Kişisel Veriler

Türkiye ve Dünyada

Bu bölümde 864 doküman yer almaktadır.

YENİ EKLENEN DOKÜMANLAR

REHBERLER
Kişisel Verileri Koruma Kurumu Rehberleri
28 Rehber
RAPORLAR
Dünyada ve AB Ülkelerinde Kişisel Veriler
94 Rapor
DÜZENLEMELER
AB KVK Mevzuatı
46 Düzenleme ve Rapor
RAPORLAR
EDPB ve DPWP Raporları
290 Rapor
RAPORLAR
ICO Raporları
12 Rapor
RAPORLAR
Uluslararası Raporlar
23 Rapor
Standartlar
Standartlar
6 Standart
AKADEMİK
Yüksek Lisans ve Doktora Tezleri
111 + 20 Tez
DÜZENLEMELER
Türkiye Kişisel Veri Mevzuatı
115+40 Düzenleme
2 Mevzuat Kitabı
İÇTİHAT
Yargıtay Kararları
34 Karar
RAPORLAR
Yayınlanan Diğer Raporlar
--- Rapor
ÇOKLU ORTAM
Videolar
11 Video
Eğitimler
6 Eğitim Programı
Diğer Kaynaklar
1 Rapor
Slider

KVKK

KVKK REHBERLERİ

KVKK İSTATİSTİKLER 

  • 17.08.2019 Tarihli İstatistikler (*3)
  • Toplam Başvuru: 882
    • Şikayet: 691
    • İhbar: 83
    • Veri İhlali Bildirimi: 108
  • Sonuçlanan Başvuru: 439
  • Yurtdışından Gelen Başvurular: 1.260
  • 2018 Yılında Alınan Karar Sayısı: 161
  • 2019 Yılında Alınan Karar Sayısı: 241
  • Kuruluştan bu yana toplam Kurulu Karar Sayısı: 467
  • 08.05.2019 Tarihli İstatistikler (*1)
  • Toplam Para Cezası: ~5.000.000 TL + 1.650.000 TL (Facebook: 10.05.2019)
  • VERBİS'e Kayıtlı Veri Sorumlusu: 4.000
  • Veri İhlal Bildirimi: 72
  • Derdest Dosya Sayısı: ~850
  • ALO 198: Aylık 8.000 Çağrı
  • 07.02.2019 Tarihli İstatistikler  (*2)
  • Toplam Başvuru: 395
    • Şikayet: 201
    • İhbar: 35
    • Veri İhlali: 34
  • Yurt dışı Başvuru: 774
    • Sonuçlanan: 233
  • Kurul Kararı: 161
  • İlke Karar: 4
  • Veri İhlali: 40
    • Yayımlanan: 10

(*1): 08.05.2019 tarihli Kurum Başkanı Açıklaması
(*2): 2. Kişisel Verilerin Korunması Sempozyumu'ndaki Açıklamalar
(*3):  Anadolu Ajansı 17.08.2019 tarihli Haberi

İLGİLİ ÇALIŞMALAR

28.02.2019: Kosova Cumhuriyeti Veri Koruma Ajansı (Genel Müdür Bujar Sadiku) ile KVKK arasında işbirliği sözleşmesi imzalandı.

Syber Security - World

DÜNYADA KİŞİSEL VERİLERİ KORUMA MEVZUATI

Brazil

Brazil

Brazilian Privacy Bill (14.08.2018)   **NEW**

Click here for "Brazilian Privacy Bill "

 

India

India

India Privacy Bill (27.07.2018)   **NEW**

Click here for "Indian Privacy Bill "

Click here for "Data Protection Committee Report: "A Free and Fair Digital Economy :Protecting Privacy, Empowering Indians"

 

Kenya

Kenya

Kenya Privacy Bill (03.07.2018)   **NEW**

Click here for "Kenya Privacy Bill "

 

New-Zealand

New Zealand

New Zealand Privacy Bill (20.03.2018) 

Click here for "Privacy Bill of New Zealand"

"Much has changed in the world since the Law Commission reported in 2011. New Zealand’s once world leading privacy law has slipped behind developments in a number of jurisdictions we compare ourselves to. Better privacy and data protection regulation is a growing trend in OECD countries which include Britain, Canada and Singapore. Australia has already reformed its Privacy Act and in Europe, the General Data Protection Regulation (GDPR) is set to take effect in May this year.

The new Bill includes moves in that direction by:

  • empowering my office to issue a compliance notice in the event of a breach of the Act;
  • empowering my office to issue a determination when a person has requested access to personal information and has been refused; and
  • the introduction of mandatory reporting of harmful privacy breaches – bringing New Zealand into line with international best practice."

Click here for more information.

AB (üye ve aday) ÜLKELERİNDE KİŞİSEL VERİLERİ KORUMA MEVZUATI

Albania

Albania

Albania Law No 9887 on Protection of Personal Data (10.03.2018)

Click here for "Albania Privacy Bill "

Austria

Austria

Data Protection Act (2000)

The Austrian Data Protection Act (Datenschutzgesetz 2000; DSG 2000, Federal Law Gazette I No. 165/1999) came into effect on 1 January 2000. In implementation of the Directive on Data Protection 95/46/EC, the act provides for a fundamental right to privacy with respect to  the  processing  of  personal  data  which  entails  the  right  to  information,  rectification  of incorrect data and removal of unlawfully processed data. It regulates the pre-conditions for the  lawful  use  and  transfer  of  data,  including  mandatory  notification  and  registration obligations with the Data Protection Commission. Furthermore, it provides for judicial remedy in case of breach of its provisions.

Belgium

Belgium

Law on the protection of private life with regard to the processing of personal data (1992)

The 'Privacy Law' of December 1992 is intended to protect citizens against the abusive use of  personal  data.  The  law  defines the  rights and  duties of both  the  data  subject  and  the processor. It moreover provides legal basis for the creation of an independent body in charge of overseeing the correct use of personal data, namely the Commission for the Protection of Privacy. Since its promulgation, this law has been significantly modified in 1998 in order to transpose the EU Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Directive 95/46/EC). This law is now available in its ‘consolidated version’ dated August 2007.

In addition, it is worth noting that a specific law containing provisions relating to spamming was adopted on 24 August 2005, so as to transpose the related article of the EU Directive 2002/58/EC on privacy and electronic communications (the ‘ePrivacy Directive’).

Bulgaria

Bulgaria

Law for Protection of Personal Data (2002)

Adopted  in  January  2002  and  last  amended  in  October  2016,  the  Law  for  Protection  of Personal  Data  has  been  modelled  on  the  EU  Directive  95/46/EC  on  the  protection  of individuals  with  regard  to  the  processing  of  personal  data  and  on  the  free  movement  of such  data.  It  applies  to  the  protection  of  individuals  with  regard  to  the  processing  of personal data, granting them the right to access and correct information held about them by  public  and  private  bodies.  It  defines  lawful  grounds  for  the  collection,  storage  and processing  of  the  personal  data  of  individuals.  Application  of  the  Act  is  overseen  by  the Commission for Personal Data Protection, an independent supervisory authority.

Croatia

Croatia

Law on Personal Data Protection (NN 106/12)

The Law on Personal Data Protection was adopted in June 2003, implementing the relevant EU  Directive  (95/46/EC).  It  foresees  that  personal  data  may  be  transferred  cross-border and  processed  in  another  jurisdiction,  to  the  extent  that  this  jurisdiction  can  ensure  an adequate level of protection. The law was amended once on 20 October 2006 (NN 118/06), while the last amendment took place on 3 April 2008 (NN 41/08).

Cyprus

Cyprus

The Processing of Personal Data (Protection of Individuals) Law (2001)

The 'Processing of Personal Data (Protection of Individuals) Law' (138(I)/2001) entered into force  in  November  2001,  and  was  amended  by  Law  37(I)/2003.  It  is  compliant  to  the acquis communitaire, and especially, the European Directive 95/46/EC on Data Protection. On  31  December  2007,  the  'Retention  of  Telecommunication  Data  for  Purposes  of Investigation of Serious Criminal Offences Law' of 2007 (Law 183(I)/2007) was introduced harmonising  Cypriot  legislation  with  EU  Directive  2006/24/EC  of  15  March  2006.  The  law regulates  the  terms  under  which  the  retention  of  personal  data  for  the  purpose  of  crime investigation, detection and prosecution is legal.

