VERKO Akademi Mart Ayı KVK Bülteni Yayımladı!
Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile;
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının,
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının,
• Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının
Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmasına oy birliği ile karar verilmiştir.
VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Veri sorumluları Amazon Turkey Perakende Hizmetleri Ltd. Şti. ve Amazon Turkey Yönetim Destek Hizmetleri Ltd. Şti. tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvuruları 6698 sayılı Kişisel Verilerin Korunması Kanunu m.9/2 kapsamında değerlendirilmiş ve söz konusu veri aktarımına 04.03.2021 tarihinde Kişisel Verileri Koruma Kurulu tarafından izin verilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yurt dışına veri aktarımına imkan tanıyan yollardan bir tanesi de “taahhütname”dir.
Bu yönteme göre kişisel veriler; Türkiye’deki ve ilgili yapancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Cumhurbaşkanı 02.03.2021 tarihinde yapılan “İnsan Hakları Eylem Planı Tanıtım Toplantısı”nda kişisel verilere de değindi. Cumhurbaşkanı;
•KVK Kurumunun etkinliği artırılacak,
•KVKK Avrupa Birliği standartları ile uyumlu hale getirilecek,
•KVK Kurulunun idari para cezası kararlarına karşı sulh ceza hakimlikleri yerine idari yargıya başvuru imkânı sağlanacak,
•Adli sicil kaydı için arşiv kayıtlarının silinme süresi kısaltılacak
açıklamalarına değindi.
Taahhütname hazırlanırken Kurum internet sayfasında yayınlanan şablonlardan yalnızca birinin kullanılmasının beklenildiği, taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmesi gerektiği dile getirildi. 6698 sayılı Kanun çerçevesinde Kurum tarafından hazırlanmış olan şablonların esas alınması gerektiği özellikle belirtildi.
Kuruma gelen taahhütname başvurularında sıklıkla yapılan hataların başvurularda açık rızaya dayanılarak gerçekleştirilecek yurt dışına veri aktarımları için taahhütname kapsamında izin istendiğinin görüldüğüne dikkat çekerek, açık rıza şartına dayalı olarak gerçekleştirilecek yurt dışına veri aktarımlarının taahhütnamelere konu edilemeyeceğinin altı çizildi.
Aldığımız cevapta log kayıtlarının Sosyal Güvenlik Kurumu Başkanlığı tarafından tutulduğunu, log kaydının tutulmasıyla sadece eczaneye tanımlanan sabit IP numarasının tespit edilebileceğini yani sisteme kimin girdiğinin tespit edilemeyeceğini öğrendik. Sonuç olarak; sabit IP’lerden eczane kullanıcı adı ve parolasını bilen kişiler sisteme girebilir ve sisteme kimin girdiği değil, eczanenin sabit IP numarası tespit edilebilir.
Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik A.Ş. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
Kimliği veri sorumlusunca belirlenemeyen şahıs ya da şahıslarca Yemek Sepetine ait bir web uygulama sunucusuna erişildiği, yetkisiz erişimin o an fark edilemediği, 25.03.2021 tarihinde gelen alarmlar incelendiğinde şüpheli bir davranışın tespit edildiği, ihlalden 21.504.083 kişinin etkilendiği, ihlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon, e-posta, şifre, IP bilgileri olduğu ve kredi kartı saklama hizmetinin veri sorumlusundan bağımsız Mastercard tarafından sağlandığı için finansal verilerin etkilenmediği ifade edilmiştir.
Generali Sigorta A.Ş. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlalin, veri sorumlusunun internet sayfası üzerinden TC kimlik numaralarının otomatik yazılımlar ve botlar aracılığıyla olağandışı sorgulama yapılması ile gerçekleştiği, teklif formu sayfasının ihlalin tespitinin ardından veri sorumlusu tarafından kullanıma kapatıldığı, İhlalden etkilenen kişisel verilerin ad, soyad, doğum tarihi ve cinsiyet bilgisi olduğu ve ihlalden 951 kişinin etkilendiği ifade edilmiştir.
