüştüğü dikkate alınarak hem küçüğün hem velisinin şikayet hakkını kullanmada yetkili olduğuna ve inceleme başlatılmasına karar verilmiştir.
İlgili kişi, havayolu şirketinin mobil uygulamasından başka biri tarafından alınan bilete ilişkin telefon numarasına SMS gönderildiğini şikayet etmiştir. İnceleme sonucunda, telefon numarasının bileti alan kişi tarafından sehven girildiği ve veri sorumlusunun bu durumdan kastı olmaksızın işlem gerçekleştiği tespit edilmiştir. Kurul, telefon numarası doğrulama sistemi bulunmadığından Kanunun 12. maddesine aykırılık oluşmadığına, ancak veri sorumlusunun ilgili kişi başvurularına süresinde cevap vermesi gerektiğine karar vermiştir.
Veri sorumlusunun internet sitesinde, başka sitelerden elde edilen kullanıcı adı ve şifrelerle 29 müşteri hesabına yetkisiz erişim sağlandığına dair veri ihlali bildiriminde bulunulmuştur. Kurul, veri sorumlusunun iki faktörlü kimlik doğrulama ve güçlü şifre politikası gibi gerekli teknik tedbirleri almadığını tespit etmiştir. Kanunun 12. maddesi kapsamında veri güvenliğini sağlamayan veri sorumlusuna 75.000 TL idari para cezası uygulanmış ve ilgili kişilere usulüne uygun bildirim yapılması talimatı verilmiştir.
Site yönetimlerinin KVKK karşısındaki durumu incelenmiş, kat malikleri kurulunun tüzel kişiliği olmasa da veri sorumlusu olarak kabul edilebileceği değerlendirilmiştir. Kurul, veri sorumlusu kavramının geniş yorumlanması gerektiğini, apartman ve site yönetimlerinde kural olarak kat malikleri kurulunun veri sorumlusu sayılacağını, yöneticinin ise vekil sıfatıyla görev yapabileceğini belirlemiştir. Her somut olayda kişisel veri işleme kararlarını alan ve veri kayıt sistemlerini yöneten birimlerin tespit edilmesi gerektiği vurgulanmıştır.
Otomotiv sektöründe faaliyet gösteren veri sorumlusunun, müşteri kişisel verilerini yurt dışındaki (AB ülkesi) bulut veri tabanına aktardığı tespit edilmiştir. Kurul, 108 sayılı Sözleşmeye taraf olmanın tek başına güvenli ülke statüsü sağlamadığını, yurt dışı aktarım için Kanunun 9. maddesi şartlarının (açık rıza veya taahhütname ve Kurul izni) sağlanmadığını belirlemiştir. Veri sorumlusuna 900.000 TL idari para cezası uygulanmış, hukuka aykırı aktarılan verilerin silinmesi ve aydınlatma metninin güncellenmesi talimatı verilmiştir.
Turkiye'de yerlesik olmayan veri sorumlulari adina VERBİS kaydinda bir gercek kisinin birden fazla veri sorumlusu icin irtibat kisisi olarak atanamadigi hususunda gorunmus talep uzerine inceleme yapilmistir. Kurul, yurt icinde yerlesik veri sorumlulari icin bir gercek kisinin birden fazla veri sorumlusuna irtibat kisisi olarak atanmasinin uygun olmadigina, ancak veri sorumlusu temsilcisi atanan yurt disinda yerlesik veri sorumlulari icin ayni gercek kisinin birden fazla veri sorumlusuna irtibat kisisi olarak atanmasinin uygun bulunduguna karar vermistir.
Banka personelinin 01.01.2019-05.12.2019 tarihleri arasinda 23 musterinin KKB skorlari ve TCKN bilgilerini WhatsApp uzerinden ucuncu kisiyle paylaştigi tespit edilmistir. Personelin 1.052 kisi icin 10.529 adet KKB sorgulamasi yaparak bolge ortalamasinin cok ustunde oldugu ancak bu durumun ihbar ile ogrenildigi belirenmistir. Kurul, sorgularin sinirlandirilmadigi ve yeterli denetim yapilmadigini tespit etmistir. KVKK m.12/1 ihlali nedeniyle 200.000 TL idari para cezasi uygulanmistir.
Kurul, işverenin parmak izi ile giriş-çıkış takibi yapmasını değerlendirmiştir. Değerlendirme: Biyometrik veriler özel nitelikli kişisel veridir (m. 6) İşleme için açık rıza veya m. 6/3'teki şartlardan birinin bulunması gerekir Orantılılık ilkesi gereği daha az müdahaleci alternatifler değerlendirilmelidir Sonuç: Somut olayda çalışanların açık rızası alındığından ve alternatif yöntemler sunulduğundan ihlal tespit edilmemiştir.
Emeklilik sirketinin destek hizmeti aldigi sistemde 2011 yilinda gelistirilen yazilimdaki bir hata nedeniyle OKS kapsaminda 61 sirketin 367 calisanina ait kisisel veriler yanlis alicilara gonderilmistir. Hata, yil bilgisinin son rakaminin 0 oldugu durumlarda ortaya cikmis ve ilk kez 2020'de gerceklesmistir. Kurul, yazilimdaki sistemsel hatanin surekli takip edilmesi gerektigini ve gecikmiş tespit nedeniyle kontrollerin zamaninda yapilmadigini tespit etmistir. Hatanin istisnai durumu ve ekonomik kosullar goz onunde bulundurularak KVKK m.12/1 ihlali icin 30.000 TL idari para cezasi uygulanmistir.
Ilgili kisi, vefat eden babasinin saglik verilerinin tarafina verilmesini Sosyal Guvenlik Kurumundan talep etmis, ancak talebi reddedilmistir. Kurul, KVKK m.3 kapsaminda ilgili kisi taniminin kisisel verileri islenen gercek kisiler oldugunu ve 4721 sayili Turk Medeni Kanunu m.28 uyarinca kisilik olumle sona erdigini degerlendirmistir. Kisisel Saglik Verileri Hakkinda Yonetmelik m.11 uyarinca veraset ilamini ibraz eden yasal mirascilarin murisin saglik verilerini talep edebilecegine, ancak basvurunun KVKK kapsaminda degerlendirilemeyecegine karar verilmistir.
Ilgili kisi, veri sorumlusu havayolu sirketinin cagri merkeziyle yaptigi gorusmeye ait ses kaydinin yaziya dokulerek tarafina iletilmesini talep etmis, sirket prosedurler gerekce gosterilerek talebi reddetmistir. Kurul, KVKK m.11/1-b kapsaminda kisisel verilere erisim hakkinin bilgi talep etme hakkini tamamladigini tespit etmistir. Veri sorumlusunun sonradan ilgili kisiye gorusmenin transkriptini gonderdigini ve benzer taleplerin karsilanmasi yonunde birimlerin bilgilendirildigini gozonunde bulundurarak veri sorumlusu hakkinda yapilacak islem bulunmadigina karar vermistir.
Muhtelif avukat sorgulama sitelerinde avukatlara ait kisisel verilerin riza alinmadan yayimlandigi ihbar edilmistir. Kurul, 1136 sayili Avukatlik Kanunu m.6 ve m.66 uyarinca baro levhasina yazilmanin zorunlu oldugunu, Turkiye Barolar Birligi ve il barolari internet sayfalarinda yayimlanan bilgilerin avukatlar tarafindan alenilestirildigi sonucuna varmistir. Sitelerde baro levhalarinda yayimlanan bilgilerden farkli veri bulunmadigi, amac disinda kullanim tespit edilmedigi ve duzeltme/silme imkani saglendigi goz onunde bulundurularak KVKK kapsaminda yapilacak islem bulunmadigina karar verilmistir.
Saglik sigortasi sirketinin eczane provizyon sistemi degistirilirken 683 musterinin ilac kullanim bilgilerini iceren excel dosyasi sehven dokuman yonetim sistemine yuklenmis ve 11 sigortalinin erisebilecegi hale gelmistir. Kurul, ozel nitelikli kisisel veri iceren dosyanin sistemde 7 ay boyunca acik kaldigini, zaafiyet taramalarinin yapilmadigini ve kriptografik onlemler alinmadigini tespit etmistir. KVKK m.12/1 ihlali nedeniyle 100.000 TL idari para cezasi uygulanmis, 72 saat icinde bildirim yapildigi icin m.12/5 kapsaminda islem yapilmamistir.
Ilgili kisi, veri sorumlusu kargo sirketinde calismisken is arkdasina fiziksel siddet uygulamasi nedeniyle is akdinin feshedildigini, kamera goruntulerinni acik rizasi alinmadan mahkemeye sunuldugunu sikayet etmistir. Kurul, Bilgi Teknolojileri ve Iletisim Kurulu karari uyarinca posta teslimat merkezlerinde kamera sisteminin zorunlu oldugunu, goruntulerin m.5/2-a kapsaminda kanunda acikca ongorulme ve m.5/2-e kapsaminda hakkin korunmasi amaciyla islenmesinin hukuka uygun oldugunu tespit ederek sikayet hakkinda yapilacak islem bulunmadigina karar vermistir.
Covid-19 salgini nedeniyle isyerlerinin kapali olmasi veya uzaktan calisma modelinin uygulanmasi sebebiyle veri sorumlularinin Veri Sorumlulari Siciline kayit yukumlulugunu yerine getiremedigi gerekçesiyle TOBB ve sektor temsilcileri tarafindan sure uzatimi talep edilmistir. Kurul, yillik calisan sayisi 50'den cok veya mali bilancosu 25 milyon TL'den cok olan veri sorumlulari icin kayit suresini 30.09.2020'ye, ozel nitelikli veri isleyen kucuk olcekli veri sorumlulari ve kamu kurumlari icin 31.03.2021'e uzatilmasina karar vermistir.
Turkiye'de temsilciligi bulunan yabanci bir bankanin KVKK kapsaminda veri sorumlusu sifatini haiz olup olmadigi ve Veri Sorumlulari Siciline kayit yukumlulugune iliskin gorunmus talep uzerine inceleme yapilmistir. Kurul, temsilcilik faaliyetlerinin bankanin kisisel veri isleme faaliyetleriyle siki baglantili oldugunu, bankanin yurtdisinda yerlesik olmasi gerekçesiyle Kanunun uygulama alani bulmayacaginin kabulunun Kanunun amacıyla bagdasmayacagini belirlemistir. Yabanci bankanin Turkiye'de mukim ilgili kisilerin kisisel verilerini islemesi nedeniyle KVKK'ya tabi olduguna ve VERBİS kayit yukumlulugu bulunduguna karar verilmistir.