Czech-Republic

Czech Republic

Act on the Protection of Personal Data (2000, last amendment: 2011)

The Data Protection Act (No. 101/2000) was adopted in April 2000 with the aim to protect the citizens’ right to privacy. (Click HERE for Consolidated version of the Personal Data Protection Act) To this end, it regulates the rights and obligations regarding the processing of personal data and specifies the conditions under which personal data may be transferred to other countries. Furthermore, it allows individuals to access and correct their personal information held by public and private bodies. It is enforced by the Office for Personal Data Protection. It was last amended in 2011.

Denmark

Denmark

Act on Processing of Personal Data (2000)

This act entered into force on 1 July 2000 in order to implement Directive 95/46/EC on the protection  of  individuals  with  regard  to  the  processing  of  personal  data  and  on  the  free movement  of  such  data,  allowing  individuals  to  access  their  records  held  by  public  and private bodies. The Act, which was amended in 2007, is enforced by the Datatilsynet (Data Protection  Agency).  Other  laws  regulating  the  processing  of  personal  information  by  the public  sector  include  the  Public  Administration  Act  of  1985,  the  Publicity  and  Freedom  of Information Act of 1985, the Public Records Act of 1992 and the National Registers Act of 2000. These laws set out basic data protection principles and determine which data should be available to the public and which data should be kept confidential.

Act on Electronic Communications Networks and Services (2014)

Providers of electronic networks and services are required to notify the competent body for eGovernment in cases of data breaches that have significant consequences on the provision of services or concern person-identifiable information. This legal requirement implements in part Directives 2009/140/EC and 2009/136/EC. The Act has been amended several times and amendments have been consolidated in the Amendment Act of 2014.

Act on Marketing Practices (2013)

In June 2003, an amendment to the Marketing Practices Act was adopted to implement the Directive  on  ‘privacy  and  electronic  communications’  2002/58/EC.  This  transposition entailed a change to Denmark's legal data protection framework on spam. According to the Directive, people who have already given their address to businesses can be spammed with advertisements for 'similar services' ('soft opt-in'), which the Danish legislation Act had not allowed  until  then.  Amendments  have  been  consolidated  in  the  Consolidated  Marketing Practices Act (2013).

Estonia

Estonia

Consumer Protection Act (2004)

This  Act  entered  into  force  on  15  April  2004  and  it  regulates  the  offering  and  sale,  or marketing  in  any  other  manner,  of  goods  and  services  to  consumers  by  traders. Furthermore, it determines the rights of consumers as the purchasers or users of goods or services,  and  provides  for  the  organisation  and  supervision  of  consumer  protection  and liability for violations of this Act. Some minor amendments were included and entered into force on 1 January 2015 (proceedings and punishments for legal persons).

Personal Data Protection Act (1996)

The first Personal Data Protection Act (PDPA) entered into force on 19 July 1996. The Act was amended in 2003, to be made fully compliant with the EU Data Protection Directive 95/46/EC, and  once  again  amended  in  January  2008.  The  Act  protects  the  fundamental rights  and  freedoms  of  persons  with  respect  to  the  processing  of  their  personal  data,  in accordance  with  the  right  of  individuals  to  obtain  freely  any  information  that  is disseminated for public use.

The 2008 version of the Act introduced several changes. Firstly, the previous classification of personal data into three groups (non-sensitive personal data, private personal data and sensitive personal data) has been replaced by two data categories: (1) 'personal data' and (2)  'sensitive  personal  data',  the  latter  being  the  sub-class  under  special  protection. Secondly, all processed personal data are protected and registered by Chief processors (i.e. controllers)  with  the  Data  Protection  Inspectorate,  the  data  protection  supervision authority.  Moreover,  the  new  PDPA  Act  extends  all  general  principles  applying  to  the processing  of  personal  data  and  to  the  processing  of  the  personal  identification  code (the unique number assigned to every Estonian citizen and resident).

From  1  January  2015  the  Data  Protection  Inspectorate  may  submit  reports  concerning significant  matters  which  have  an  extensive  effect  or  need  prompt  settlement  which become  known  in  the  course  of  supervision  over  compliance  with  the  Act  to  the Constitutional Committee of the Riigikogu and the Legal Chancellor. The current version can be found in this web address.

System of Security Measures for Information Systems (2008)

This Regulation entered into force on 1 January 2008 and establishes the system of security measures for information systems used for processing the data contained in state and local government databases and for information assets related therewith. The system consists of the  procedure  for  the  specification  of  security  measures  and  the  description  of organisational, physical and IT security measures to protect data. However, it is underlined that  this  Regulation  does  not  apply  to  security  of  information  systems  processing  state secrets.

Finland

Finland

Personal Data Act (1999)

The Personal Data Act, which came into force on 1 June 1999, replaced the Personal Data File Act of 1988, which was the  first law concerning data protection in Finland, aiming at preventing violations of integrity at all stages of data processing. The functional objective was to promote the development of and compliance with good data processing practices. The main principles of the protection of privacy remained largely unchanged in the 1999 Act. It accommodates the constitutional reform and the EU Data Protection Directive (95/46/EC).  The  basic  rights  and  freedoms  of  individuals  are  even  more  strongly  emphasised  in  the processing of personal data. It is overseen and enforced by the Data Protection Ombudsman.  Other legal documents contain special provisions regarding the processing of personal data. The Act on the Openness of Government Activities (1999) controls access to public registers. The protection of privacy in electronic communications is also regulated by the Information Society Code (2014).

France

France

Law on ‘Informatics and Liberty' (2004)

The Law on ‘Informatics and Liberty’ was adopted on 6 January 1978. The Law provides a legal framework for the use of identifiers in databases and the processing of personal data by  public  and  private  sector  organisations.  The  Law  created  a  National  Commission  for Informatics  and  Liberty  (CNIL),  which  is  in  charge  of  overseeing  its  implementation  and observance.  The  CNIL  also  has  an  advisory  role  in  the  planning  of  administrative  data systems.  The  Law  on  Informatics  and  Liberty  was  amended  by  law  no. 2004-801 of  6 August 2004 implementing the EU Data Protection Directive (95/46/EC).

Macedonia

Macedonia (FYROM)

Law on Personal Data Protection (2005, 2008)

Harmonisation  of  legislation  in  the  area  of  personal  data  protection  has  been  one  of  the government’s  priority  activities  since  2002.  A  new  law  on  personal  data  protection, amended  to  include  EC  recommendations,  was  drafted  in  2004,  adopted  on  25  January 2005 and modified to comply fully with the European Directive  95/46/EC in 2008 (Official Gazette no. 7/2005 and 103/2008). The law represents a 'lex generalis' in the area of data protection in the country.

According to the law, personal data shall be: fairly and lawfully processed; collected for specified, explicit and legitimate purposes; processed in a manner which is consistent and proportionate  with  these  purposes;  accurate  and  complete;  kept  for  no  longer  than  the necessary time frame for fulfilling the above mentioned purposes. Further amendments to the law were made in 2010, 2011, 2014 and 2015.

Law on Electronic Management (2009)

The Law on Electronic Management (Official Gazette, no. 105, 21/08/2009), adopted on 21 August  2009,  regulates  the  work  of  ministries  and  other  government  authorities  in  the exchange of data and documents in electronic format, in relation to the implementation of administrative services  by electronic means. Seven bylaws were adopted in June 2010 to enable  implementation,  as  well  as  that  of  electronic  workflow  procedures  and  electronic document exchanges. Those acts regulate issues such as environment and communication; certification  of  information  systems;  format  and  content  of  administrative  services  by electronic  means  such  as  electronic  documents;  standards  and  regulations  for  electronic communication;  technical  requirements;  security  of  information  systems;  format  and contentof administration of data bases and others.