West Gate Toplu Yapı Sitesi Yöneticiliği tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlal, veri sorumlusunun bir çalışanının, site yönetiminde kullanılan bir yazılım programında kendisine ait kullanıcı adı ve şifresini yetkisiz üçüncü kişilerle paylaşması sonucu kat maliklerine ve bağımsız bölüm kullanıcılarına ait kişisel verilerin ele geçirilmesi neticesinde gerçekleştiği, ihlalden etkilenen kişi grubunun West Gate Toplu Yapı Sitesi Bağımsız Bölüm Kullanıcıları ile Kat Maliklerinin olduğu, ihlalden 2.220 kişinin kimlik, iletişim, lokasyon, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, finans veri kategorilerinin etkilendiği ifade edilmiştir.
Fibabanka AŞ tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
Banka personelinin Kredi Kayıt Bürosu neticesinde ulaştığı kişilerin kimlik ve finans verilerini üçüncü kişilere ilettiği ve ihlalden tahmini olarak 13500 kişinin etkilendiği ifade edilmiştir.
Oto Rapor Araç Muayene ve Ekspertiz Hizmetleri San. ve Tic. AŞ tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
Veri sorumlusuna, sistemlerine girildiğine ve bunun karşılığında fidye istendiğine dair bir e-posta gönderildiği, ihlalden kimlik, iletişim ve müşteri işlem bilgilerinin etkilendiği ifade edilmiştir.
Acer Bilişim Teknolojileri Limited Şirketi ve Acer Sales International SA tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlalin, veri sorumlusunun, EMEA Bölgesindeki (Avrupa, Ortadoğu, Afrika– Türkiye de dahil) yerel sunucularına 14.03.2021 tarihinde bir fidye yazılımı saldırısı yapılarak EMEA Bölgesinde kullanılan sistemlerde bulunan verilerin yaklaşık yarısının şifrelenmesi sonucu gerçekleştiği ifade edilmiştir.
Adım Adım Oluşumu tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlalin, siber saldırganların ipk.adimadim.org web sayfası veri tabanına yetkisiz erişim sağlayarak kişisel verilere hukuka aykırı erişimleri sonucu gerçekleştiği ve tahmini olarak 733.000 kayıt sayısının etkilendiği ifade edilmiştir.
27/02/2020 Tarihli ve 2020/172 Sayılı Karar
Daha önce hiç gitmediği hastane tarafından reklam amaçlı aranmasından dolayı ilgili kişi önce veri sorumlusuna başvurmuş daha sonra da Kurul’a şikâyet etmiştir. Kurul, kişisel verilerin “hukuka aykırı işlenmesini önlemek” yükümlülüğünü yerine getirmediği için veri sorumlusu hastaneye 50.000₺ idari para cezası vermiştir.
27/02/2020 Tarihli ve 2020/166 Sayılı Karar
İlgili kişi araç kiralama şirketine ..22 ile biten kredi kartı numarasını vermişken, şirket HGS ücretini ..67 ile biten kredi kartı numarasından tahsil etmiştir. Bunun üzerine Kurul, “hukuka ve dürüstlük kuralına uygun olma” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği için şirkete 75.000₺ idari para cezası vermiştir.
18/02/2020 Tarihli ve 2020/138 Sayılı Karar
İşe iade davasında, dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan sağlık raporunun mahkemenin talebi olmadığı halde dava dosyasına sunulduğu için ilgili kişi veri sorumlusunu şikâyet etmiştir. “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü dikkate alındığında Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
13/02/2020 Tarihli ve 2020/124 Sayılı Karar
Havayolu şirketi çalışanı ilgili kişiye ait uçuş bilgilerini elde ettiği ve bu bilgileri kullanarak ilgili kişiyi hakaret ve tehditlere maruz bıraktığı için veri sorumlusu havayolu şirketi şikâyet edilmiştir. Kurul, veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirmediği ve çalışanlara verilen eğitimin yetersiz olduğu için havayolu şirketine 100.000₺ idari para cezası vermiştir.
18/02/2020 Tarihli ve 2020/145 Sayılı Karar
İlgili kişiler, asılsız ve gerçeğe aykırı beyanlarda bulunulduğu için veri sorumlusuna noter aracılığıyla ihtarname göndermişlerdir. Veri sorumlusu ise bu ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde internet sitesinde yayımlamıştır.