Unutulma hakkı kapsamında, medya kuruluşlarının internet sitelerindeki haberlerde yer alan kişisel verilerin silinmesi veya arama motorları tarafından indekslenmemesi taleplerinin değerlendirilmesine ilişkin ilke kararı verilmiştir. Basın özgürlüğü ile kişisel verilerin korunması hakkı arasındaki denge gözetilmiştir.
Veri sorumlusunun sistemlerine siber guvenlik destegi alinan firmanin eski calisani tarafindan fidye yazilimi saldirisi duzenlenmis, kritik sunucular ve yedek dosyalarin bulundugu Data Domain sunucusundaki veriler silinmistir. Kurul, sizma testleri ve log kaydi takibinin yapilmadigini, yedeklerin ag disinda tutulmamasi nedeniyle ihlal etkisinin buyudugunu tespit etmistir. KVKK m.12/1 ihlali nedeniyle 125.000 TL idari para cezasi uygulanmis, 72 saat icinde bildirim yapildigi icin m.12/5 kapsaminda islem yapilmamistir.
Siber sucularin parola puskuleme saldirisiyla veri sorumlusunun sistemlerine erisim saglayip 6 terabayt veriyi sIzdirdigi tespit edilmistir. Saldiri Ekim 2018'den Mart 2019'a kadar surdugu halde ancak emniyet birimlerinin bildirimi ile ogrenilmistir. Kurul, zafiyet taramalarinin yapilmamasi ve parola guvenligi farkindaliginin olusturulmamasi gibi tedbir eksikliklerini tespit etmistir. KVKK m.12/1 ihlali nedeniyle 75.000 TL ve 55 gunluk gec bildirim nedeniyle m.12/5 ihlali icin 50.000 TL olmak uzere toplam 125.000 TL idari para cezasi uygulanmistir.
Sigorta sirketinin bir acentesinin bilgisayarina hacker tarafindan erisim saglanmis ve 172 kisinin kimlik ve kredi karti bilgileri ihlalden etkilenmistir. Kurul, acentenin denetlenmedigini, Windows 7 gibi guvenlik destegi sona eren isletim sistemi kullanildigini, anti-virus yaziliminin bulunmadigini ve KVKK egitimlerinin ihlal sonrasi verildigini tespit etmistir. KVKK m.12/1 ihlali nedeniyle 172.000 TL idari para cezasi uygulanmis, ilgili kisilere gecikmiş bildirim yapildigi hatirlatiilmistir.
Veri sorumlusu sirketin bordro programi uzerinden calisanlarin kisisel e-posta adreslerine gonderilen bordrolarda, sistemsel hata nedeniyle bazi calisanlara baskasina ait ad, soyad, T.C. kimlik numarasi ve sicil numarasi goruntulenebilir hale gelmistir. Kurul, hatanin bordro sisteminde Turkce dili icin bir cihaz turu tanimli olmamasindan kaynaklandigini, tum calisanlara kurumsal e-posta hesabi acilmayarak idari eksikligin de mevcut oldugunu tespit etmistir. Kanun'un 18'inci maddesinin (1) numarali fikrasinin (b) bendi uyarinca 60.000 TL idari para cezasi uygulanmasina karar verilmistir.
İlgili kişi, veri sorumlusu kargo şirketinden iş akdinin feshinden sonra özlük dosyasındaki kişisel verilerinin suretini talep etmiş ancak şirket, talebin Kanun kapsamında olmadığını belirterek cevap vermemiştir. Kurul, savunma yazısı ve istifa dilekçeleri gibi belgelerin kişisel veri niteliğinde olduğunu ve ilgili kişinin bu verilere erişim hakkının bulunduğunu tespit etmiştir. KVKK m.11/1-b kapsamında ilgili kişiye belgelerinin verilmesi ve veri sorumlusunun yasal süresi içinde cevap vermesi hususunda talimat verilmiştir.
İlgili kişi, banka borcuna ilişkin bilgilerinin icra işlemlerini yürüten avukat tarafından iş arkadaşları ve ağabeyine SMS ile gönderildiğini şikayet etmiştir. Avukat, sistemde kayıtlı numaralara hatırlatma mesajı gönderdiğini savunmuştur. Kurul, üçüncü kişilerin telefon numaralarının varsayımlara dayanan şekilde elde edilmesini ve borç bilgilerinin bu numaralarla paylaşılmasını hukuka aykırı bulmuş, ayrıca TCKN ile GSM abonelikleri sorgulamasının ölçülük ilkesine aykırı olduğunu tespit etmiştir. KVKK m.12/1 ihlali nedeniyle 125.000 TL idari para cezası uygulanmıştır.
Veri sorumlusunun sistemlerine 14.000'den fazla IP adresinden 500.000'i aşkın e-posta/şifre kombinasyonu denenmiş ve 2.092 kullanıcının hesabına yetkisiz erişim sağlanmıştır. Kurul, bu yoğun denemelerinin veri sorumlusu tarafından fark edilememesinin bilişim ağlarının izlenmesi hususunda eksiklik olduğunu gösterdiği tespit etmiştir. KVKK m.12/1 kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında m.18/1-b uyarınca 210.000 TL idari para cezası uygulanmıştır.
Ilgili kisi, yurt disinda yasadigi bir olay nedeniyle gazetenin internet sitesinde 2009 yilindan bu yana adi ve mahkumiyet bilgilerinin yer aldigini, cezanin infaz edildigini ve haberin kaldirilmasini talep etmistir. Kurul, KVKK m.28/1-c kapsaminda ifade ozgurlugu istisnasini degerlendirmis, haberin kamu ilgi ve yarari tasidigi, gercek ve guncel oldugu, biciim ve oz arasinda denge bulundugu sonucuna varmistir. Insan kacakciligi sucuna iliskin haberin yayinlanmasinda kamunun ortak menfaati bulundugu ve ifade ozgurlugune ustunluk taninmasi gerektigi belirlendiginden sikayet hakkinda Kanun kapsaminda islem yapilmamistir.
Ilgili kisi, veri sorumlusu sirketten KVKK m.11 kapsaminda bilgi talep ettigini ancak yeterli cevap alamadigini, aydinlatma ve acik riza metinlerinin ayri olmadan birlikte duzenlendigi ve calisanlarin parmak izinin acik riza alinmadan islendigi sikayet etmistir. Kurul, acik rizanin hizmet sarti olarak dayatildigini, battaniye riza alindigi ve biyometrik verilerin alternatif yontemler varken islenmesinin olculuk ilkesine aykiri oldugunu tespit etmistir. Aydinlatma yukulugunu yerine getirmemek nedeniyle 50.000 TL, m.12/1 ihlali nedeniyle 200.000 TL olmak uzere toplam 250.000 TL idari para cezasi uygulanmistir.
Ilgili kisi, hastanede yaptirdigi Tup Bebek tahlil sonuclarinin e-posta ile gonderilirken tanimedigi baska bir kisiye de gonderildigini sikayet etmistir. Hastane, tahlil sonuclarinin ayni gun ayni test icin hastalarini yonlendiren baska bir doktorun ozel asistanina da gonderildigini kabul etmistir. Kurul, sagliga iliskin ozel nitelikli kisisel verilerin KVKK m.8 kapsaminda hukuki dayanak olmadan ucuncu kisiye aktarilmasinin hukuka aykiri oldugunu tespit etmistir. KVKK m.12/1 ihlali nedeniyle Hastane hakkinda m.18/1-b uyarinca 100.000 TL idari para cezasi uygulanmistir.
Ilgili kisi, memuriyete ilk giris tarihinden once hakkinda verilmis olan hukmen ceza kararinin ozluk dosyasindan cikarilmasini talep etmistir. Kurul, soz konusu verilerin ozel nitelikli kisisel veri oldugunu, ancak 2 Seri No'lu Kamu Personeli Genel Tebligi ve Devlet Personel Baskanligi gorusu uyarinca yargi organlarinca memur hakkinda verilen tum karar orneklerinin ozluk dosyasinda bulunmasi gerektigini degerlendirmistir. Kanundaki 'kanunlarda ogorulme' sartinin 'maddi kanun' olarak anlasilmasi gerektiginden, soz konusu kararlarin ozluk dosyasindan cikarilmasina yer olmadigina karar verilmistir.
Ilgili kisi, eski calistigi Tip Merkezinin internet sitesinde pazarlama amacli video tanitim bolumunde gorsel ve isitsel kisisel verilerinin islendigi, is sozlesmesi sona erdigi halde verilerin kaldirilmadigi ve veri sorumlusunun basvurusuna cevap vermedigini sikayet etmistir. Kurul, silme talebinin makul sure gecmesine ragmen yerine getirilmedigini ve kisisel veri isleme faaliyetine m.5 kapsaminda hukuki dayanak olmadan devam edildigini tespit etmistir. KVKK m.12/1 ihlali nedeniyle m.18/1-b uyarinca 75.000 TL idari para cezasi uygulanmis, verilerin silinmesi icin talimat verilmistir.
Bankanin eski calisani, Temmuz 2018 - Mayis 2019 arasinda 7.305 adet KKB sorgulamasi yaparak 5.695 kisinin kredi bilgilerine hukuka aykiri erismis ve bu bilgileri ucuncu kisilere aktarmistir. Kurul, kontrolun yillik periyotlarla yapilmasi nedeniyle ihlalin 1 yil boyunca tespit edilemedigini ve sorgulama limitlerinin bulunmamasini tedbir eksikligi olarak degerlendirmistir. KVKK m.12/1 ihlali nedeniyle 400.000 TL ve 72 saatlik bildirim yukumlulugune aykiri hareket nedeniyle 50.000 TL olmak uzere toplam 450.000 TL idari para cezasi uygulanmistir.
Sigorta sirketinin taseron calisani, 91 musteriye ait isim, iletisim ve plaka bilgilerini iceren listeyi kurum e-postasindan sahsi e-posta adresine gondermistir. Veri sizintisi onleme uygulamasinda bu verilerin tanimli olmadigindan uyari olusmadigı ve ihlalin iki ay sonra tespit edilebildigi gorulmustur. Kurul, kisisel veri guvenligine iliskin prosedurün sirketin calisma ve isleyisine uygun sekilde entegre edilmedigini tespit etmistir. KVKK m.12/1 ihlali nedeniyle m.18/1-b uyarinca 90.000 TL idari para cezasi uygulanmistir.