Further amendments to the law were made in 2011.

Germany

Germany

Federal Data Protection Act (2003) 

Germany has one of the strictest data protection laws in the European Union. The world's first  data  protection  law  was  passed  in  the  German  Land  of  Hessen  in  1970.  In  1977,  a Federal Data Protection Law followed, which was replaced in 1990, amended in 1994 and 1997. An additional revision took place in August 2002 to align German legislation with the EU Data Protection Directive (95/46/EC). The general purpose of this law is 'to protect the individual against violations of his personal rights by handling person-related data.'

Greece

Greece

Law on the Protection of Individuals with regard to the Processing of Personal Data (1997)

Law 2472/1997 on the Protection of Individuals with regard to the Processing of Personal Data  was  adopted  in  April  1997. It  establishes the  terms  and  conditions under  which  the processing of personal data is to be carried out so as to protect the fundamental rights and freedoms  of  natural  persons  and  in  particular  their  right  to  privacy.  It  also  allows  any person  to  obtain  their  personal  information  held  by  government  departments  or  private entities. The law is enforced by the Hellenic Data Protection Authority. It is complemented by Law 2774/1999 on the Protection of Personal Data in Telecommunications, and by  Law 3115/2003 that establishes the Hellenic Authority for the Information and Communication Security and Privacy in order to protect the secrecy of mailing, the free correspondence or communication in any possible way, as well as the security of networks.

Law  on  the  Protection  of  Personal  Data  and  Private  Life  with  regard  to  Electronic Telecommunications (2006)

Law 3471/2006 was adopted on 28/06/2006, revising Law 2472/1997, and intending to the enactment  of  preconditions  with  regard  to  the  personal  data  processing  and  for  the assurance  of  the  confidentiality  in  telecommunications.  Law  3471/2006  was  amended  by Law 3917/2011 and Law 4070/2012.

Law  on  Strengthening  the  Institutional  Framework  to  Safeguard  Privacy  of  Telephone Communications (2008)

Law 3674/2008 sets out the obligations of the service provider for the security of telephone services.  According  to  these  provisions,  the  provider  is  responsible  for  security  matters under  the  supervision  of  premises,  facilities,  connections  and  hardware  systems  and software.  To  this  end  the  provider  has  an  obligation  to  take  appropriate  technical  and organisational measures and to use hardware and software that ensure the confidentiality of communications and the detection of breach, or attempted breach, of confidentiality of communications.

Hungary

Hungary

Act on Informational Self-determination and Freedom of Information

Act  No.  CXII  of  2011.  on  Informational  Self-determination  and  Freedom  of  Information (also available in English) is a combined Data Protection and Freedom of Information Act. This  Act  sets  rules  and  safeguards  the  processing  of  personal  data  of  public  and  private bodies.  Its  application  is  overseen  by  the  National  Data  Protection  and  Freedom  of Information Authority.

Iceland

Iceland

Act on the Protection of Privacy as regards the Processing of Personal Data, No. 77/2000

The  Act  on  the  Protection  of  Privacy  as  regards  the  Processing  of  Personal  Data (No. 77/2000)  was  passed  in  2000  and  came  into  effect  on  1  January  2001.  The  act implements the EC Data Protection Directive (95/46/EC) and deals with how the protective principle relates to data quality, and presents criteria for the legitimacy of data processing. The  act  applies  to  any  automated  processing  of  personal  data  and  to  manual processing of such data if it is, or is intended to become, a part of a file.

Ireland

Ireland


Data Protection Act (24.May.2018)  NEW !

An Act to establish a body to be known as An Coimisiún um Chosaint Sonraí or, in the English language, the Data Protection Commission; to give further effect to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 20161 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation); to give effect to Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 20162 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA; to give further effect to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data done at Strasbourg on the 28th day of January 1981 and for those and other purposes to amend the Data Protection Act 1988; to provide for the consequential amendment of certain other enactments; and to provide for related matters.

Data Protection Strategy 2014 - 2016

The mission of the strategy is to protect the individual’s right to data privacy by enabling people  to  know,  and  to  exercise  control  over,  how  their  personal  information  is  used,  in accordance with the Data Protection Acts and related legislation.

Data Protection (Amendment) Act (2003) 

The Data Protection Act of 1988 was amended in 2003 to ensure full compliance with the EU  Data  Protection  Directive  (95/46/EC).The  aim  of  the  Directive  is to  establish  common standards of data protection across Member States in order to protect personal privacy and to ensure the  smooth  operation of the internal market, while ensuring adequate levels of data protection in countries outside the European Economic Area to facilitate and encourage international  trade  (Department  of  Justice  and  Law  Reform).  The  Data  Protection Commissioner oversees and enforces the Act.

Copyright and Related Rights Act (2000).

This Act affects a total reform of Irish copyright and related rights law, bringing it fully into line with the requirements of EU and international law in this area. It places Ireland among world leaders in terms of standards for copyright protection.

Italy

Italy

Data Protection Code (2004)

The  Data  Protection  Code  entered  into  force  on  1  January 2004.  It  replaces the  previous Data  Protection  Law  (Law  no. 675/1996),  as  well  as  a  number  of  other  legislative  and regulatory provisions.

The  Data  Protection  Code  updates,  completes  and  consolidates  Italy's  data  protection legislation (1996) by introducing important innovations and conforming national legislation to  European  regulations,  in  particular  the  Data  Protection  Directive  (95/46/EC)  and  the Directive  on  privacy  and  electronic  communications  (2002/58/EC).The  code  aims  to strengthen the data protection rights of individuals, allowing them to exercise their rights and instigate proceedings more easily. The Code was lastly amended on 4 November 2010.

The  Data  Protection  Commissioner  ('Garante  Privacy')  is  in  charge  of  supervising  and enforcing the application of the Data Protection Code. In an effort to simplify the complaint process, the Commissioner has published a complaints' form on its website.

Latvia

Latvia

Personal Data Protection Law (2000)

The Law on Personal Data Protection was adopted by Parliament on 23 March 2000. It is based  on  standard  fair  information  practices  and  is  fully  compliant  with  the  EU  Data Protection Directive (95/46/EC). The aim of this Law is to protect the fundamental human rights  and  freedoms  of  natural  persons,  in  particular  the  inviolability  of  private  life  with respect to the processing of personal data. Application of the Law is overseen by the State Data Inspectorate, which is also responsible for spam supervision.

Information Technologies Security Law (2011)

The Information Technologies Security Law came into force on 1 February 2011. It aims to improve  information  technologies  security  by  defining  the  key  requirements  for organisations to guarantee the security of essential electronic services. The law provides for the  identification  and  protection  of  critical  infrastructure,  the  establishment  and organisation  of  an  IT  Security  Incident  Response  Institution  (national  CERT),  the determination  of  conduct  in  information  technology  security  incidents,  the  setup  of minimum security requirements for state and municipal institutions and the implementation of Directive 2009/140/EC by electronic communications service providers.

Liechtenstein

Liechtenstein

Data Protection Act

The Data Protection Act of 14 March 2002 provides for the rights and obligations of private individuals and State authorities, implementing into national law the EU Directive 95/46/EC on  the  protection  of  individuals  concerning  the  processing  of  personal  data  and  the  free exchange of data. The Act (register number 235.1) was supplemented by two regulations in July  2002  (register  number  235.11)  and  February  2006  (register  number  235.111).  The latter  concerns  the  use  of  personal  data  by  the  police  for  cases  related  to  terrorism, national  security  and  crime  prevention.  In  September  2008,  the  Parliament  adopts  a partial revision of the Data Protection Act bringing the law into line with EU agreements regarding the connection to European database systems, such as the Schengen Information System (SIS), or the Eurodac service. The revised law focuses on the independence of data  protection  from  the  Executive  and  underlines  its  main  role  in  ensuring  the  protection  of personal rights and the respect for privacy.