İhtarnamenin sonunda ilgili kişilerin kişisel verileri (T.C. kimlik numaraları, nüfus kayıt bilgileri, anne-baba isimleri ve adres bilgileri) yer almaktadır. Kurul, ihtarnamede bulunan ilgili kişilere ait bu kişisel verileri maskeleme işlemi yapmadan yayımladığı için şirkete 55.000₺ idari para cezası vermiştir.
19/03/2020 Tarihli ve 2020/226 Sayılı Karar
Veri sorumlusunun bir çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin veri sorumlusuna dijital ortamda sunulduğu, söz konusu kişisel verilere dayanılarak ilgili kişi hakkında 657 sayılı Devlet Memurları Kanunu gereğince disiplin soruşturması başlatıldığı, disiplin cezası aldığı ve başka bir ilde alt kadroya atandığı için Kurul’a şikâyette bulunulmuştur.
Kurul, kişisel verileri hukuka aykırı olarak elde eden çalışan açısından şikâyete konu iddiaların TCK kapsamında değerlendirilmesi gerektiğini belirtmiştir.
12/03/2020 Tarihli ve 2020/212 Sayılı Karar
Kamusal alanda bile kişilerin özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği ortamlarda güvenlik kamerası kaydı ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının yapılması ölçülülük ilkesine aykırı olarak sayılmıştır.
02/04/2020 Tarihli ve 2020/255 Sayılı Karar
Kurul, ilgili kişiye/veliye herhangi bir aydınlatma yapmadan ve açık rızasını almadan özel nitelikli kişisel veri kapsamında olan “CAS Uygulama ve Değerlendirme Testi” yaptığı için veri sorumlusuna 50.000₺ idari para cezası vermiştir.
22/04/2020 Tarihli ve 2020/307 Sayılı Karar
Bilindiği üzere ticaret sicili, Ticaret Sicil Müdürlükleri tarafından tutulmakta ve MERSİS’te yayınlanmaktadır. Buradan erişilebilen kişisel verilerin her ne kadar aleniyet gereği herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilecek olsa da bu durumun anılan bilgilerin kişisel verilerin korunmasına ilişkin mevzuattan muaf olması anlamına gelmeyeceği; aynı şekilde, aleniyet kapsamında işlenen kişisel verilerin aleniyetin amacıyla örtüşmesi gerektiği ve aleniyet amacı dışında kalan durumlarda bu verilerin işlenmesinin hukuka aykırı olacağı belirtilmiştir.
05/05/2020 Tarihli ve 2020/336 Sayılı Karar
Veri sorumlusu Üniversite kendisine yapılan başvuruya cevap vermemesinin başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmesine ve işlemin sonucu hakkında Kurula bilgi verilmesine karar verilmiştir.
14/05/2020 Tarihli ve 2020/379 Sayılı Karar
Tıp merkezinin internet sitesindeki ilgili kişinin video görüntüsü kişisel verisinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde veri sorumlusu tarafından yerine getirilmediği için 75.000₺ idari para cezası verilmiştir.
20/05/2020 Tarihli ve 2020/407 Sayılı Karar
İlgili kişinin özel nitelikli kişisel verisinin (tüp bebek tahlil sonuçlarının) ilgili kişinin açık rızası ya da özel nitelikli kişisel verilerin işlenme şartlarından biri olmadığı halde üçüncü kişilere aktarıldığı için veri sorumlusu hastaneye 100.000₺ idari para cezası verilmiştir.
22/05/2020 Tarihli ve 2020/414 Sayılı Karar
İlgili kişi, hakkında hüküm verildiği suçtan dolayı cezası infaz edildikten sonra haberin yayımlandığı gazetenin internet sitesinden kaldırılmasını talep etmiştir. İlgili kişinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve söz konusu başvurunun istisnalar kapsamında değerlendirilmesi nedeniyle ilgili kişinin şikâyeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
28/05/2020 Tarihli ve 2020/435 Sayılı Karar
Bir kargo firmasında denetim uzmanı olarak görev yapan ilgili kişi, Kanunda düzenlenmeyen savunma yazısı ve istifa dilekçelerinin birer örneğini talep etmesine rağmen veri sorumlusu 30 günlük yasal süre içerisinde cevap vermemiştir. Kurul, ilgili kişiye ait kişisel veri niteliğindeki bilgilerinin birer örneğini ilgili kişiye vermesi ve ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususlarında veri sorumlusunu talimatlandırmıştır.