Il Saglik Mudurlugu, bir eczacinin esinin, sikayet etmek istedigi baska bir eczaciya ait Medula Eczane ciktilarini (tani ve ilac bilgileri) dilekce ekinde sundugunu ihbar etmistir. Kurul, eczanenin SGK ile yaptigi sozlesme kapsaminda kullandigi Medula sistemine ucuncu kisilerin erisimini onlemek uzere gerekli guvenlik tedbirlerini almadigini tespit etmistir. Eczane hakkinda KVKK m.12/1 ihlali nedeniyle m.18/1-b uyarinca 60.000 TL idari para cezasi uygulanmis, verileri ele geciren eczacinin esi hakkinda TCK m.136 uyarinca savciliga suç duyurusunda bulunulmustur.
Ilgili kisi, arac kiralama sirketinden hizmet almak istediginde kisisel verilerinin islenmesine acik riza vermek istemedigini belirttigi icin arac kiralayamadigini sikayet etmistir. Kurul, 1174 sayili Kimlik Bildirme Kanunu kapsaminda KABİS'e kayit zorunlulugu bulunmasina ragmen, sirketin m.5/2 disindaki hallerde toptan acik riza aldigi ve riza verilmezse hizmet vermedigini tespit etmistir. Hizmetin acik riza sartina baglanmasi m.4 ve m.12'ye aykirilik teskil ettiginden, m.18/1-b uyarinca 50.000 TL idari para cezasi uygulanmistir.
Bankanin ic kontrol faaliyetlerinde 3 personelin KKB sorgu ekranlarindan supheli sorgulamalar yaptigi tespit edilmistir. Personeller, yetkileri olan ekranlari amaci disinda kullanarak 7.706 banka musterisi olmayan kisi dahil toplam 25.288 kisinin kredi bilgilerine hukuka aykiri erismistir. Kurul, ihlal fiillerinin baslangici ile tespiti arasinda 18 aya kadar sure gecmesini guvenlik takibinin yetersizligi olarak degerlendirmistir. KVKK m.12/1 kapsaminda gerekli teknik ve idari tedbirleri almayan Banka hakkinda m.18/1-b uyarinca 1.000.000 TL idari para cezasi uygulanmistir.
Ilgili kisi, universiteye yaptigi Bilgi Edinme Kanunu kapsamindaki basvurusuna verilen cevabın kendisine degil, calistigi birime gonderilmesi suretiyle kisisel verilerinin ucuncu kisilerin erisimine acildigini sikayet etmistir. Veri sorumlusu, sistemdeki cevapla butonuyla yanit verildigini, kasit olmadigini savunmustur. Kurul, kisisel verilerin KVKK m.5 kapsaminda hukuki dayanak olmadan ifsa edilmesinin m.12/1 ihlali teskil ettigine karar vermis ve kamu kurumu oldugu icin m.18/3 uyarinca sorumlular hakkinda disiplin islemleri yapilmasini talep etmistir.
Veri sorumlusunun eski calisani (web gelistiricisi) tarafindan kaynak kod ve 62 kisiye ait kisisel veri iceren dosyalar yetkisiz olarak github.com'a yuklenmistir. Ihlal 19.04.2017'de gerceklesmis ancak 09.01.2019'da tespit edilmistir. Kurul, gizlilik politikalarinin etkin uygulanmadigini ve personel farkindalik calismalarin yetersiz kaldigini tespit etmistir. KVKK m.12/1 kapsaminda teknik ve idari tedbirleri almayan veri sorumlusu hakkinda 100.000 TL ve m.12/5 kapsaminda gec bildirim nedeniyle 30.000 TL olmak uzere toplam 130.000 TL idari para cezasi uygulanmistir.
Kuruma, Otomatik Bilgi Paylasimi anlasmalarindaki kisisel veri paylasimi endisesiyle ayni icerikte cok sayida vekaleten basvuru yapilmistir. Kurum, oncelikle veri sorumlusu SGK'ya basvurulmasi gerektigini bildirmesine ragmen usule aykiri basvurulara devam edilmistir. Kurul, 3071 sayili Dilekce Hakkinin Kullanilmasina Dair Kanun ve TMK m.2 kapsaminda hakkin kotuye kullanilmasi niteligindeki bu basvurularin degerlendirmeye alinmamasina, vekaleten basvuruda bulunan kisinin ilgili kurumlara bildirilmesine karar vermistir.
Karar, KVKK m.16 kapsaminda Veri Sorumlulari Siciline kayit yukumlulugunden istisna tutulan veri sorumlularina iliskin 2018/32 sayili kararin guncellenmesini icermektedir. Kurul, dernekler, vakiflar ve sendikalarla ilgili istisna hukumlerinin yorumlanmasinda yasanan tereddutler uzerine inceleme yapmistir. Ilgili maddenin 'yalnizca ilgili mevzuat ve amaclarina uygun, faaliyet alanlariyla sinirli olmak uzere kisisel veri isleyen Turkiye'de yerlesik dernek, vakif ve sendikalar' olarak degistirilmesine karar verilmistir.
Karar, ticaret sicili mudurlukleri tarafindan tutulan kisisel verilerin kamu kurum ve kuruluslariyla paylasimina iliskindir. Kurul, ticaret sicilinin aleni olmasinin sicilde yer alan kisisel verilerin KVKK hukumlerinden muaf olacagi anlamina gelmedigini belirlenmistir. Aktarim taleplerinin m.8 kapsaminda yapilmasi, kimlikleri ve yerlesimleri ilgilendiren verilerin 5490 sayili Nufus Hizmetleri Kanunu kapsaminda yetkili kurumlardan talep edilmesi ve m.4 kapsamindaki olculuk ilkesine uyulmasi gerektigi sonucuna varilmistir.
Oyun sirketinin bulut sistemlerine hackerlar tarafindan hukuka aykiri erisim gerceklestirilmis ve Turkiye'de 39.995 kullanicinin isim, adres, dogum tarihi, e-posta, telefon ve sifre gibi kisisel verileri etkilenmistir. Kurul, zafiyet testlerinin yetersizligini ve ihlal oncesi alinmasi gereken teknik tedbirlerin ihlal sonrasi devreye alinmasini tedbir eksikligi olarak degerlendirmistir. KVKK m.12/1 ihlali nedeniyle 1.000.000 TL ve 72 saatlik bildirim yukumlulugune uyulmamasi nedeniyle m.12/5 ihlali icin 100.000 TL olmak uzere toplam 1.100.000 TL idari para cezasi uygulanmistir.
Sikayetci, velisi oldugu ogrencilere okulda CAS (Bilissel Degerlendirme Sistemi) testi uygulanirken acik riza alinmadigini ve aydinlatma yapilmadigini iddia etmistir. Kurul, test sonuclarinin ogrencinin ruh sagligi verilerini (dikkat eksikligi, hiperaktivite bozuklugu) icerdigini, bu verilerin KVKK m.6 kapsaminda ozel nitelikli veri oldugunu tespit etmistir. Acik riza alinmadan ozel nitelikli kisisel veri islenmesi ve aydinlatma yukumlulugunu yerine getirmemesi nedeniyle veri sorumlusu egitim kurumu hakkinda m.18/1-b uyarinca 50.000 TL idari para cezasi uygulanmistir.
Ilgili kisi, Valilik calisani tarafindan hukuka aykiri elde edilen kisisel verilerine dayanilarak disiplin sorusturmasi acildigini ve cezalandirildigini iddia etmistir. Kurul, verileri hukuka aykiri elde eden personel hakkindaki iddialarin TCK kapsaminda degerlendirilmesi gerektigine, disiplin sorusturmasi kapsaminda islenen verilerin KVKK m.28/2-c istisnasindan yararlandigina karar vermistir. Ozluk dosyalarinda saklanmasi gereken verilerin silinmesi talebinin m.7 kapsaminda isleme sebeplerinin ortadan kalkmamasi nedeniyle karsilanamayacagina hukmedilmistir.
Veri sorumlusu sirketin sistemlerine siber saldiri gerceklestirilmis, debugging ozelligi acik olan Pilot uygulamasina erisim saglanarak 65.993 kisiye ait veriler ile 50.000 kredi karti bilgisi tehlikeye girmistir. Kurul, sizma veya anomali tespiti icin kontrol mekanizmalarinin etkin kullanilmadigini, 2018 oncesi kredi karti bilgilerinin imha edilmedigini ve web uygulamalarinda yuksek seviyede acikliklar bulundugunu tespit etmistir. KVKK m.12/1 ve m.4/2 ihlalleri nedeniyle m.18/1-b uyarinca 450.000 TL idari para cezasi uygulanmistir.
Karar, kamu kurumlarinda guvenlik amacli kullanilan kameralarin goruntu kaydinin yani sira ses kaydi da yapmasi hakkindadir. Kurul, ses kaydinin goruntu kaydina gore cok daha mudahaleci oldugunu, bireylerde her acidan gozetim altinda tutuldugu endisesi yaratabilecegini ve hakkin ozune zarar verecegini degerlendirmistir. Anayasa m.13 ve m.20 ile KVKK m.4 kapsaminda olculuk ilkesi degerlendirilmis, ses kaydi yapan kameralarin kullanilmasinin temel hak ve ozgurluklere orantisiz mudahale teskil edecegi sonucuna varilmistir.
Veri sorumlusu şirketin online işlem merkezinde fatura ödeme sisteminde yaşanan sorun giderilirken güvenlik açığı ortaya çıkmış ve 69 kişiye ait kredi kartı bilgileri 649 müşteri tarafından görüntülenebilir hale gelmiştir. Kurul, değişikliklerin test ortamı yerine gerçek ortamda yapılmasını ve test süreçlerinin yetersizliğini teknik tedbir eksikliği olarak değerlendirmiştir. KVKK m.12/1 kapsamında veri güvenliğini sağlamayan veri sorumlusu hakkında m.18/1-b uyarınca 300.000 TL idari para cezası uygulanmasına karar verilmiştir.