Lithuania

Lithuania

Law on Legal Protection of Personal Data (1996)

The  law  on  Legal  Protection  of  Personal  Data  was  adopted  on  11  June  1996  and  last amended on 1 January 2009. Its main purpose is the protection of an individual’s right to privacy with regard to the processing of personal data. The law is fully compliant with the EU Data Protection Directive (95/46/EC).

Luxemburg-flag

Luxemburg

Data Protection Act (2007) 

The Data Protection Act, which implements Directive 95/46/EC regarding the protection of personal  data  of  2  August  2002  and  which  was  amended  by  the  law  of  27  July  2007 governs the processing and use of personal data in Luxembourg.

The Data Protection Act of 2002 governs the processing and use of personal data, and goes beyond  the  framework  of  the  EU  Directive  by  covering  not  only  natural,  but  also  moral persons.  It  contains  specific  provisions  on  the  processing  of  medical  data  by  health services, the processing of personal data for surveillance purposes and in the workplace. The  Data  Protection  Act  applies  to  "data  controllers"  ("a  natural  or  legal  person,  public authority,  agency,  or  any  other  body  which  solely  or  jointly  with  others  determines  the purposes and methods of processing personal data") and "data processors" ("any natural or legal person, public authority, administrative body or other entity that processes personal data on behalf of the controller" excluding any of the data controller's employees).

The  law  also  created  a  new  data  protection  authority,  the  Commission  nationale  pour  la protection  des  données  (CNPD)  in  December  2002.  The  CNPD  is  an  independent  agency whose  task  is  to  regulate  the  processing  of  personal  data  in  Luxembourg  and  ensure compliance with data protection regulations. The Data Protection Act has also provided for an online public data processing register, which makes it possible to check if an authority, company,  association,  professional,  or  self-employed  worker  is  likely  to  hold  information about an individual and if they have declared as much to the CNPD.

Processing of Personal Data in the Electronic Communications Sector Act (2011)

The 'Processing of Personal Data in the Electronic Communications Sector Act',  which was adopted on 28 July, 2011 and which entered into force on 1 August, 2011, transposes the EU  Directive  on  privacy  and  electronic  communications  (Directive  2009/136/EC)  into Luxembourgish  law  and  forms  part  of  Luxembourg’s  legislative  'telecom  package'  (cf. below).  It  aims  at  protecting  the  privacy  of  Internet  users  (including  protection  against unsolicited commercial communications or 'spam') and users of added value services, such as  GPS.  The  National  Commission  for  Data  Protection  (CNPD),  which  was  created  by  the 2002  Data  Protection  Act,  is  competent  for  checking  the  legality  of  personal  data processing.

Malta

Malta

Data Protection Act (2001)

The Data Protection Act was passed on 14 December 2001 and came fully into force in July 2003. It was introduced in order to render Maltese law compatible with EU Data Protection Directive (95/46/EC), even though Malta was not yet an EU Member State at that time, this was a prerequisite prior to joining the EU. It outlines principles of ‘good information/ data handling’  to  guarantee  the  protection  of  personal  information.  Data  Controllers,  such  as educational  institutions,  employers  and  banks,  are  obliged  to  inform  individuals  of  the reasons for collecting information about them. Furthermore, individuals are to be assured that the data collected will not be used for any other reason than for the purpose it was collected  and  are  granted  rights  of  access  to  the  personal  information  held  by  the  data controller.  The  Act  provides  grounds  for  processing  “personal  data”  but  makes  special provision for processing “sensitive personal data”, a sub-set of personal data, in very specific stipulated circumstances.

Regulation 2016/679/EU will eventually supersede this Act on the protection of natural living persons with regard to the processing of personal data and on the free movement of such data, generally known as the General Data Protection Regulation. This Regulation will come into force in its entirety in all EU Member States from 25 May 2018.

Netherlands

Netherlands

Personal Data Protection Act (2000)

The EU Data Protection Directive (95/46/EC) adopted in 1995 regulates the processing of personal  data  within  the  European  Union.  The  Dutch  Personal  Data  Protection  Act  was adopted by the Dutch Parliament in July 2000 and came into force on 1 September 2001. It sets the rules for recording and using personal data, and ensured the transposition in Dutch law  of  the  European  Directive.  The  Act  is  overseen  and  enforced  by  the  Data  Protection Authority (DPA).

The EU General Data Protection Regulation (EU) 2016/679 of the European Parliament and of  the  Council  of  27  April  2016  on  the  protection  of  natural  persons  with  regard  to  the processing of personal data and on the free movement of such data better known as the General Data Protection Regulation is repealing the Directive 95/46/EC. The regulation will enter into force on 25 May 2018.

Norway

Norway

Personal Data Act (2000)

The  purpose  of  Act  No. 31  of  14  April  2000  relating  to  the  processing  of  personal  data (Personal  Data  Act)  is  to  protect  natural  persons  from  violation  of  their  right  to  privacy through  the  processing  of  personal  data.  It  ensures  that  personal  data  is  processed  in accordance with fundamental respect for the right to privacy, including the need to protect personal integrity and private life, and that personal data is of adequate quality. This Act transposes  the  Directive  95/46/EC  of  the  European  Parliament  and  of  the  Council  of  24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data into Norwegian law.

Personal Data Regulations

The  regulations on  the processing  of personal data  (Personal  Data  Regulations)  were  laid down by the Royal Decree of 15 December 2000 pursuant to Act No. 31 of 14 April 2000 on the processing of personal data (Personal Data Act), as amended on 23 December 2003.

Poland

Poland

Act on the Protection of Personal Data (1997)

The Act on the Protection of Personal Data was adopted on 29 August 1997 and has been amended a few times so far. This Act follows the rules established by European Union's Directive 95/46/EC on the protection of individuals with regard to the processing of personal data. The Inspector General for the Protection of Personal Data supervises the observance of the Act. In case of breach of the provisions on personal data protection, the Inspector General, ex officio, or upon a motion of a person concerned, by means of an administrative decision, shall order to restore the proper legal state.

Regulation on the Preparation and Provision of Electronic Documents and making available forms, samples and copies of electronic documents (2011)

The Regulation focuses on how to share copies of electronic documents and forms under conditions of safety. Accordingly, it clarifies the form of official certification of receipt of electronic documents by the recipient, the ways to safely share electronic copies of documents and safety conditions for forms and templates of shared documents. It has been amended twice so far.

Portugal

Portugal

Law on the Protection of Personal Data

Law no. 41/2004, of 18 August transposes into national law Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector, except for Article 13 which concerns unsolicited communications. This legislation applies to the processing of personal data within the context of publicly available electronic communications services and networks, while complementing the provisions of Law no. 67/98 of 26 October (Law on the Protection of Personal Data). Its provisions shall ensure protection of the legitimate interests of subscribers who are legal entities to the extent that such protection is consistent with their nature.

Romania

Romania

Law no. 677/2001 on the Protection of Persons concerning the Processing of Personal Data and the Free Circulation of such Data

The law allows individuals to access and correct personal information held by public or private bodies. It was complemented by recent additions such as Law no. 55, (OJ. no. 244/23.03.2005), which ratifies the Additional Protocol to The Convention for the Protection of Individuals with regard to automatic processing of personal data, referring to control authorities and cross-border data flow. Furthermore, a National Supervisory Authority for Personal Data Processing was established in 2005 by Law no. 102/2005 (O.J. no. 391/09.05.2005). All of the data protection files previously kept by the Ombudsman have now been handed over to the Authority, which supervises and controls the legality of the personal data processing under Law no. 677/2001.

Law no. 506/2004 on the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector

This Law on the processing of personal data and the protection of privacy in the electronic communications sector replaced Law no. 676 of 21 November 2001 on the Processing of Personal Data and the Protection of Privacy in the Telecommunications Sector. It closely follows Directive 2002/58/EC on personal data processing and privacy protection in the electronic communications sector.

Slovakia

Slovakia

Draft Cyber Security Act

The National Security Authority is working on drafting the Act on Cyber Security to comprehensively cover cyber and information security, introduce basic security requirements and other measures critical for coordinating the protection of information, communication and management systems. At the same time, the European NIS Directive on network and information security is being transposed into the Slovak legislative.