25/06/2020 Tarihli ve 2020/494 Sayılı Karar
İlgili kişinin veri sorumlusu kargo şirketinde çalıştığı, ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin feshedilmesine ilişkin delil olarak mahkemeye sunulduğu belirtilmiştir. İlgili kişi, bir açık rıza beyanının bulunmadığını belirterek veri sorumlusu tarafından kişisel verilerinin silinmesini talep etmiştir. İlgili kişinin veri sorumlusu kargo şirketi tarafından açık rızası alınmaksızın kamera kaydının alındığı iddiası karşısında; veri sorumlusunun daha önceden, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığını belirtmiştir. Veri sorumlusunun kargo şirketi olduğu göz önüne alındığında; kamera kaydı alınmasının “Kanunlarda açıkça öngörülmesi” hukuki sebebine uygun olarak işleme yaptığından hareketle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
27/02/2020 Tarihli ve 2020/187 Sayılı Karar
İlgili kişinin oturmakta olduğu bina içerisine komşusu tarafından 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme ve özel hayatın gizliliğini ihlal etme suçlarının işlendiği şikâyette belirtilmiştir. Kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmiştir.
Kurul, komşu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği belirtmiştir.
05/05/2020 Tarihli ve 2020/335 Sayılı Karar
İlgili kişi çalışan, memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasından çıkarılmasını talep etmiştir. İlgili kişinin mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin kanunilik unsurunun öğretide ifade edilen maddi kanun olarak değerlendirilmesi gerektiği sonucuna varılmıştır. Devlet Personel Başkanlığının Kurum görüş talebine verdiği cevapla birlikte 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca uygulanmakta olan mevzuat açısından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.
30/01/2020 Tarihli ve 2020/78 Sayılı Karar
İlgili kişinin müşterisi olduğu banka, ilgili kişiye ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaşmış, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunmuştur. Başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmamıştır. Veri sorumlusu gerekli dikkat ve özeni göstermesi hususunda talimatlandırılmış ve hakkında 60.000 TL idari para cezası uygulanmasına karar verilmiştir.
20/05/2020 Tarihli ve 2020/404 Sayılı Karar
İşçisine ait kişisel verileri ve özel nitelikli kişisel verileri işlerken aydınlatma yükümlülüğünü ihlal eden veri sorumlusu işverenin hakkında aydınlatma yükümlülüğünü ihlal etmesi sebebiyle 50.000₺ idari para cezası uygulanmasına,
Çalışanların ve yakınlarının kişisel verilerini, işleme şartları ve ilgili kişinin açık rızası bulunmaksızın işlemesi, özel nitelikli kişisel veriler işlenirken genel ilkelerden ölçülülük ilkesine aykırı hareket etmesi, bu verilerin yine çalışanlarının açık rızası olmaksızın yurtiçi ve/veya yurtdışına aktarılması, dolayı kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket etmesi sebepleriyle veri sorumlusu işverene 200.000₺ idari para cezası verilmiştir.
20/05/2020 Tarihli ve 2020/396 Sayılı Karar
Araç kiralama hizmeti sağlamayı kişisel veri işleme şartına bağlayan şirkete başvuruda bulunan ilgili kişi, taleplerine yönelik hiçbir cevap veya çözüm önerisi sunulmaması üzerine Kuruma başvurarak gereğinin yapılmasını talep etmiştir. İnceleme neticesinde araç kiralama hizmet alımı esnasında veri sorumlusu tarafından işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin, kişisel verilerinin işlenmesi amacıyla toptan açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alınmış ve hukuka aykırı şekilde kişisel veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusuna 50.000₺ idari para cezası verilmiştir.