Amazon Turkiye hakkinda yapilan ihbar uzerine baslayan resen incelemede; sirketin ilgili kisilerin iletisim bilgilerini ticari elektronik ileti gondermek icin acik riza almadan isledigi, yurt disina veri aktarimi icin usulune uygun acik riza almadigi ve Gizlilik Bildirimi ile aydinlatma yukumlulugunu yerine getirmedigi tespit edilmistir. Kurul, KVKK m.12 kapsaminda veri guvenligine iliskin yukumluluklerini yerine getirmeyen veri sorumlusuna m.18/1-b uyarinca 1.100.000 TL, aydinlatma yukumlulugunu yerine getirmemesi nedeniyle m.18/1-a uyarinca 100.000 TL olmak uzere toplam 1.200.000 TL idari para cezasi uygulanmasina karar vermistir.
Bir kamu kurumundaki idari sorusturma kapsaminda veri sorumlusu internet sitesinden habere yapilan tum kullanici yorumlari ve IP adresleri talep edilmis, sirket bu verileri aktarmistir. Kurul, sorusturma konusu olmayan ucuncu kisilerin verilerinin de aktarilmasinin KVKK m.4/2-c bendindeki olculuk ilkesine aykiri oldugunu tespit etmistir. Veri guvenligine iliskin yukumlulukleri yerine getirmeyen veri sorumlusu hakkinda m.18/1-b uyarinca 50.000 TL idari para cezasi uygulanmis, sorusturmayla ilgili olmayan verilerin silinmesi icin talimat verilmistir.
Veri sorumlusu bankanin ic sistem uygulamasinda yapilan yazilim degisikligi nedeniyle 905 musteriye ait finansman taksit odeme bildirimleri sehven diger musterilere gonderilmistir. Kurul, test sureclerinin yetersizligi ve parametre kontrollerinin eksikligi nedeniyle teknik tedbir alinmadigini tespit etmistir. KVKK m.12/1 kapsaminda veri guvenligini saglamaya yonelik gerekli tedbirleri almayan veri sorumlusu hakkinda m.18/1-b uyarinca 75.000 TL idari para cezasi uygulanmis, 72 saat icinde bildirim yapildigi icin m.12/5 kapsaminda islem yapilmamistir.
Spor salonunun, üyelerin giriş-çıkış kontrolünde el ve parmak izi tarama sistemi kullanması incelenmiştir. Kurul, parmak izi verisinin biyometrik veri niteliğinde özel nitelikli kişisel veri olduğunu, GDPR Recital 51 ve Danıştay 15. Daire kararına atıfla belirlemiştir. Biyometrik veri işlemenin ölçülülük ilkesi kapsamında değerlendirilmesi gerektiği, amacın gerçekleştirilmesi için gerekli olan verilerin dışında veri işlenmemesi gerektiği vurgulanmıştır.
Hastanenin, ilgili kişiyi reklam ve tanıtım amacıyla telefonla araması şikâyet konusu edilmiştir. Kurul, checkup departmanının pazarlama faaliyetleri kapsamında yapılan aramaların incelenmesini başlatmıştır. Hastane ile hizmet sağlayıcılar arasındaki ilişki, telefon numaralarının nasıl temin edildiği ve aydınlatma yükümlülüğünün yerine getirilip getirilmediği araştırılmıştır.
Ilgili kisi, komsusunun apartmana yerlestirdigi kameralarla hukuka aykiri sekilde kisisel verilerinin kaydedildigini iddia etmistir. Kurul, sikayet konusu eylemlerin Turk Ceza Kanunu m.135-140 kapsaminda suc unsuru icerebilecegini degerlendirmistir. 3071 sayili Dilekce Hakkinin Kullanilmasina Dair Kanun m.6 uyarinca yargi mercilerinin gorev alanina giren konularla ilgili sikayetlerin incelemeye alinmayacagindan, sikayetin KVKK kapsaminda degerlendirilmesine yer olmadigina karar verilmistir.
Araç kiralama şirketinin, sözleşmede belirtilenden farklı bir kredi kartından HGS bedeli tahsil etmeye çalışması şikâyet konusu edilmiştir. Kurul, ilgili kişinin onayı olmaksızın başka bir kredi kartı bilgisinin kullanılmasının Kanun'un 5. maddesine aykırı olduğunu değerlendirmiştir. Veri sorumlusunun başvuruya yasal sürede cevap vermemesinin Kanun'un 13. maddesine aykırılık teşkil ettiği tespit edilmiştir.
İşverenin, işe iade davasında çalışanın özlük dosyasında yer alan sağlık raporlarını mahkemeye sunması incelenmiştir. Kurul, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu'nun 15. maddesi uyarınca işverenin sağlık muayenesi yaptırma yükümlülüğü bulunduğunu, sağlık verilerinin bu kanun kapsamında işlendiğini tespit etmiştir. Raporların ilgili kişi tarafından izin talepleri için bizzat sunulduğu ve iş ilişkisinin feshi gerekçesi olarak mahkemeye ibraz edilmesinin hukuka uygun olduğu değerlendirilmiştir.
İnternet gazetesinin, tekzip ihtarnamesini olduğu gibi yayımlayarak ilgili kişilerin T.C. kimlik numaraları, nüfus bilgileri, anne-baba isimleri ve adres bilgilerini kamuya ifşa etmesi şikâyet konusu edilmiştir. Kurul, söz konusu kişisel verilerin 10 gün boyunca hukuka aykırı şekilde yayımlandığını tespit etmiştir. Veri sorumlusunun kişisel verilerin korunması konusunda gerekli özeni göstermediği belirlenmiştir.
Vergi müfettişinin, mükellef şirket çalışanlarının banka hesap hareketlerini vergi incelemesi kapsamında sorgulaması şikâyet konusu edilmiştir. Kurul, 213 sayılı Vergi Usul Kanunu'nun 148. maddesi uyarınca vergi idaresinin bilgi toplama yetkisinin bulunduğunu, söz konusu verilerin Kanun'un 5/2-ç maddesi kapsamında hukuki yükümlülüğün yerine getirilmesi için işlendiğini tespit ederek şikâyet hakkında yapılacak işlem olmadığına karar vermiştir.
Havayolu şirketi çalışanının, ilgili kişinin uçuş bilgilerini şirket sisteminden elde ederek rahatsız etmek amacıyla kullanması incelenmiştir. Kurul, veri sorumlusunun çalışanlara verilen eğitimin yetersiz olduğunu ve kişisel verilere erişimle ilgili yeterli sınırlama getirilmediğini tespit etmiştir. Kanun'un 12. maddesinde öngörülen veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınmadığı sonucuna varılmıştır.
Bankanın, icra takibi kapsamında İİK'nın 89. maddesi uyarınca gönderilen haciz ihbarnamelerine cevap vermesi şikâyet konusu edilmiştir. Kurul, bankaların icra dairelerinden gelen resmi taleplere yasal zorunluluk gereği cevap verdiğini, bu işlemin Kanun'un 5/2-ç maddesi kapsamında hukuki yükümlülüğün yerine getirilmesi niteliğinde olduğunu belirleyerek şikâyet hakkında yapılacak işlem olmadığına karar vermiştir.
E-ticaret sektöründe faaliyet gösteren veri sorumlusunun yaşadığı veri ihlali incelenmiştir. Şirketin internet ağı dışında kafe ortamlarından sisteme erişildiği, ihlal öncesi SQL Injection ve XSS gibi güvenlik açıklarının bulunduğu, mobil uygulamada SSL sertifikası olmadığı, sızma testlerinin ihlalden sonra yapıldığı tespit edilmiştir. Azami 257.000 kişinin etkilendiği ihlal nedeniyle Kanun'un 12/1. maddesi uyarınca 200.000 TL idari para cezası uygulanmıştır.
Eski işverenin, çalışanının yeni işe başladığı şirkete kişisel verilerini aktarması şikâyet konusu edilmiştir. İlgili kişinin ailesinin yurt dışında yaşadığı, maaş ve prim bilgileri gibi verilerin talep olmaksızın telefon ve e-posta ile paylaşıldığı tespit edilmiştir. Kurul, veri sorumlusunun ilgili kişinin çıkarlarını ve makul beklentilerini göz önüne almadığını, veri aktarımının meşru bir gerekçeye dayanmadığını belirleyerek Kanun'a aykırılık tespit etmiştir.
İlgili kişi, uçak bileti satış firmasına üyelik e-posta adresinin güncellenmesi talebini KEP adresi üzerinden ikinci kez iletmiş ancak cevap alamamıştır. Firma, yoğunluk nedeniyle başvurunun gözden kaçtığını savunmuştur. Kurul, daha önce aynı konuda talimat verilmesine rağmen başvuruya cevap verilmemesinin Kanunun 15/5 maddesine aykırılık oluşturduğunu tespit ederek firmaya 50.000 TL idari para cezası uygulamıştır.
Bankanın, üçüncü taraftan temin edilen listeyle ilgili kişi adına müşteri numarası oluşturması şikâyet konusu edilmiştir. Kurul, Kanun'un yürürlüğe girmesinden önce oluşturulan müşteri numarasının halen aktif olduğunu, kişisel verilerin açık rıza olmaksızın ve Kanun'un 5/2. fıkrasındaki işleme şartları mevcut olmaksızın işlendiğini tespit etmiştir. Geçici 1. maddeye aykırı olarak verilerin silinmediği belirlenmiş ve Kanun'a aykırılık tespit edilmiştir.
İlgili kişiler, sağlık geçmişlerindeki psikiyatrik tanıların yaşamlarını olumsuz etkilediğini belirterek bu kayıtların silinmesini veya düzeltilmesini talep etmişlerdir. Kurul, kişisel verilerin silinmesi hakkının mutlak olmadığını, Kanunun 7. maddesi kapsamında işleme şartlarının ortadan kalkması gerektiğini değerlendirmiştir. Psikiyatrik tanıların kamu güvenliği ve kamu düzeni açısından önem taşıdığı, sehven konulan tanıların Sağlık Bakanlığı prosedürleri kapsamında düzeltilebileceği, ancak işleme şartları devam ettiğinden şikayetle ilgili yapılacak işlem olmadığına karar verilmiştir.
İlgili kişi, bankanın kredi kartı ekstresini yanlış e-posta adresine göndererek kişisel verilerini üçüncü kişilerle paylaştığını şikayet etmiştir. Banka, şube personelinin sehven bireysel kredi kartı ekstresini ticari ortağın e-postasına yönlendirdiğini kabul etmiştir. Kurul, Kanunun 8. maddesine aykırı aktarım gerçekleştirildiğini ve başvuruya telefon yerine yazılı cevap verilmesi gerektiğini tespit ederek bankaya 60.000 TL idari para cezası uygulamıştır.