Act No. 122/2013 on Personal Data Protection as amended by Act no. 84/2014

This legislation (1 July 2013) implements the principles set in the EU's Data Protection Directive (95/46/EC). Under this Act, individuals can Access and correct personal informationheld by public and private bodies. The Act is enforced by the Office for Personal

Data Protection. This Act regulates:

  1. a) Protecting the rights of natural persons against wrongful interference with their private life in connection with the processing of their personal data
  2. b) Rights, duties and liability in connection with personal data processing
  3. c) Establishment of the scope of the powers and organisation of the Office for Personal Data Protection of the Slovak Republic.
Slovenia

Slovenia

Personal Data Protection Act

The Personal Data Protection Act (Official Gazette of the Republic of Slovenia No. 94/07), currently applicable, was adopted in July 2004 and came into force on 1 January 2005. It replaced a previous version, adopted in 1999, and transposed the EU Directive 95/46/EC on data protection into Slovenian Law.

The main goal of the Act is to prevent illegal and unwarranted violations of personal privacy in the course of data-processing, and to ensure the security of personal databases and their use. Until 1 January 2006, the Inspectorate for Personal Data Protection was in charge of overseeing the application of the Act. Since then, such responsibility has been transferred to the Information Commissioner (Information Commissioner Act, adopted in December 2005). The last amendment of the Personal Data Protection Act was performed in 2013.

Spain

Spain

Law on the Protection of Personal Data

The Organic Law 15/1999 of 13 December 1999 on the Protection of Personal Data brought Spanish law in line with the EU Data Protection Directive 95/46/EC.

This law regulates the processing of personal data in the public and private sectors. It grants citizens with the right to access and correct their personal information in the records held by public and private bodies. Personal information may only be used or disclosed to a third party with the consent of the individual, and only for the purposes that it was collected. Additional protections are provided for sensitive data. The Law is enforced by the Spanish Data Protection Agency.

Technical Security Instruction of the Report of the Security Status

The resolution of this Instruction from the 7 October 2016, establishes the conditions for the gathering and communication of data about the status of security. This will allow to know the main variables regarding the security of the information from the systems included in the scope of the National Security Framework. Moreover, it will help to elaborate a general profile for the state of cybersecurity in the public sector.

Technical Security Instruction on the Compliance with the National Security Framework

The resolution of this Instruction from 13 October 2016, establishes the criteria and procedure to determine the compliance with the National Security Framework and determines the mechanism to obtain and publish the declaration of compliance and security credentials.,.

Law 39/2015 on the Common Administrative Procedure Public Administration

The article 17 of the new Law 39/2015 on the Common Administrative Procedure Public Administration, states that each administration shall implement a single Digital Archive System for the long term preservation of documents belonging to resolved procedures. The article also requires the application of adequate security and privacy protection measures as required by the NSS and law on data protection.

Sweden

Sweden

Personal Data Act (1998)

The  Personal  Data  Act  came  into  force  on  24  October  1998.  The  Personal  Data  Act  was adopted  to  bring  Swedish  law  into  compliance  with  the  requirements  of  the  EU  Data Protection Directive 95/46/EC, which aims to prevent the violation of personal integrity in the  processing  of  personal  data.  The  Act  lists  certain  fundamental  requirements concerning  the  processing  of  personal  data.  These  demands  include,  inter  alia,  that personal  data  may  only  be  processed  for  specific,  explicitly  stated  and  justified  purposes and  if  the  person  registered  gives  his/her  consent.  Exemptions  to  this  rule  include  the exercise  of  official  powers,  or  the  fulfilment  of  a  legal  obligation  by  the  controller  of personal  data.  In  many  areas  of  the  administration  there  are  special  registry  laws  to supplement or replace the provision in the Personal Data Act.

Switzerland

Switzerland

Federal Act on Data Protection (2002)

The  Act,  approved  on  19  June  1992  and  entered  into  force  on  1  July  1993,  aims  to protect the privacy and the fundamental rights of persons when their data is processed. It applies to the processing of data pertaining to natural persons and legal entities by federal bodies and private persons.

For the first time in Switzerland, the public and private sectors are subject to the same rules.  In  the  public  sector,  the  Act  only  covers  the  activities  of  authorities  at  federal level.  However,  the  majority  of  Swiss  cantons  have  introduced  similar  legislation  to govern  public  sector  data  collection  and  processing  in  their  respective  localities.  The Swiss law was granted adequacy approval by the EU in 2000.

The Federal Council’s update of the Ordinance on Data Protection entered into force on 1 November 2016. The ordinance envisages that certain procedures and products used for processing personal data can be better certified and thereby data protection can be improved.

Ordinance  of  the  Federal  Department  of  Finance  on  Electronic  Data  and  Information (2009)

This  Ordinance  regulates  the  technical,  organisational  and  procedural  requirements concerning  the  evidential  value  and  control  of  data  and  information  (electronic  data) produced electronically or in a comparable manner in accordance with Articles 122–124 of the VAT Ordinance (VATO) of 27 November 2009.

Turkey

Turkey

Turkish Constitution (1982)

Section  5  of  the  1982  Turkish  Constitution  is  entitled,  'Privacy  and  Protection  of  Private Life'.  Article  20  of  the  Turkish  Constitution  addresses  the  issue  of  'Privacy  of  the Individual’s Life', and states: "Everyone has the right to demand respect for their private and family life. Privacy of individual and family life cannot be violated. Unless there exists a decision duly passed by a judge in cases explicitly defined by law…neither the person nor the  private  papers,  nor  belongings  of  an  individual  shall  be  searched  nor  shall  they  be seized".  With  the  2010  amendment  of  the  Constitution,  citizens  are  granted  the  right  to request  the  protection  of  their  personal  data.  They  have  the  right  to  be  informed  about their own personal data, accessing these data, requesting to be corrected  or deleted and learning whether it has been used for the purposes that the data were obtained in the first place.  Thus  individual  data  can  be  processed  only  as  foreseen  by  the  law  or  with  the consent of the person, as mentioned in Article 22.

Law on the Protection of Personal Data (2016)

After  the  2010  amendment  of  the  Constitution,  citizens  are  granted  the  right  to  request protection of their personal data. Hereinafter, individual data can be processed only in the circumstances envisaged in the law or with the express consent of the person. According to the regulation, relevant procedures and principles will be codified by law, namely the ‘Law on Protection of Personal Data’, which was published in the Official Gazette on 7 April 2016 numbered 29677.

This law regulates the conditions of processing and transfer of the personal data, rights and obligations, obligations of the data supervisor or the related person regarding data security to the institution and the board of the protection of the personal data.

 By-Law on Electronic Communication Security (2008)

The  By-Law,  which  was  adopted  on  5  November  2008,  identifies  the  obligations  of operators  with  respect  to  ensuring  security  of  electronic  communications  networks.  It covers  the  principles  and  basis  of  measures  to  be  taken  in  order  to  eliminate  the  risks stemming  from  threats  and  vulnerabilities  with  the  aim  of  ensuring  physical  data, hardware-software  and  personnel  security.  It  explicitly  states  that  personal  information processing and protection of privacy are not under its scope.

By-Law  on  the  Personal  Information  Processing  and  Privacy  in  the Telecommunications Sector (2004)

The By-Law on the Personal Information Processing and Privacy in the Telecommunications Sector was adopted on 6 February 2004 to define the procedures and principles related to guaranteeing  personal  information  processing  and  protection  of  privacy  in  the telecommunications sector.

Council of Europe's Convention on Cybercrime

Turkey became party to the Council of Europe Convention on Cybercrime (CETS No. 185), adopted in order to ensure international cooperation combating with cybercrimes efficiently. Subsequent  to  making  legislation  for  the  protection  of  personal  data,  approval  studies  of Conventions No. 108 and 181 aiming at the protection of individuals in case of processing these data to an automatic operation, will be launched.