03/02/2021 Tarihli ve 2021/84 Sayılı Karar
Bir hastane hastalarına ait telefon numaralarına SMS göndermek amacıyla Sabit Telefon Hizmeti (1. STH) ile anlaşma yapmıştır. 1. STH, hastanenin eski çalışanı olan bir doktora hasta sağlamak için bu telefon numaralarını başka bir 2. STH’a aktarmıştır. Hastane ile 1. STH arasındaki anlaşmada hastane veri sorumlusu, 1. STH ise veri işleyen olup 1. STH veri sorumlusunun belirlediği işleme amacı dışında hukuka aykırı olarak veri işlediği için 125.000₺ idari para cezası verilmiştir.
13/02/2020 Tarihli ve 2020/118 Sayılı Karar
İlgili kişiye karşı İcra ve İflas Kanunu hükümlerince icra takibine geçilmiş; icra takibinde borçlu konumunda olan ilgili kişinin iş yaptığı kişi ve şirketler, çalışma arkadaşları, ortak olduğu şirketler, şirket bilgilerinin resmi olmayan yollarla ele geçirilmiştir. Kimse tarafından bilinmeyen kişisel verisi olan banka hesap ve kiralık kasa bilgisinin paylaşılmıştır. Olayla ilgili hususlar dikkate alındığında mezkûr iddialarla ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
30/06/2020 Tarihli ve 2020/504 Sayılı Karar
İlgili kişi veri sorumlusu bir havayolu şirketinin çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının yazıya dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesini istemiş, veri sorumlusu tarafından söz konusu talep “ilgili ses kayıtlarının talebi şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda mümkün olduğu” gerekçesi ile reddedilmiştir. Veri sorumlusu, veri ihlaline sebep olduğu gerekçesiyle cezalandırılmış ve ilgili görüşme kaydının ilgili kişiye teslim edilmesi talep edilmiştir.
13/02/2020 Tarihli ve 2020/120 Sayılı Karar
İlgili kişilerin çalışmakta olduğu mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenlenen “Vergi Tekniği Raporunda” (Rapor) kendileri ile ilgili bir vergi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilmiştir. Vergi Usul Kanunu ve sair mevzuat hükümleri de incelendiğinde, şikâyete konu veri işleme faaliyetinin veri sorumlusunun hukuki yükümlülüğü çerçevesinde yerine getirildiğine ve şikâyete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.
09/02/2021 Tarihli ve 2021/111 Sayılı Karar
İlgili kişinin cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderilmiştir. İlgili kişinin başvurusu üzerine Kurum tarafından SMS’leri gönderen Hukuk Bürosu avukatından ve alacak sahibi Şirketten savunmaları istenmiştir.
İlgili kişinin kişisel verilerinin Hukuk Bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak; veri sorumlusu avukat tarafından ileri sürülen hususların açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanmaması ve dolayısıyla veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek yükümlülüğünü ihlal etmesi sebebiyle veri sorumlusu avukat hakkında 50.000₺ idari para cezası uygulanmasına,
Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk avukat tarafından girilen verilerin doğruluğunun ve güncelliğinin sağlanmasında gerekli denetim ve kontroller yapılmaksızın ikinci avukat ile paylaşıldığı için gerekli teknik ve idari tedbirleri almayan Şirket hakkında 115.000₺ idari para cezası uygulanmasına,
Yasal Takip Sistemindeki (YTS) telefon numarasının, ilgili kişinin yakınına ait olduğu bilgisinin sistemde bulunmasına rağmen, Kanunda sayılan kişisel veri işleme şartlarından herhangi biri bulunmaksızın kişisel veri işleme faaliyeti gerçekleştiren veri sorumlusu avukat hakkında 50.000₺ idari para cezası uygulanmasına karar verilmiştir.
11/02/2020 Tarihli ve 2020/108 Sayılı Karar
İlgili kişinin sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde belirli tarihler arasında çalışmıştır. İş ilişkisini sonlandırmak suretiyle başka bir şirkette işe başlamıştır. İlgili kişinin yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri sorumlusu tarafından ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin kendileri ile paylaşıldığı, ayrıca, ilgili kişinin aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddialar ilgili kişiye iletilmiştir. İlgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki adet e-posta vasıtasıyla aktarıldığı öğrenilmiştir. Söz konusu veri aktarımının yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiğinden hukuka aykırı bir veri işleme olmadığı sonucuna varılmıştır.