Kurul, veri sorumlusu ve veri işleyen kavramlarını detaylı olarak açıklamıştır. Veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan kişi olduğu; veri işleyenin ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi olduğu belirtilmiştir. Aydınlatma yükümlülüğünün bizzat veri sorumlusu veya yetkilendirdiği kişi (veri işleyen dahil) tarafından yerine getirilebileceği değerlendirilmiştir.
İlgili kişi, gayrimenkul şirketinin açık rızası olmaksızın reklam amaçlı SMS gönderdiğini şikayet etmiştir. Veri sorumlusu, kişisel verilerin internette herkese açık kaynaklardan temin edildiğini savunmuştur. Kurul, alenileştirme için ilgili kişinin reklam amacıyla iletişim kurulması iradesinin bulunması gerektiğini, somut olayda açık rızanın alınmadığını ve Kanunun 5. maddesindeki şartların sağlanmadığını tespit ederek veri sorumlusuna 50.000 TL idari para cezası uygulamıştır.
İlgili kişi, hastanede yaşanan tartışma sonrası hastane görevlilerinin kişisel verilerini tutanağa işleyerek savcılığa suç duyurusunda bulunduğunu şikayet etmiştir. Kurul, Beyaz Kod uygulaması kapsamında sağlık personelinin hukuki yardımdan faydalanması için olay tutanağı düzenlenmesinin Sağlık Bakanlığı genelgesiyle düzenlendiğini tespit etmiştir. Kişisel verilerin Kanunun 5/2-ç bendi kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için işlendiği değerlendirilerek şikayetle ilgili yapılacak işlem olmadığına karar verilmiştir.
İlgili kişi, ortağı olduğu şirkete ait e-posta hesabına izinsiz erişildiğini ve kişisel verilerinin kullanıldığını şikayet etmiştir. Ancak söz konusu e-posta hesabının şirkete ait olduğu, diğer ortağın şirket menfaatini korumak için sunucu yedeklerinden yazışmalara eriştiği ve bu verileri mahkemeye delil olarak sunduğu anlaşılmıştır. Kurul, Kanunun 5/2-e bendi kapsamında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olduğunu değerlendirerek şikayetle ilgili yapılacak işlem olmadığına karar vermiştir.
Ulaşım platformu kullanıcısı, yolculuklarının şoförler tarafından puanlandığını ancak bu konuda aydınlatılmadığını şikayet etmiştir. Kurul, müşteri puanlamasının sözleşmenin ifasıyla doğrudan ilişkili olmadığını, aydınlatma metninde bu işleme faaliyetine yer verilmediğini tespit etmiştir. Kanunun 4, 10 ve 12. maddelerine aykırılık nedeniyle veri sorumlusuna toplam 110.000 TL (100.000 TL + 10.000 TL) idari para cezası uygulanmış ve aydınlatma metnini güncellemesi talimatı verilmiştir.
İlgili kişi, elektrik dağıtım şirketinin kendisine ait olmayan aboneliklere ilişkin bilgilendirme SMS'leri gönderdiğini ve başvurusuna cevap verilmediğini şikayet etmiştir. Kurul, veri sorumlusunun ilgili kişinin telefon numarasını Kanunun 5. maddesindeki işleme şartlarına dayanmadan işlediğini ve başvuruya süresinde cevap vermediğini tespit etmiştir. Kanunun 12/1-a maddesine aykırılık nedeniyle veri sorumlusuna 100.000 TL idari para cezası uygulanmış ve ilgili kişinin talebinin yerine getirildiğine dair bilgi sunması talimatı verilmiştir.
Sigorta acentesinin müşterilerine ait kişisel verileri (ad, adres, maskelenmiş kimlik numarası, plaka bilgileri) açık rıza almaksızın sosyal medya platformlarında reklam amaçlı paylaştığı tespit edilmiştir. Veri sorumlusu bilgisizlikten kaynaklandığını savunmuş olsa da Kurul, Kanunun 5. ve 12. maddelerine aykırılık oluştuğunu belirlemiştir. Müşteri verilerini herkese açık ortamda izinsiz paylaşan veri sorumlusuna Kanunun 18. maddesi uyarınca 22.500 TL idari para cezası uygulanmıştır.
Veri sorumlusunun web sayfasinda yeni hesap acilirken kisisel verilerin sehven URL uzerinden ucuncu taraf saglayicilara aktarildigi tespit edilmistir. Ihlal 2018'de gerceklesmis ancak yaklasik bir yil sonra 2019'da tespit edilebilmistir. Kurul, web sayfasi tasariminda testlerin yetersiz yapildigini ve islemlere dair takip/alarm sistemlerinin bulunmamasi nedeniyle ihlal tespitinin gec yapildigini tespit etmistir. KVKK m.12/1 ihlali nedeniyle 50.000 TL idari para cezasi uygulanmis, 72 saatlik bildirim suresi icinde bildirim yapildigi icin m.12/5 kapsaminda islem yapilmamistir.
Ilgili kisi, Banka tarafindan yenilenen kredi kartinin rizasi disinda ucuncu kisilere teslim edilerek kisisel bilgilerinin aciga ciktigini sikayet etmistir. Incelemede, kartin eski isyeri adresine teslim edildigi, kurye tarafindan yeterli kontrolun yapilmadigi ve Bankanin veri guncelligini saglamak icin yeterli cabay gostermedigi tespit edilmistir. Kurul, kart teslimi sirasinda kisisel verilerin muhafazasini saglamaya yonelik yukumlulukler dogrultusunda yeterli idari ve teknik tedbirleri almayan Banka hakkinda KVKK m.18/1-b uyarinca 50.000 TL idari para cezasi uygulanmasina karar vermistir.
Ilgili kisi, bankaya kredi basvurusu sirasinda babasina risk grubu bilgisi verilmek suretiyle borc bilgilerinin ucuncu kisiye ifsa edildigini sikayet etmistir. Kurul, 5411 sayili Bankacilik Kanunu m.49 kapsaminda risk grubu tanimina ragmen, borc bilgisinin detay icermeyecek sekilde verilse bile m.12'deki veri guvenligine iliskin yukumluluklerin ihlal edildigini tespit etmistir. Banka personeli hakkinda KVKK m.18 kapsaminda islem tesis edilmesine ve konu Bankacilik Duzenleme ve Denetleme Kurumuna bildirilmesine karar verilmistir.
Ilgili kisi, Bankaya kredi borcu nedeniyle yasal takip baslatildigini, sigortali ise basladiginda is yerinin arandigini ve aile bilgilerinin sorgullandigini, bu aramalardan sonra is akdinin sonlandirildigini sikayet etmistir. Kurul, ilgili kisinin veri sorumlusuna yaptigi basvurunun KVKK m.11 kapsaminda bir talep icermedigini ve iddialarini kanitlayici belge sunmadigini tespit etmistir. Zarara ugrama ve tazminat talebi konusunda m.14/3 kapsaminda genel mahkemelere basvurulmasi gerektigi belirtilerek Kanun kapsaminda yapilacak bir islem bulunmadigina karar verilmistir.
Ilgili kisi, bir gida sirketi adina arandigini ve numarasinin yillar once spor dergisi aboneligi icin paylasildigini, simdi farkli amacla kullanildigini sikayet etmistir. Veri sorumlusu cagri merkezi, sistemin hata sonucu aradigini savunmustur. Kurul, Kanunun Gecici 1. maddesi kapsaminda 2015'te sona eren dergi aboneligi sonrasi verilerin silinmesi gerektigini, farkli amacla islenmesinin m.4'teki sinirlilik ilkesine aykiri oldugunu tespit etmistir. KVKK m.12/1-a ihlali nedeniyle m.18/1-b uyarinca 18.000 TL idari para cezasi uygulanmistir.
Sermaye piyasası kuruluşunun, ilgili kişiyle yapılan telefon görüşmesi kayıtlarını vermemesi şikâyet konusu edilmiştir. Kurul, Anayasa'nın 20/3. maddesi ve Kanun'un 11/1-b bendi uyarınca ilgili kişinin kendisiyle ilgili kişisel verilere erişim hakkının bulunduğunu, bilgi talep etme hakkının erişim hakkını da kapsadığını belirterek telefon görüşmesi kayıtlarının ilgili kişiye verilmesi gerektiğine karar vermiştir.
Ilgili kisi, icra takibi nedeniyle veri sorumlusu avukat tarafindan borcuna iliskin bilgilerin yillarca gorusmedigi kardesinin telefonuna SMS olarak gonderildigini sikayet etmistir. Avukat, kimligi belirsiz bir kisiden numarayi edindigini savunmustur. Kurul, borclunun yakininin telefon numarasinin hukuka aykiri sekilde edinilerek borcluya ait kisisel verilerin ucuncu kisiye ifsa edilmesinin KVKK m.5 kapsaminda degerlendirilemeyecegine ve m.12 kapsaminda veri guvenligine iliskin yukumluluklere aykiri hareket eden veri sorumlusu hakkinda m.18/1-b uyarinca 50.000 TL idari para cezasi uygulanmasina karar vermistir.
Ilgili kisi, bir egitim kurumu tarafindan acik rizasi alinmadan cep telefonuna reklam amacli mesaj gonderildigini sikayet etmistir. Egitim kurumu hem ilgili kisiye hem de Kuruma herhangi bir cevap vermemistir. Kurul, KVKK m.5 kapsaminda hukuka uygunluk sarti olmaksizin kisisel verilerin islenmesini degerlendirmis ve m.12/1-a uyarinca gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkinda m.18/1-b kapsaminda 50.000 TL idari para cezasi uygulanmasina karar vermistir.
Öğretim elemanı kadrolarına yapılacak atamalarda değerlendirme puanlarının internet ortamında yayımlanması hakkında görüş verilmiştir. Kurul, değerlendirme puanlarının yalnızca akademik kadrolara müracaat eden ilgili kişilerce görüntülenebilecek şekilde, kimlik doğrulaması yapılarak ilan edilmesi gerektiğine karar vermiştir. Ad-soyad ve T.C. kimlik numarası gibi verilerin maskeleme yöntemiyle gizlenmesi uygun bulunmuştur.
Devlet memurlarının görev ve sorumluluklarına ilişkin kişisel veri işleme sınırları değerlendirilmiştir. Kurul, 657 sayılı Devlet Memurları Kanunu ve Anayasa'nın 128-129. maddeleri çerçevesinde memurların hak ve yükümlülüklerinin kanunla düzenlendiğini hatırlatmıştır. Kamu görevlilerinin görevleriyle ilgili kişisel verilerinin kamuya açıklanmasının sınırları ve hukuki dayanakları ayrıntılı olarak incelenmiştir.