*** Click HERE  for all legislation
about Personal Data Protection in Turkey
***

United-Kingdom

United Kingdom

Digital Economy Act (2010)

The Act concerns the online infringement of copyright. It creates a system which aims to increase the ease of tracking down and suing persistent infringers, and after a minimum of one year permit the introduction of 'technical measures' to reduce the quality of, or potentially terminate those infringers' Internet connections. It furthermore creates a new ex-judicial process to handle appeals.

Data Protection Act (1998)

The Data Protection Act 1998 received Royal Assent in July 1998 and came into force on 1 March 2000, giving effect to the EU Data Protection Directive (95/46/EC). It lays down rules for the way organisations have to treat personal data and information that apply to paper-based and electronic records. These rules are mandatory for all organisations that hold or process personal data, in the public as well as the private and voluntary sectors. The Act contains eight data protection principles, which state that all data has to be: processed fairly and lawfully; obtained and used only for specified and lawful purposes; adequate, relevant and not excessive; accurate, and where necessary, kept up to date; kept for no longer than necessary; processed in accordance with an individual's rights; kept secure; and transferred only to countries that offer adequate protection.

EU European Union

AVRUPA BİRLİĞİ'NDE KİŞİSEL VERİLERİ KORUMA MEVZUATI,
KONSEY KARARLARI
ve DİĞER ULUSLARARASI BELGELER

AVRUPA BİRLİĞİ - RAPORLAR

AB EUROBAROMETER RAPORLARI

AB ENISA (AVRUPA BİRLİĞİ AĞ ve BİLGİ GÜVENLİĞİ AJANSI) RAPORLARI

SONUÇLARI veya ETKİLERİ BAKIMINDAN İLGİLİ ENISA RAPORLARI

EU-EDPS-Logo

EUROPEAN DATA PROTECTION SUPERVISOR

EDPB Logo

AVRUPA BİRLİĞİ VERİ KORUMA KURULU (EDPB)

EDPB tarafından onaylanan DPWP Rehberleri

  • WP 265: Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, WP 265
  • WP 264: Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data, WP 264
  • WP 263: Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR, WP 263 rev.01
  • WP 260: Guidelines on transparency under Regulation 2016/679, WP260 rev.01
  • WP 259: Guidelines on consent under Regulation 2016/679, WP259 rev.01
  • WP 257: Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, WP 257 rev.01
  • WP 256: Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP 256 rev.01
  • WP 254: Adequacy Referential, WP 254 rev.01
  • WP 253: Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679, WP 253
  • WP 251: Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01
  • WP 250: Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01
  • WP 248: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, WP248 rev.01
  • WP 244: Guidelines for identifying a controller or processor's lead supervisory authority, WP244 rev.01
  • WP 243: Guidelines on Data Protection Officers ('DPO'), WP243 rev.01
  • WP 242: Guidelines on the right to data portability under Regulation 2016/679, WP242 rev.01
  • Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR

VERİ KORUMA ÇALIŞMA GRUBU (DPWP) ÇALIŞMA RAPORLARI

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000

1999

1998

1997

DİĞER RAPORLAR (Tasnif Edilmemiş)

DPWP: Data Protection Working Party:  95/46/EC Sayılı Direktifin 29. maddesi uyarınca kurulan "Veri Koruma Çalışma Grubu"  (The Working Party on the Protection of Individuals with Regard to the Processing of Personal Data)

international

DİĞER ULUSLARARASI RAPORLAR ve REHBERLER

academic

YÜKSEK LİSANS ve DOKTORA TEZLERİ

TÜRKİYE

2019

  • YENİ  "Kişisel Verilerin Anonimleştirilmesinin İyileştirilmesine Yönelik Bir Model Geliştirilmesi ve e-Devlet Alanında Uygulanması" (Özet ve Sonuçlar Bölümü) , Mustafa AFYONLUOĞLU, Hacettepe Üniversitesi Fen Bilimleri Enstitüsü Elektrik ve Elektronik Mühendisliği Anabilim Dalı, Doktora Tezi, 2019 (341 s.)
  • "Sosyal ağlarda mahremiyetin dönüşümü: İnstagram örneği", Hande HEKİMOĞLU, Erciyes Üniversitesi Sosyal Bilimler Enstitüsü Halkla İlişkiler ve Tanıtım Anabilim Dalı, 2019 (108 s.)

2018

2017

  • "Privacy management in online social networks", Nadin KÖKCİYAN, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017, Doktora Tezi, (123 s.)
  • "Veri bulutlarında mahremiyet korumalı arama ve veri getirme yontemi", Mohanad DAWOUD, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017, Doktora Tezi, (134 s.)
  • "Hiyerarşik Verilerde Mahremiyetin Korunması", İsmet ÖZALP, Sabancı Üniversitesi Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Bilimleri ve Mühendisliği Anabilim Dalı, Doktora Tezi, 2017 (103 s.)
  • "Sosyal medyada mahremiyet algısının çöküşü: Instagram örneği", Nurten SEPETCİ, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (134 s.)
  • "Çevrimiçi sosyal ağlarda gönderi paylaşımına dair mahremiyet ve fayda temelli karar alma", Tarık Berkant KEPEZ, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (104 s.)
  • "Üniversite öğrencisi sosyal medya kullanıcılarının mahremiyet algısı", İsmail KAPLAN, Anadolu Üniversitesi Sosyal Bilimler Enstitüsü İletişim Tasarımı ve Yönetimi Anabilim Dalı, 2017 (158 s.)
  • "Çevrimiçi sosyal ağlarda mahremiyet korunumu için müzakere yöntemleri", Dilara KEKÜLLÜOĞLU, Boğaziçi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı Bilgisayar Mühendisliği Bilim Dalı, 2017 (79 s.)
  • "Pratik kullanıma yönelik mahremiyet korumalı açık anahtar deposu", Ramin ARMANFAR, Sabancı Üniversitesi Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (86 s.)
  • "Bilgi güvenliği, kişisel verilerin korunması ve biyometrik verilerin işlenmesine ilişkin öneriler", Göksu Hazar ERDİNÇ, İstanbul Teknik Üniversitesi Bilişim Enstitüsü Bilişim Uygulamaları Anabilim Dalı, 2017 (164 s.)
  • "Kişisel Sağlık Verilerinin Kaba Güç Saldırılarına Karşı Güvenli Saklanması ve İşlenmesi", Saharnaz Esmaeilzadeh DILMAGHANI, İhsan Doğramacı Bilkent Üniversitesi Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (75 s.)
  • "Üniversite Öğrencisi Sosyal Medya Kullanıcılarının Mahremiyet Algısı", İsmail KAPLAN, Anadolu Üniversitesi Sosyal Bilimler Enstitüsü İletişim Tasarımı ve Yönetimi Anabilim Dalı, 2017 (158 s.)
  • "Gen Analizlerinde Kişilik Haklarının Korunması", Ramazan BOZAT, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı, 2017 (218 s.)
  • "Biyometrik Sistemlerin Bilgi Güvenliği", Abubakr RAKHIMOV, Ankara Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 [05.06.2019 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Medya psikolojisi bağlamında internet kullanıcılığı ile oluşan endişeler: Mahremiyet endişesi", Fehime Elem YILDIRIM, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Radyo Televizyon ve Sinema Anabilim Dalı İletişim Bilimleri Bilim Dalı, Doktora Tezi, 2017 (323 s.) [03.02.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Kişisel Verilerin Ceza Hukuku Kapsamında Korunması", İbrahim KORKMAZ, Ankara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı Ceza ve Ceza Usul Hukuku Bilim Dalı Doktora Tezi, 2017 [04.02.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "p-Kazanım: Mahremiyet Korumalı Fayda Temelli Veri Yayınlama Modeli", Yılmaz VURAL, Hacettepe Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, Doktora Tezi, 2017 [12.07.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Türk Sözleşme Hukukunda Kişisel Verilerin Korunması", Furkan Güven TAŞTAN, Yıldırım Beyazıt Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk (Medeni Hukuk) Anabilim Dalı, 2017 [12.06.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Sosyal ağlarda bilginin yayılımı ve mahremiyet konularının analizi", Burcu SAYİN , İzmir Yüksek Teknoloji Enstitüsü Mühendislik ve Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (71 s.) [04.01.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Elektronik Ticaret Mevzuatı Uygulamaları", Yaren ERDEM, İstanbul Bilgi Üniversitesi Sosyal Bilimler Enstitüsü Bilişim ve Teknoloji Hukuku Anabilim Dalı Hukuk Bilim Dalı, 2017 [07.07.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "İnsan Hakları Hukukunda Unutulma Hakkı", Eren SÖZÜER, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, 2017 [30.01.2020 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Bilgi Kuramsal Mahremiyet ve Haberleşme Kanalının Bilgi Kuramsal Mahremiyete Etkisi", Mehmet Özgün DEMİR,  İstanbul Teknik Üniversitesi Fen Bilimleri Enstitüsü Elektronik ve Haberleşme Mühendisliği Anabilim Dalı Telekomünikasyon Mühendisliği Bilim Dalı, 2017 [Bu tezin yayın izni bulunmamaktadır.]
  • "Bilgi kuramsal mahremiyet ve haberleşme kanalının bilgi kuramsal mahremiyete etkisi", Mehmet Özgün DEMİR, İstanbul Teknik Üniversitesi Fen Bilimleri Enstitüsü Elektronik ve Haberleşme Mühendisliği Anabilim Dalı Telekomünikasyon Mühendisliği Bilim Dalı, 2017 (131 s.)  [Bu tezin yayın izni bulunmamaktadır.]
  • ♦  "Sosyal Medya Üzerinden Elde Edilen İstihbaratın Güvenlik Maksatlı Kullanılması", Selami BALTACI, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Uluslararası İlişkiler Anabilim Dalı, 2017 (191 s.)
  • ♦  "Kişisel Medikal Görüntüleme Raporlarının Sayısal Ortamda Güvenli İletimi ve Saklanması", Çağla AKSOY, Gazi Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı, 2017 (73 s.)