09/02/2021 Tarihli ve 2021/115 Sayılı Karar
İlgili kişi, bankanın sözleşmeli avukatı tarafından bankaya olan borcu sebebiyle kız kardeşinin arandığı ve SMS gönderildiği için avukatı Kurul’a şikâyet etmiştir. Banka müşterilerine ait tüm iletişim numaralarını avukata “irtibat bilgisi” olarak ilettiği için avukat hakkında bir işlem olmadığına fakat banka tarafından ilgili kişinin kız kardeşinin cep telefonu numarasının Yasal Takip Sistemine kaydedilmesi işleminin ilgili kişinin açık rızasının alınması şartına dayanılarak yapılmadığından veri sorumlusu bankaya 175.000₺ idari para cezası verilmiştir.
30/06/2020 Tarihli ve 2020/507 Sayılı Karar
İlgili kişi, vefat eden babasına ait her türlü sağlık verisinin tarafına iletilmesini ilgili kamu kurumundan talep etmiştir fakat ilgili kamu kurumu ilgili kişinin babasına ait kişisel sağlık verilerinin ancak yargı makamları tarafından istendiği hallerde paylaşılabileceğini belirterek reddetmiştir. Kurum, ilgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar vermiştir.
11/08/2020 Tarihli ve 2020/608 Sayılı Karar
İlgili kişinin 05********4 numaralı cep telefonuna bir havayolu şirketinden uçak bileti satın aldığına dair SMS gönderilmiştir. Rezervasyonu yapan kişi tarafından bilet bilgilerinin ücretli SMS olarak iletilmesi tercihinin işaretlendiği ancak ücretli SMS’in gönderileceği telefon numarasının rezervasyonda kayıtlı iletişim numarasından farklı olduğu veri sorumlusu tarafından Kuruma bildirilmiştir. Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği göz önünde bulunduğunda Kanun kapsamında tesis edilecek bir işlem olmadığına karar verilmiştir.
Sanal salonlar aracılığıyla ve davet yoluyla birkaç kişiyle sohbet etmenize olanak tanıyan sesli bir sosyal ağ olan Clubhouse hakkında şikâyet alan CNIL, bu yeni sosyal ağın GDPR ile uyumluluğunu doğrulamak için araştırmalar başlattı.
CNIL; Fransa Ulusal Bilişim ve Özgürlükler Komisyonu
Detaylı bilgi için tıklayınız.
Kendi alanının en geniş araştırması olan 2021 Veri Koruma Raporu, aralarında Türkiye’nin de bulunduğu 28 ülkede, 3 bin global şirketin üst düzey yöneticileri ve BT karar vericilerinin veri yönetimi ve veri korumaya yönelik yaklaşımları incelenerek hazırlandı. Rapora göre ise:
-Yetersiz veri koruma, ekonomik belirsizlik ve pandeminin etkileri dijital dönüşümde engel olarak görülüyor.
– Veri kurtarmaların %58’i başarısız oluyor.
– Veri kayıpları müşteriler, çalışan ve paydaşlarında güven kaybına yol açabiliyor.
Detaylı bilgi için tıklayınız.
Air New Zealand, Nisan ayında Auckland ve Sidney arasındaki uçuşlar için dijital bir sağlık seyahati uygulamasını deneyeceğini duyurdu.
Uluslararası Hava Taşımacılığı Birliği (IATA) tarafından geliştirilen uygulama, yolcuların e-pasaportlarına bağlı bir dijital sağlık cüzdanı oluşturmalarına olanak tanıyacak.
IATA havaalanı kıdemli başkan yardımcısı Nick Careen, uygulamanın “en yüksek düzeyde veri gizliliği ve güvenliği ile geliştirildiğini, böylece yolcuların COVID-19 sağlık bilgilerinin kontrolünü ellerinde tutacaklarını” ifade etti.
Detaylı bilgi için tıklayınız.
Avrupa Birliği Adalet Divanı, elektronik iletişimden alınan konum verilerine erişimin yalnızca ciddi suçları içeren kolluk soruşturmaları ve “kamu güvenliğine yönelik ciddi tehditleri önlemek” için kullanılabileceğine karar verdi. ABAD, AB hukukunun savcılıklara, cezai soruşturmalar için bu tür verilere erişim yetkisi veren ulusal mevzuatın yerini aldığını belirtti.