VERBİS'e kayıt yükümlülüğünün kapsamı ve tarihleri hakkında kamuoyuna duyuru yapılmıştır. Kurul, Veri Sorumluları Sicilinin şeffaflık ve hesap verebilirlik ilkelerini desteklediğini, kayıt yükümlülüğünün asıl amacının kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi ve farkındalık oluşturulması olduğunu belirtmiştir. Farklı kategorilerdeki veri sorumluları için VERBİS kayıt başlangıç ve bitiş tarihleri ayrıntılı olarak açıklanmıştır.
Bir gazetede yayımlanan köşe yazısında ilgili kişinin kanser tedavisi gördüğüne ilişkin özel nitelikli sağlık verisinin rızası dışında işlenmesi şikâyet konusu edilmiştir. Kurul, sağlık verisinin yayımlanmasında kamu yararı bulunmadığını, kişilik haklarının ifade özgürlüğüne üstün geldiğini tespit etmiştir. Konunun Kanun'un 28/1-c bendindeki basın istisnası kapsamında değerlendirilemeyeceğine karar verilmiştir.
Banka personelinin müşteri bilgilerini şahsi e-posta adresine göndermesi ve dolandırıcılık eylemlerine aracılık etmesi üzerine yapılan veri ihlali bildirimi incelenmiştir. Altı müşterinin nüfus cüzdanı, bakiye, kimlik ve iletişim bilgilerinin sızdırıldığı tespit edilmiştir. Personelin iş akdi feshedilmiş ve suç duyurusunda bulunulmuştur. Kurul, toplam 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Dernek, vakıf ve sendikaların VERBİS kayıt istisnasının kapsamı açıklanmıştır. Kurul, 2018/32 sayılı kararda yer alan 'yalnızca kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler' ifadesinin, bu kuruluşların sadece sayılan kişilerin verilerini işlemesi halinde geçerli olduğunu belirtmiştir. Farklı kategorilerdeki kişilerin verilerini de işleyen kuruluşların VERBİS'e kayıt yükümlülüğü bulunmaktadır.
Bir doktorun ilgili kişinin cep telefonuna açık rıza olmaksızın reklam amaçlı mesaj göndermesi şikâyet konusu edilmiştir. Veri sorumlusunun hem şikâyetçinin başvurusuna hem de Kurum'un bilgi talebine cevap vermediği tespit edilmiştir. Kurul, kişisel verinin Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanmadan işlendiğini belirleyerek Kanun'un 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir.
Sigorta şirketinin, ilgili kişinin mesleki internet sitesinde yer alan iletişim bilgilerini kullanarak sigortacılık faaliyetleri için araması incelenmiştir. Kurul, ilgili kişinin verilerini alenileştirme amacının mesleki yetkinliğinden faydalanmak olduğunu, sigorta teklifi için aranmasının bu amaca uygun olmadığını tespit etmiştir. Veri sorumlusuna Kanun'un 18/1-b maddesi uyarınca idari para cezası uygulanmıştır.
Telekomünikasyon şirketinin, isim benzerliği nedeniyle başka bir abonenin faturalarını ilgili kişinin e-posta adresine göndermesi şikâyet konusu edilmiştir. Kurul, üçüncü kişinin fatura bilgilerinin (isim, numara, tarife, tutar) şikâyetçiye iletilmesinin Kanun'un 5. ve 8. maddelerine aykırı olduğunu, ayrıca şikâyetçinin e-posta adresinin de hukuka aykırı işlendiğini tespit ederek idari para cezası uygulanmasına karar vermiştir.
Hastanede bilimsel araştırma amacıyla toplanan kan, serum ve doku örneklerinin ihmal sonucu bozulması ve imha edilmesi ihbar edilmiştir. Kurul, söz konusu biyolojik materyallerin anonimleştirilmiş olduğunu, dolayısıyla kişisel veri niteliği taşımadığını tespit etmiştir. Ayrıca bilimsel amaçlarla işlenen verilerin Kanun'un 28/1-c maddesi kapsamında istisna tutulduğu belirtilerek Kanun kapsamında yapılacak işlem olmadığına karar verilmiştir.
Hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulama kullananlar hakkında TCK kapsamında Cumhuriyet Başsavcılıklarına ihbarda bulunulacağı ve Kanun'un 18. maddesi çerçevesinde idari işlem tesis edileceği kamuoyuna duyurulmuştur.
Otomotiv sektöründe faaliyet gösteren şirketin ilgili kişiye reklam içerikli SMS göndermesi incelenmiştir. Kurul, Kanun'un yürürlüğe girmesinden önce hukuka uygun alınmış rızaların geçerliliğini ve Ticari İletişim Yönetmeliği hükümlerini değerlendirmiştir. Şikâyetçinin geçmiş alışveriş ilişkisine dayanarak verilen iletişim bilgilerinin kullanımının mevzuata uygun olduğu sonucuna varılmıştır.
Telekomünikasyon şirketinin, ilgili kişinin internet üzerinden yaptığı başvuruyu noter veya e-imza olmadığı gerekçesiyle reddetmesi şikâyet konusu edilmiştir. Kurul, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'in çeşitli başvuru yöntemlerini düzenlediğini, şirketin kimlik teyidi için ek kontrol mekanizması oluşturabileceğini ancak Tebliğ'de belirtilen yöntemlerin dışında şartlar koyamayacağını belirtmiştir.
Havayolu şirketinin sadakat programı kullanıcısından şifre değişikliği için arkalı önlü kimlik fotokopisi talep etmesi incelenmiştir. Kurul, kimlik belgesinde din ve kan grubu gibi özel nitelikli kişisel verilerin yer aldığını, bu verilerin Kanun'un 5. ve 6. maddelerine uygun olmadan işlenmesinin hukuka aykırı olduğunu tespit etmiştir. Şifre değişikliği için arkalı önlü kimlik fotokopisi istenmesinin orantılılık ilkesine aykırı olduğuna karar verilmiştir.
Sevinç Eğitim Kurumları'nın ilgili kişinin cep telefonuna açık rıza veya diğer işleme şartları olmaksızın reklam amaçlı SMS göndermesi şikâyet konusu edilmiştir. Kurul, veri sorumlusunun Kanun'un 12/1-a maddesi kapsamında kişisel verilerin hukuka aykırı işlenmesini önleme yükümlülüğünü yerine getirmediğini tespit ederek 50.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri sorumlusu tarafından ilgili kişiye yapılacak veri ihlali bildiriminin açık ve sade bir dille yapılması ve asgari olarak şu unsurları içermesi gerektiğine karar verilmiştir: İhlalin ne zaman gerçekleştiği, etkilenen veri kategorileri, olası sonuçlar, alınan önlemler ve iletişim bilgileri.
Facebook'un 'başkasının gözünden gör', 'doğum günü kutlayıcı' ve 'video yükleyici' özelliklerinin etkileşimi sonucu oluşan güvenlik açığından kaynaklanan veri ihlali incelenmiştir. Facebook'un Kurul'a bildirimde bulunmadığı tespit edilmiştir. Test aşamasında tespit edilmesi gereken hatanın yayına alınması nedeniyle Kanun'un 12/1. maddesi uyarınca idari para cezası uygulanmasına karar verilmiştir.
Banka çalışanının, müşterinin telefon numarasını eşine ulaşmak için amacı dışında kullanması şikâyet konusu edilmiştir. Kurul, Banka'nın şikâyetçiye 'Hizmet Hattını arayın' şeklinde verdiği cevabın yeterli olmadığını, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvuruya yazılı veya elektronik ortamda açıklayıcı cevap verilmesi gerektiğine karar vermiştir.
Banka çalışanının, müşterinin telefon numarasını eşinin iş ilişkisi için arayarak amacı dışında kullanması şikâyet konusu edilmiştir. Kurul, Banka'nın şikâyetçiye detaylı bilgi için Hizmet Hattını aramasını önermesinin yeterli bir cevap olmadığını tespit etmiş, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca başvuruya usulüne uygun cevap verilmesi gerektiğine karar vermiştir.
Vefat eden kişinin eşinin, ölen eşine ait sağlık verilerine erişim talebi değerlendirilmiştir. Kurul, 4721 sayılı Türk Medeni Kanunu'nun 28. maddesi uyarınca kişiliğin ölümle sona erdiğini, Kanun'un 11. maddesinde düzenlenen hakların yalnızca ilgili kişinin kendisi tarafından kullanılabileceğini tespit etmiştir. Ölmüş kişilere ait veriler Kanun kapsamında değerlendirilmediğinden talebin karşılanamayacağına karar verilmiştir.
TOBB ve sektör temsilcilerinin talebi üzerine VERBİS kayıt sürelerinin uzatılmasına karar verilmiştir. Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan veri sorumluları ile yurtdışında yerleşik veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için süre 31.12.2019 tarihine kadar uzatılmıştır.
S Şans Oyunları A.Ş.'nin (tuttur.com) veri ihlali bildirimi incelenmiştir. Kullanıcılara ait telefon numaraları ve şifrelerinin sızdırıldığı tespit edilmiştir. Şirketin veri işleyen nezdinde gerçekleşen ihlal için de gerekli tedbirleri almadığı değerlendirilerek Kanun'un 12/1 ve 12/5. maddeleri uyarınca toplam 180.000 TL (150.000 TL + 30.000 TL) idari para cezası uygulanmıştır.
Turizm şirketinin LAN (Yerel Alan Ağı) üzerinden yaşanan veri ihlali bildirimi incelenmiştir. Şirketin veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı ve ilgili kişilere bildirim yapmadığı tespit edilmiştir. Kanun'un 12/1 ve 12/5. maddeleri uyarınca toplam 500.000 TL (400.000 TL + 100.000 TL) idari para cezası uygulanmıştır.
Yurtdışında yerleşik tüzel kişilerin Türkiye'deki şubeleri ve irtibat bürolarının VERBİS kayıt yükümlülüğü hakkında görüş verilmiştir. Kurul, veri sorumluluğunun tespitinde kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma kriterlerinin değerlendirilmesi gerektiğini belirtmiştir. Yurtdışında yerleşik veri sorumlularının VERBİS'e kayıt yükümlülüğü ve istisna kriterleri ayrıntılı olarak açıklanmıştır.