2016

  • "Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması", Ayşe Çiğdem AYÖZGER,  İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı Doktora Tezi 2016 (297 s.)
  • "Kişisel Sağlık Kaydı Sistemlerinin Kullanılabilirliği,, Yaser Abdulhaleem ALMADANI, Çankaya Üniversitesi Fen Bilimleri Enstitüsü Matematik Bilgisayar Anabilim Dalı, 2016 (94 s.)
  • "İşçinin Kişisel Verilerinin Korunması Hakkı", İlke GÜRSEL, Dokuz Eylül Üniversitesi / Sosyal Bilimler Enstitüsü / Özel Hukuk Anabilim Dalı Doktora Tezi 2016 (495 s.)
  • "İşçinin Kişiliğinin ve Verilerinin Korunması", Erbil BEYTAR, Kocaeli Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı, 2016 [13.06.2019 tarihine kadar kullanım yazar tarafından kısıtlanmıştır]
  • "Kişisel Verilerin Korunması ve 6698 Sayılı Kanun", Kerim KILIÇ, Atatürk Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı, 2016 [05.09.2019 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • "Unutulma Hakkı", Can YAVUZ, Yeditepe Üniversitesi Sosyal Bilimler Enstitüsü Hukuk Anabilim Dalı, 2016 [16.05.2019 tarihine kadar kullanımı yazar tarafından kısıtlanmıştır]
  • ♦  "Türk Askeri İstihbarat Yapısı ve Hukuksal Düzenlemeleri Hakkında Bir Öneri: ABD Örneği ", Fatih GÜDÜK, Kara Harp Okulu Komutanlığı Savunma Bilimleri Enstitüsü Güvenlik Bilimleri Anabilim Dalı, 2016 (169 s.)

2015

2014

2013

2012

2011

2010

2009

2008

  • "Kişisel Verilerin Korunması", Hüseyin Can AKSOY,  Ankara Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk (Medeni Hukuk) Anabilim Dalı Medeni Hukuk Bilim Dalı, 2008

2006

2005

  • "Veri Koruma ve Türk İlaç Sanayiindeki Etkileri Üzerinde Bir Çalışma", Oğuzhan GÜRSON, Ankara Üniversitesi Sağlık Bilimleri Enstitüsü, 2005 [Bu tezin yayın izni bulunmamaktadır.]

2003

  • "Kişilik Hakkının Korunması Sorunu Çerçevesinde Kişisel Verilerin Korunması ve Saklanması", Nilgün BAŞALP, İstanbul Üniversitesi / Sosyal Bilimler Enstitüsü, 2003 [Bu tezin yayın izni bulunmamaktadır.]

 

NOT: Başlığında "♦" işareti bulunan çalışmalar, içeriği bakımından kişisel veriler ile ilgili tezlerdir.

YURTDIŞI

DERGİLERDE YAYINLANAN MAKALELER

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU - KURUL KARARLARI

Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buraya tıklanarak erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlar ve karar özetleri için buradan ve buradan erişebilirsiniz.

Kurul Kararları:

03/09/2019 - 2019/265: "VERBİS Kayıt Sürelerinin Uzatılması" hakkında
Karar Tarihi : 03/09/2019
Karar No : 2019/265
Konu Özeti :VERBİS Kayıt Sürelerinin Uzatılması

 

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
  • Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

02/05/2019 - 2019/125: "Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” hakkında
Karar Tarihi : 02/05/2019
Karar No : 2019/125
Konu Özeti :Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

24/01/2019 - 2019/10: Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

24/01/2019 - 2019/9: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.

27.05.2019 - 2019/52: Kurul kararının yerine getirilmemesi hakkında
Karar Tarihi : 05/03/2019
Karar No : 2019/52
Konu Özeti :Kurul kararının yerine getirilmemesi hakkında

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

  • Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
  • Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

  • 2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 - 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 - 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 - 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

16/10/2018 - 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması
Karar Tarihi : 16/10/2018
Karar No : 2018/119
Konu Özeti : Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 - 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri
Karar Tarihi : 19/07/2018
Karar No : 2018/88
Konu Özeti : Sicile kayıt yükümlülüğünün başlama tarihleri

 

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 - 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 - 2018/75: Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması
Karar Tarihi 05/07/2018
Karar No : 2018/75
Konu Özeti : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 - 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi
Karar Tarihi : 28/06/2018
Karar No : 2018/68
Konu Özeti : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

 

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

31/05/2018 - 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi
Karar Tarihi : 31/05/2018
Karar No : 2018/63
Konu Özeti :Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

 

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

-      Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

-      Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 - 2018/32: Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları
Karar Tarihi : 02/04/2018
Karar No : 2018/32
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
31/01/2018 - 2018/10: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.
Karar Tarihi : 31/01/2018
Karar No : 2018/10
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

 

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

 

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

21/12/2017 - 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/61
Konu Özeti : Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

21/12/2017 - 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/62
Konu Özeti : Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

 

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

Karar Özetleri:

23.07.2019: "Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi Hakkında"
Karar Tarihi : 23/07/2019
Karar No : 2019/225
Konu Özeti : Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Veri Sorumlusu Sıfatını Taşıyıp Taşımayacağı ve Sicile Kayıt

 

Kurumumuza iletilen; yurtdışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle;

  • yurtdışında yerleşik tüzel kişiler,
  • yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ve
  • yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının

6698 sayılı Kanuna göre veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde;

Yurtdışında yerleşik tüzel kişiler açısından;

6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmış olup bunlar gerçek kişiler olabileceği gibi kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Bu kapsamda bir kişisel veri işleme etkinliğinde veri sorumlusunun tespiti için veri sorumlusu tanımında yer alan kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma ve ayrı bir gerçek veya tüzel kişi olma kriterleriyle birlikte, kişisel verilerin ilk aşamada elde edilmesi ve bunun yasal dayanağı, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiği dikkate alınabilecektir.

