Örnek Kurul Kararları

ANASAYFA Örnek Kurul Kararları

Örnek Kurul Kararları


Sevinç eğitim kurumlarının kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikâyet hk.

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 50.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 12.09.2019 Tarih, 2019/276 Es. Sayılı Kararı)



Bir Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınmadığından bahisle Kurula yapılan başvuru hakkında;

Veri güvenliğine ilişkin yükümlülüklerin ihlal edilmesi sebebiyle 210.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 06.02.2020 Tarih, 2020/103 Es. Sayılı Kararı)

İlgili kişinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde kurula yapılan şikâyet neticesinde;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle, 100.000,00 TL idari para cezası,

Aydınlatma yükümlülüğünü yerine getirmemiş olması sebebiyle, 10.000,00 TL idari para cezası,

Olmak üzere toplam 110.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 27. 01.2020 Tarih, 2020/65 Es. Sayılı kararı) 


İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında;

Şirketin veri güvenliğine ilişkin yükümlülükleri yerine getirmemesi sebebiyle, 50.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 27.01.2020 Tarih, 2020/67 Es. Sayılı Kararı)


Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapıldığı olayda, gazete şikâyet sahibinin oğluna yönelik yer alan köşe yazısında, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verildiğine ilişkin bir habere yer verildiği dolayısıyla ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı olayda;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 125.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 09.12.2019 Tarih, 2019/372 Es. Sayılı Karar)



Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde olduğu olayda;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 400.000,00 TL idari para cezası,

Gerçekleşen veri ihlalinin kurula bildirilmemesi sebebiyle de 100.000,00 TL idari para cezası,

Olmak üzere toplam 500.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 27.08.2019 Tarih, 2019/255 Es. Sayılı Kararı)



Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin hukuka aykırı veri işleme için önlemlerin alınmadığı konusundaki şikâyet hakkında;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 50.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 07.11.2019 Tarih, 2019/332 Es. Sayılı Kararı)



İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hakkında ; Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından,

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle, 100.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 07.11.2019 Tarih, 2019/331 Es. Sayılı Kararı)



Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmesi hususu tespit edilmiş olup, bu kapsamda;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemiş olması sebebiyle, 1.150.000,00 TL idari para cezası,

Veri ihlalinin kurula bildirilmemiş olması sebebiyle de 450.000,00 TL idari para cezası,

Olmak üzere toplam 1.700.000,00 TL idari para cezası uygulanmasına karar vermiştir.

(Kişisel Verileri Koruma Kurulu 18.09.2019 Tarih, 2019/269 Es. Sayılı Kararı)

 


Bir havayolu taşımacılık şirketinin sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren şirket hakkında yapılan şikâyette;

Veri güvenliğine ilişkin yükümlülüklerin ihlal edilmesi sebebiyle, 100.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 01.10.2019 Tarih, 2019/294 Es. Sayılı Kararı)


Kurum kayıtlarına 08.04.2019 ve 25.06.2019 tarihlerinde intikal eden, Dubsmash Inc.’i temsil eden Lewis Brisbois Bisgaard & Smith LLP’nin yazlarında özetle; Dubsmash’ın incelemesi sonucunda, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı ihlalde;

Veri güvenliğine yönelik yükümlülüklerin yerine getirilmemesi sebebiyle, 680.000,00 TL idari para cezası,

Gerçekleşen ihlalin zamanında kuruma bildirilmemesi sebebiyle 50.000,00 TL idari para cezası,

Olmak üzere toplam 730.000,00 TL idari para cezası uygulanmasına karar vermiştir.

(Kişisel Verileri Koruma Kurulu 17.07.2019 Tarih, 2019/222 Es. Sayılı kararı)



Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kurula yaptığı başvuru neticesinde;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 75.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 08.07.2019 Tarih, 2019/204 Es. Sayılı Kararı)



Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasın (27.037,00 TL- 1.802.260,00 TL),

Özel nitelikli veriler hakkında kurul tarafından alınan kararların yerine getirilmemesi sebebiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasın (45.062,00 TL –1.802.640,00 TL karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 25.03.2019 Tarih ve 2019/165 Es. Sayılı Karar)



Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin şikâyet hakkında;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 50.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 31.05.2019 Tarih, 2019/162 Es. Sayılı Karar)



Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden yazılarında özetle; 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiğinin bildirildiği olayda;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle, 450.000,00 TL idari para cezası,

Gerçekleşen ihlalin kanunda belirtilen en kısa sürede kuruma bildirilmemesi sebebiyle 100.000,00 TL idari para cezası,

Olmak üzere toplam 550.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 16.05.2019 Tarih, 2019/144 Es. Sayılı Karar)


Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği olayda;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 450.000,00 TL, idari para cezası,

Gerçekleşen ihlalin kanunda belirtilen en kısa sürede kuruma bildirilmemesi sebebiyle 100.000,00 TL, idari para cezası,

Olmak üzere toplam 550.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 16.05.2019 Tarih, 2019/141 Es. Sayılı Karar)


“Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesi”

Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği,

Sorunun çözüldüğü, ancak bu kusur nedeniyle 13 Eylül- 25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği,

Üçüncü parti bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan kusurdan kaynaklı Marketplace veya Facebook Stories'te paylaşılan diğer fotoğraflara da üçüncü parti uygulamaların erişim sağladığı olayda;

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 1.100.000,00 TL idari para cezası,

Gerçekleşen veri ihlalinin kanunda belirtilen en kısa sürede kuruma bildirilmemesi sebebiyle 550.000,00 TL idari para cezası,

Olmak üzere toplam 1.650.000,00 TL idari para cezası uygulanmasına karar vermiştir.

(Kişisel Verileri Koruma Kurulu 11.04.2019 Tarih, 2019/104 Es. Sayılı Karar) 


Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması, bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş , yapılan şikayet üzerine ;

Veri güvenliğine ilişkin yükümlülükleri yerine getirmemesi sebebiyle; 22.500,00 TL idari para cezasının uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 27.01.2020 Tarih, 2020/58 Es. Kararı)


İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında veri sorumlusu hakkında yapılan şikâyet üzerine;

Aydınlatma yükümlülüğünün yerine getirilmemesi üzerine, 18.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

(Kişisel Verileri Koruma Kurulu 16.01.2020 Tarih, 2020/34 Es. Sayılı Kararı)