Dubsmash Inc.'in karanlık ağda (Darknet) kullanıcı verilerinin satışa çıkarılması üzerine yaptığı veri ihlali bildirimi incelenmiştir. Türkiye'yi ülke olarak tanımlayan 679.269 kişiye ait bilgilerin ihlalden etkilendiği tespit edilmiştir. Şirketin ihlalin tekrar yaşanmaması için gerekli güvenlik tedbirlerini aldığı ve kullanıcılara bildirimde bulunduğu değerlendirilerek Kanun kapsamında yapılacak işlem bulunmadığına karar verilmiştir.
Yatırım şirketinin, daha önce başka şirkette çalışan personeli aracılığıyla elde ettiği telefon numarasını kullanarak ilgili kişiyi reklam amacıyla araması şikâyet konusu edilmiştir. Kurul, kişisel verinin Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanmadan işlendiğini tespit etmiş ve veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir.
Web sitesinde hizmet sunumu için e-posta adresinin zorunlu olarak talep edilmesi incelenmiştir. Kurul, açık rızanın özgür irade ile verilmesi gerektiğini, hizmet veya ürün sunumunun kişisel veri işlenmesi şartına bağlanmaması gerektiğini vurgulamıştır. Aydınlatma metninin de işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koyması gerektiği belirtilerek veri sorumlusunun uygulamalarını düzeltmesi için talimat verilmiştir.
Bir sadakat programı kapsamında kişisel veri işlenmesine ilişkin ihbar incelenmiştir. Kurul, sadakat kartı üyeliği için kişisel veri işlenmesinin açık rızaya dayandığını, açık rıza metninin belirli bir konuya ilişkin olduğunu ve aydınlatmanın mevzuata uygun yapıldığını tespit etmiştir. Sadakat programına katılmayanlara da normal fiyattan alışveriş imkânı sunulduğundan açık rızanın özgür irade ile verildiği sonucuna varılmıştır.
Mimar Sinan Güzel Sanatlar Üniversitesi'nin öğrenci sınav sonuçlarını internet ortamında herkese açık şekilde yayımlaması incelenmiştir. Kurul, sınav sonuçlarının arama motorlarında erişilebilir olmasının ve yıllar sonra bile üçüncü kişilerin erişimine açık tutulmasının uygun olmadığını tespit etmiş, sonuçların kullanıcı adı-şifre ile güvenli bir sistem üzerinden açıklanması gerektiğine karar vermiştir.
Perakende giyim firmasının web sitesinde yaşanan veri ihlali bildirimde bulunulması üzerine inceleme yapılmıştır. Yeni hesap açan müşterilerin kişisel verilerinin yanlışlıkla bir URL üzerinden üçüncü taraflara aktarıldığı tespit edilmiştir. Web sitesi testlerinin yetersiz olması ve takip sistemlerinin bulunmaması nedeniyle Kanun'un 12/1. maddesi uyarınca 50.000 TL idari para cezası uygulanmıştır.
Veri sorumlusu avukatın, bir müvekkiline ait SMS'i yanlışlıkla başka bir kişinin numarasına göndermesi incelenmiştir. Gönderilen SMS'te üçüncü kişinin ad, soyad ve hizmet numarası gibi kişisel verileri yer almıştır. Kurul, veri sorumlusunun hukuka aykırı veri işlemeyi önleme yükümlülüğünü yerine getirmediğini tespit ederek Kanun'un 18/1-b maddesi uyarınca 50.000 TL idari para cezası uygulanmıştır.
Varlık yönetim şirketinin tahsili gecikmiş alacaklar için ilgili kişiye SMS göndermesi incelenmiştir. Kurul, alacağın 5411 sayılı Bankacılık Kanunu ve 6098 sayılı TBK kapsamında devir ve temlik alındığını, ilgili kişinin kişisel verilerinin sözleşmenin ifası kapsamında Kanun'un 5/2-c maddesi uyarınca işlenebileceğini tespit etmiş, veri sorumlusunun başvuruya süresinde cevap verdiğini belirleyerek yapılacak işlem olmadığına karar vermiştir.
Bir anonim şirketin ilgili kişinin cep telefonuna açık rıza olmaksızın reklam içerikli SMS göndermesi şikâyet konusu edilmiştir. Kurul, mesaj gönderiminin Kanun'un 5. maddesindeki işleme şartlarından herhangi birine dayanmadığını tespit etmiş, şirkete başvuruya cevap verilmemesi ve hukuka aykırı veri işleme nedeniyle Kanun'un 18/1-b maddesi uyarınca 50.000 TL idari para cezası uygulanmıştır.
Kurumsal e-posta hizmetinin Google (Gmail) üzerinden kullanılması hakkında görüş verilmiştir. Kurul, Gmail altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerindeki veri merkezlerinde tutulacağını, bunun kişisel verilerin yurt dışına aktarılması anlamına geleceğini belirtmiş ve veri sorumlularının bu uygulamayı Kanun'un 9. maddesine uygun olarak gerçekleştirmesi gerektiğine karar vermiştir.
Clickbus Seyahat Hizmetleri A.Ş.'nin yaşadığı siber saldırı sonucu veri ihlali bildirimde bulunması üzerine yapılan inceleme neticesinde; veri güvenliğini sağlamaya yönelik gerekli tedbirlerin alınmadığı ve ihlalin geç bildirildiği tespit edilmiştir. Şirkete Kanun'un 12/1 ve 12/5. maddeleri kapsamında toplam 550.000 TL (450.000 TL + 100.000 TL) idari para cezası uygulanmıştır.
Cathay Pacific Airways Limited'in yaşadığı siber saldırı sonucu yolcu bilgilerine yetkisiz erişim sağlanması üzerine yapılan veri ihlali bildiriminin incelenmesi neticesinde; veri güvenliği tedbirlerinin yetersiz olduğu ve ihlalin geç bildirildiği tespit edilmiştir. Şirkete Kanun'un 12/1 ve 12/5. maddeleri kapsamında toplam 550.000 TL idari para cezası uygulanmıştır.
Çalışanın Whatsapp yazışmalarının şirket sahibi tarafından hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılması şikâyet konusu edilmiştir. Kurul, konunun yargı mercilerinin görev alanına girdiğini tespit ederek başvurunun Kanun kapsamında değerlendirilemeyeceğine, kişisel verilere ilişkin suçlar bakımından TCK 135-140. maddeleri uyarınca Cumhuriyet Başsavcılığına başvurulabileceğine karar vermiştir.
Marriott International'ın Starwood Hotels sistemlerinde yaşanan veri ihlali bildirimde bulunması üzerine yapılan incelemede; veri güvenliği tedbirlerinin yetersiz olduğu ve ihlalin geç bildirildiği tespit edilmiştir. Şirkete Kanun'un 12/1 ve 12/5. maddeleri kapsamında toplam 1.450.000 TL (1.100.000 TL + 350.000 TL) idari para cezası uygulanmıştır.
Bir eğitim kurumunun öğrenci yoklamasını yüz tanıma sistemiyle alması değerlendirilmiştir. Tespit: Yüz tanıma verisi biyometrik veri olup özel nitelikli kişisel veridir Yoklama için daha az müdahaleci yöntemler mevcuttur (kart, imza vb.) Orantılılık ilkesine aykırılık tespit edilmiştir Sonuç: İhlal kararı verilmiştir.
T.C. Ziraat Bankası'nın ilgili kişinin Kanun kapsamındaki başvurusuna yasal süre içinde cevap vermemesi ve internet sitesindeki aydınlatma metninin mevzuata uygun olmaması şikâyet konusu edilmiştir. Kurul, Banka'nın başvuruyu cevaplandırması ve aydınlatma metnini mevzuata uygun hale getirmesi için talimat vermiş, ayrıca Kanun'un 18/3. maddesi kapsamında ihlale sebebiyet veren sorumlular hakkında disiplin işlemi yapılmasına karar vermiştir.
Kanun'un 9. maddesi uyarınca kişisel verilerin yurt dışına aktarımında yeterli korumanın bulunduğu ülkelerin belirlenmesinde esas alınacak kriterler kabul edilmiştir. Bu kriterler, ülkelerin veri koruma mevzuatı, bağımsız denetim mekanizmaları ve uluslararası taahhütlerini kapsamaktadır.
Facebook'un 'Fotoğraf API' güvenlik açığından kaynaklanan veri ihlali resen incelenmiştir. İhlalin Kanun'un 12/5. maddesi uyarınca Kurul'a bildirilmediği tespit edilmiştir. Facebook'un gerekli teknik ve idari tedbirleri almadığı, Türkiye'deki kullanıcıların kişisel verilerini yeterince korumadığı sonucuna varılmış ve Kanun'un 18. maddesi kapsamında idari para cezası uygulanmasına karar verilmiştir.
Bir marketin sadakat kartı uygulamasında açık rızanın hizmet şartına bağlanması incelenmiştir. Kurul, 'Kart avantajlarından faydalanmak için izin verin' şeklindeki uyarıların açık rızanın özgür irade ile verilmesi ilkesine aykırı olduğunu tespit etmiştir. Aydınlatma metninde yer alan özel nitelikli kişisel verilerin (sendika üyeliği, ceza mahkûmiyeti, sağlık bilgileri) işlenmesinin şirketin faaliyetleriyle orantılı olmadığı belirlenmiş ve düzeltme talimatı verilmiştir.
Akaryakıt dağıtım şirketinin EPDK Kararı uyarınca kurduğu otomasyon sistemindeki plaka verilerini, hatalı akaryakıt dolumlarını önlemek amacıyla 'Araç Tanıma Projesi' için kullanmak istemesi incelenmiştir. Kurul, söz konusu veri işlemenin Kanun'un 5/2-ç ve 5/2-f bentleri kapsamında değerlendirilip değerlendirilemeyeceğini incelemiş, tüketicinin ve dağıtıcı şirketin korunması açısından meşru menfaat değerlendirmesi yapmıştır.
2019/23 sayılı Kurul kararının tebliğinden sonra teknik servis şirketinin internet sitesinde yapılan incelemelerde, farklı form numaraları ile sorgulama yapılarak başka kişilerin verilerine erişilebildiği tespit edilmiştir. IMEI numaralarının maskelenmesine rağmen kargo takip linkinden açıkça görüntülenebildiği belirlenmiştir. Şirketin Kurul kararına uygun olarak gerekli tedbirleri almadığı tespit edilerek Kanun'un 15. maddesine aykırılık nedeniyle 50.000 TL idari para cezası uygulanmıştır.