Detaylı bilgi için tıklayınız.
AGCM’den Telepass Grubu’na 2.000.000€ Para Cezası!
İtalyan Rekabet Kurumu (AGCM); ilgili kişilerin poliçe bilgilerini, kişileri veri toplama ve işleme hakkında bilgilendirmeksizin dağıtım sözleşmesi imzaladıkları sigorta şirketleri ve aracılarla paylaşmaları sebebiyle Telepass SpA ve Telepass Broker SpA’ya 2.000.000€ para cezası verdi.
PIPC’den Hanaro Tıp Vakfı’na 19.000€ Para Cezası!
Güney Kore Kişisel Bilgilerin Korunması Komitesi (PIPC); kişisel verileri üçüncü bir tarafa aktarırken sızdırdığı ve bu veri sızıntısının 1.147 kişiyi etkilediği dolayısıyla kişisel verilerin ve bu verileri korumaya yönelik sistemin güvenliğini yeteri kadar sağlayamadığı gerekçesiyle Hanaro Tıp Vakfı’na 19.000€ para cezası verdi.
AEPD’den Vodafone España’ya 8.000.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD); GDPR uyarınca gerekli önlemleri almadan uluslararası bir veri transfer işlemini onayladığı, doğrudan pazarlama mesajları almak istemeyen kişilere yine de ticari içerikli mesajlar ilettiği dolayısıyla veri işlerken uygun idari ve teknik tedbirleri almadığı gerekçeleriyle Vodafone España’ya 8.000.000€ para cezası verdi.
PIPC’den Daewoo’ya 29.700€ Para Cezası!
Güney Kore Kişisel Bilgilerin Korunması Komitesi (PIPC), yasal bir dayanağı olmaksızın kişisel veri işlediği, bu verileri işlerken kişilerin onayını almadığı, saklama süresi sona ermesine rağmen verilerin imhasına yönelik bir prosedür oluşturmadığı ve denetimler sonucu bulunan sızıntılar için ilgili makama bildirimde bulunmadığı gerekçeleriyle Daewoo Dünya Yönetim Araştırmaları Derneği’ne 29.700€ para cezası verdi.
CBIRC’den Çin CITIC Bank Co. LTD’ye 580,700€ Para Cezası!
Çin Bankacılık ve Sigorta Düzenleme Komisyonu (CBIRC); hassas kişisel verilerin kötü yönetildiği, banka hesabı işlem bilgilerinin üçüncü kişilerle paylaşıldığı, veri işleme sürelerine aykırı olarak verilerin depolandığı ayrıca yetki yönetiminde boşluklar bulunduğu gerekçeleriyle Çin CITIC Bank Co. LTD’ye 580,700€ para cezası verdi.
UODO’dan Enea’ya 29.700€ Para Cezası!
Polonya Veri Koruma Otoritesi (UODO); çok sayıda kişinin kişisel verisini içeren şifrelenmemiş e-postasını yetkisiz bir kişiye gönderilmesi üzerine yaşanan ihlali bildirmediği için enerji şirketi olan Enea’ya 29.700€ para cezası verdi.
Kıbrıs Kişisel Verilerin Korunması Komiserliği’nden Elektrik Kurumu’na 40.000€ Para Cezası!
Kişisel Verilerin Korunması Komiserliği, çalışanların sağlık sorunları nedenleriyle yaptıkları devamsızlıkları takip eden sistemi (Bradford Factor) yasal bir dayanağı olmaksızın kullandığı ve kişisel verileri yasadışı işlediği gerekçesiyle Kıbrıs Elektrik Kurumu’na 40.000€ para cezası verdi.
Garante’den Enna’ya 30.000€ Para Cezası!
İtalyan Veri Koruma Otoritesi (Garante), yasal bir dayanağı olmamasına rağmen, çalışanlarının biyometrik verilerinin işlenmesine dayalı bir sistem kullandığı ve bu verilerin çalışanların rozetlerinde şifreli bir biçimde sakladığı gerekçeleriyle Enna İl Sağlık Otoritesi’ne 30.000€ para cezası verdi.