Bir şahsın, diğer bir kişinin kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek yargıya aktardığı iddiasıyla yaptığı şikâyet incelenmiştir. Kurul, şikâyet edilenin dilekçeler yoluyla paylaştığı bilgilerin otomatik veya veri kayıt sistemi aracılığıyla işlenmediğini, dolayısıyla veri sorumlusu olarak nitelendirilemeyeceğini tespit etmiştir. Hukuka aykırı veri elde edilmesi iddiasının TCK kapsamında değerlendirilmesi gerektiğine karar verilmiştir.
Teknik servis firmasının müşterilere verdiği form numaralarının ardışık olması nedeniyle numaranın son hanelerini değiştirerek farklı kişilerin verilerine erişilebildiği tespit edilmiştir. Sorgu numarasını değiştirmek suretiyle başka cihaz sahiplerinin ad, soyad, adres ve IMEI numaralarına erişim sağlanabilmektedir. Kurul, veri sorumlusunun Kanun'un 12/1. maddesine aykırı davrandığını tespit etmiş ve idari yaptırım uygulanmasına karar vermiştir.
Kanun'un 14/1. maddesinde yer alan Kurula şikâyet sürelerinin yorumlanması hakkında kamuoyuna açıklama yapılmıştır. Kurul, veri sorumlusunun 30 gün içinde cevap vermesi halinde ilgili kişinin bu cevabı müteakip 30 gün içinde Kurula şikâyette bulunabileceğini, cevap verilmemesi halinde ise başvuru tarihinden itibaren 60 gün içinde şikâyet hakkının kullanılabileceğini açıklamıştır.
Kişisel veri ihlali bildiriminin usul ve esasları belirlenmiştir: Veri sorumlusu ihlali öğrendiğinde en kısa sürede (72 saat içinde) Kurul'a bildirim yapmalı, ihlalden etkilenen kişilere doğrudan veya web sitesi üzerinden bildirimde bulunmalıdır.
İlgili kişinin ad, soyad, yerleşim yeri gibi kişisel bilgilerinin kullanılarak çeşitli içerikli paylaşımların yapılması hususunda Kuruma başvuru yapılmıştır. Kurul, yargı mercilerinin görev alanına giren konularla ilgili şikâyetlerin Kanun'un 15/2. maddesi gereğince incelemeye alınamayacağını belirlemiştir. Kişisel verilere ilişkin suçlar bakımından TCK 135-140. maddeleri kapsamında Cumhuriyet Başsavcılığına suç duyurusunda bulunulması gerektiğine karar verilmiştir.
Doktor kontrolünde ilaç kullanan ilgili kişinin özel nitelikli sağlık verilerinin, ilaçların temin edildiği eczane tarafından üçüncü bir kişiyle paylaşılması şikâyet konusu edilmiştir. Kurul, sağlık verilerinin Kanun'un 6. maddesi kapsamında özel nitelikli kişisel veri olduğunu ve bu verilerin ancak açık rıza veya kanunda belirtilen istisnai hallerde işlenebileceğini hatırlatmış, eczanenin herhangi bir hukuki dayanağa sahip olmaksızın sağlık verilerini üçüncü kişiyle paylaşmasının Kanun'a aykırı olduğuna karar vermiştir.
Banka nezdinde tutulan kişisel verilerin silinmesi talebinin reddedilmesi üzerine yapılan şikâyet incelenmiştir. Kurul, 5411 sayılı Bankacılık Kanunu'nun 42. maddesi uyarınca bankaların müşteri bilgilerini 10 yıl süreyle saklamakla yükümlü olduğunu, bu nedenle ilgili mevzuatta öngörülen saklama süresi dolmadan verilerin silinemeyeceğine karar vermiştir. Kanun'un 4/2-d maddesi gereği veriler, mevzuatta öngörülen süre kadar muhafaza edilebilmektedir.
Bir tüzel kişiliğe ait verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında yapılan başvuru değerlendirilmiştir. Kurul, 6698 sayılı Kanun'un yalnızca gerçek kişilere ait kişisel verileri kapsadığını, tüzel kişilere ait verilerin Kanun kapsamında bulunmadığını tespit etmiştir. Şirket ortak ve yetkililerine ait kişisel verilere erişim talebinin ise ilgili kişilerin bizzat kendileri tarafından yapılması gerektiğine karar verilmiştir.
Veri sorumlusunun, ilgili kişinin kişisel verilerinin silinmesi talebine ilişkin Kurul kararını süresinde yerine getirmemesi üzerine idari para cezası uygulanmıştır. Kanun'un 15/5. maddesi uyarınca Kurul kararlarının tebliğden itibaren 30 gün içinde yerine getirilmesi zorunlu olup, bu yükümlülüğe uyulmaması halinde 18/1-c maddesi gereğince 25.000 TL'den 1.000.000 TL'ye kadar idari para cezası öngörülmektedir.
Açık rıza almaksızın veya Kanun'un 5/2 hükümlerini sağlamadan telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine reklam içerikli ileti yönlendiren veri sorumluları ile veri işleyenlerin bu faaliyetlerini derhal durdurması gerektiğine karar verilmiştir.
İlgili kişinin görevi nedeniyle imzaladığı bir evrakın kimliği belirsiz kişilerce internet ortamında paylaşılması üzerine yapılan şikâyet incelenmiştir. Kurul, kimliği belirsiz kişi veya kişilerin Kanun kapsamında veri sorumlusu olarak tanımlanamayacağına, bu nedenle şikâyetin Kanun çerçevesinde değerlendirilemeyeceğine, ancak kişisel verilere ilişkin suçlar bakımından 5237 sayılı TCK'nın 135-140. maddeleri kapsamında Cumhuriyet Başsavcılığına suç duyurusunda bulunulabileceğine karar vermiştir.
Online iş başvurusu platformunda aydınlatma yükümlülüğü ve açık rıza süreçlerinin aynı kutucuk işaretlenerek yerine getirilmesi incelenmiştir. Kurul, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5/1-f maddesi uyarınca aydınlatma yükümlülüğü ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini hatırlatmış, veri sorumlusuna gerekli düzeltmelerin yapılması için talimat verilmiştir.
Hazır giyim firmasının internet sitesinde yaşanan güvenlik açığı nedeniyle müşteri bilgilerinin (ad, soyad, adres, telefon) üçüncü kişilerce erişilebilir hale gelmesi incelenmiştir. Kurul, veri sorumlusunun Kanun'un 12. maddesi uyarınca kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğünü yerine getiremediğini tespit etmiş, gerekli teknik ve idari tedbirlerin alınması için talimat vermiştir.
Veri Sorumluları Siciline kayıt yükümlülüğünün başlama tarihleri belirlenmiştir. Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan veri sorumluları ile yurtdışında yerleşik veri sorumluları için kayıt başlangıç tarihi 01.10.2018 olarak, ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için ise ayrı bir tarih belirlenmiştir. Kayıt için 30.09.2019'a kadar süre tanınmıştır.
VERBİS'e kayıt yükümlülüğünden istisna tutulacak veri sorumlularının kapsamı genişletilmiştir. Kurul, yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların VERBİS'e kayıt yükümlülüğünden istisna tutulmasına karar vermiştir.
Arabulucuların VERBİS'e kayıt yükümlülüğünden istisna tutulması talebi değerlendirilmiştir. Kurul, 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu uyarınca faaliyet gösteren arabulucuların, Kanun'un 16/2. maddesi ve Veri Sorumluları Sicili Hakkında Yönetmelik'in 16. maddesi kapsamında Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar vermiştir.
Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme ve soruşturma dosyalarına ilişkin evrakların imha edilmesi talebi değerlendirilmiştir. Kurul, 657 sayılı DMK'nın 109. maddesi uyarınca memurların özlük dosyalarının tutulmasının zorunlu olduğunu, Devlet Arşiv Hizmetleri Yönetmeliği kapsamında arşiv belgesi niteliğindeki dosyaların saklanması gerektiğini tespit etmiş ve işlenmelerini gerektiren sebeplerin ortadan kalkmaması nedeniyle verilerin imha edilemeyeceğine karar vermiştir.
Gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin VERBİS'e kayıt yükümlülüğünden istisna tutulması talebi değerlendirilmiştir. Kurul, 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına karar vermiştir.
Veri sorumlusu nezdinde çalışanların, yetkilerini aşarak veya kötüye kullanarak kişisel verileri işleme amacı dışında işlemesi veya üçüncü kişilerle paylaşmasının Kanun'un 12. maddesine aykırılık teşkil edeceği, bu tür eylemlerin önlenmesi için gerekli teknik ve idari tedbirlerin alınması gerektiği hususunda ilke kararı verilmiştir.
Kurul, VERBİS'e kayıt yükümlülüğünden istisna tutulacak veri sorumlularını belirlemiştir: (1) Yalnızca otomatik olmayan yollarla işleyenler, (2) noterler, (3) sadece kendi çalışan/üye/bağışçılarına yönelik veri işleyen dernek, vakıf ve sendikalar, (4) siyasi partiler, (5) avukatlar, (6) mali müşavirler.
Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler belirlenmiştir: Ayrı politika ve prosedür belirlenmesi, çalışanlara düzenli eğitim verilmesi, gizlilik sözleşmeleri yapılması, yetki matrisi oluşturulması, periyodik denetimler yapılması ve şifreleme/anonimleştirme gibi teknik tedbirler alınması zorunlu kılınmıştır.
Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda, yetkisiz kişilerin bu bölümlere erişimini önleyecek ve yakın konumdaki hizmet alanların birbirlerinin kişisel verilerini görmesini, duymasını veya öğrenmesini engelleyecek nitelikte gerekli teknik ve idari tedbirlerin alınması gerektiğine dair ilke kararı verilmiştir.
İsimden telefon numarası veya telefon numarasından isim sorgulamaya imkân tanıyan rehberlik hizmeti sunan internet siteleri ve mobil uygulamaların Kanun'a aykırı veri işleme faaliyetlerinin derhal durdurulmasına, aksi halde erişim engellenmesi için yetkili kurumlara başvurulmasına ve TCK m.136 kapsamında Cumhuriyet Başsavcılığına ihbarda bulunulmasına karar verilmiştir.
Sonuç bulunamadı
Arama kriterlerinize uygun karar bulunamadı.