Bunlara ek olarak, merkez şirketten bağımsız olarak tabi olunan hukuki yükümlülükler, merkezden bağımsız olarak doğrudan kişisel verileri işlenen kişilere uygulanan kendi hüküm ve şartlarının mevcudiyeti gibi unsurlar da veri sorumlusunu belirlemek bakımından önem arz etmektedir.

Bununla birlikte ifade etmek gerekir ki, yurt içinde ve yurt dışında faaliyet gösteren ticari işletmeler, Türkiye’deki iş ilişkilerini yürütmek açısından çeşitli seçeneklere sahiptir. Bu seçeneklerden birisi şube açmak, diğeri de irtibat bürosu kurmaktır.

Bu açıdan ilgili seçenekler değerlendirilirken faaliyet çerçevesinin belirlenmesi önem taşımaktadır. Uygulamada genellikle, şirketler yürüttükleri faaliyetlerin kapsamı arttıkça işlerini merkezden yönetmek yerine, kuracakları yarı bağımsız birimler yani şubeler aracılığı ile mahallinden yönetmeyi tercih etmektedirler.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından;

6102 sayılı Türk Ticaret Kanununun (TTK) “Tescil” başlıklı 40 ıncı maddesinin üçüncü fıkrasında “Merkezi Türkiye’de bulunan ticari işletmelerin şubeleri de bulundukları yerin ticaret siciline tescil ve ilan olunur. Ticaret unvanına ve imza örneklerine ilişkin birinci ve ikinci fıkra hükümleri bu işletmelere de uygulanır. Kanunda aksine hüküm bulunmadıkça merkezin bağlı olduğu sicile geçirilen kayıtlar şubenin bağlı bulunduğu sicile de tescil olunur. Ancak, bu hususta şubenin bulunduğu yer sicil müdürlüğünün ayrı bir inceleme zorunluluğu yoktur.” hükmü, 4 üncü fıkrasında ise “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmü yer almaktadır.

5174 Sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanununun 9 uncu maddesinin 2 nci fıkrasında ise “Bir merkeze bağlı olduğu halde, ister merkezin bulunduğu odanın, ister başka odanın çalışma alanı içinde olan müstakil sermayesi ve müstakil muhasebesi bulunan ve/veya muhasebesi merkezde tutulduğu ve müstakil sermayesi bulunmadığı halde kendi başına sınaî faaliyet ve ticarî muamele yapan yerler ve satış mağazaları bu Kanunun uygulanması bakımından şube sayılır” denilerek odalara kayıt zorunluluğunun kapsamı belirlenirken şubenin tanımına da yer verilmiştir.

5411 sayılı Bankacılık Kanununun 3 üncü maddesine göre de şube; “elektronik işlem cihazlarından ibaret birimleri hariç olmak üzere, bankaların bağımlı bir parçasını oluşturan ve bu kuruluşların faaliyetlerinin tamamını veya bir kısmını kendi başına yapan, sabit ya da seyyar bürolar gibi her türlü iş yeri” olarak ifade edilmiştir.

Ticaret Sicili Yönetmeliğinin 118 inci maddesinin 1 inci fıkrasında ise şube, “bir ticari işletmeye bağlı olup ister merkezinin bulunduğu sicil çevresi içerisinde isterse başka bir sicil çevresinde olsun, bağımsız sermayesi veya muhasebesi bulunup bulunmadığına bakılmaksızın kendi başına sınai veya ticari faaliyetin yürütüldüğü yerler ve satış mağazaları” olarak tanımlanmıştır.

Bu çerçevede, bir yerin şube sayılabilmesi için merkeze bağımlı olma, dış ilişkilerde bağımsızlık, yer ve yönetim ayrılığı gibi kriterlere de bakmak gerekir.

Merkeze bağımlı olmak, şubenin merkeze ticari bir işletmenin parçası olarak bağlı olması anlamına gelmekte olup şube ile merkezin aynı gerçek veya tüzel kişiye ait olması gerekir. Bu bağlılık nedeniyle şubenin, merkezden ayrı bir işletme politikası olamaz, şubenin kâr ve zararı merkeze aittir. Şube aracılığıyla elde edilen hakların, üstlenilen borçların sahibi de şube değil merkezdir. Ayrıca şube, ancak merkez nam ve hesabına üçüncü kişilerle iş ve işlem yaptığından şube tarafından yürütülen faaliyetten doğan hak ve yükümlülüklerin muhatabı da merkez, bir diğer ifade ile işletme sahibi olmaktadır. Bu bağlamda, merkez ile şube iktisadi bir bütün oluşturarak ortak bir işletme politikası yürütmektedir.

Dış ilişkide bağımsızlık, şubenin merkezin yaptığı işlemler türünden işlemleri üçüncü kişilerle kendi başına yapma yetkisine sahip olmasını ifade etmektedir. Yer ayrılığı ilkesine göre, şube ticari işletmenin genişleyen faaliyetlerinin mahallinden daha kolay biçimde yürütülmesi amacıyla açıldığında merkez ile şube arasında kural olarak yer ayrılığı olmalıdır. Ancak bu hususu çok dar ve kesin biçimde yorumlamamak gerekir.

Yönetim ayrılığı ise, şubenin kendi başına ticari işlem yapmaya yetkili olduğundan merkezden ayrı bir yönetime sahip olması gerekliliğini ifade etmektedir.

Öte yandan, Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) 3 üncü maddesinin (1) numaralı fıkrasında “Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.” düzenlemesine yer verilmiştir.

Söz konusu hükme göre, Avrupa Birliği’nde (AB) bulunan şubenin / irtibat bürosunun kendisinin veri işleyip işlemediği önemli değildir. Yabancı şirket, AB’de bulunan şubesinin / irtibat bürosunun faaliyetleri çerçevesinde veri işleme gerçekleştirdiği takdirde GDPR hükümlerine tabi olmaktadır. Bu kapsamda, AB’de bulunan işletme ile AB dışında bulunan veri sorumlusunun veri işlemesi arasında açık bir bağ olduğunun tespit edilmesi halinde, AB dışında bulunan veri sorumlusunun GDPR hükümlerine tabi olacağı sonucuna varılmaktadır. Burada, AB dışında bulunan şirketlerin, veri sorumlusu / veri işleyen olarak GDPR hükümlerine tabi olmasına ilişkin bir kriter olarak “işletme” kavramı dikkat çekmektedir. Yani GDPR’ın sınır aşan şekilde uygulanmasına ilişkin olarak, yabancı veri sorumlusu / veri işleyen bir girişimin / oluşumun (şirket vb.), AB’de bulunan işletmesi aracılığıyla (bu işletmenin faaliyetleri çerçevesinde) GDPR hükümlerine tabi olması sonucu doğabilmektedir.

Yine GDPR’ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir” şeklinde 6698 sayılı Kanunda yer alan veri sorumlusu tanımı ile benzer şekilde ve daha kapsamlı olarak tanımlanmıştır. Bu çerçevede veri sorumlusu, kişisel verileri elinde bulundurması dolayısıyla bu sıfatı kazanmakta, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemekle veri sorumlusu haline gelmektedir.

Bu açıdan değerlendirildiğinde, her ne kadar Sicile kayıt yükümlülüğü için 6698 sayılı Kanuna göre veri sorumlusu sıfatını haiz olması yani tüzel ya da gerçek kişi olması kriterini de taşıması gerekmekte ise de, yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ayrı bir tüzel kişilikleri bulunmasa da TTK 40 ıncı maddesine göre şubelerin yerli ticari işletmeler gibi tescil oldukları ve GDPR’ın 4 üncü maddesindeki veri sorumlusu olma kriterleri arasında “tüzel kişi” olmanın şart olarak öngörülmediği göz önünde bulundurulduğunda, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri sorumlusu sayılacağı değerlendirilmektedir.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları açısından;

4875 sayılı Doğrudan Yabancı Yatırımlar Kanununda yabancı yatırımlar ile ilgili düzenlenmeler bulunmakta olup bu doğrultuda, doğrudan yabancı yatırıma ilişkin esaslar arasında, yatırım planlanan ülkeye irtibat bürosu kurma da yer almaktadır.

4875 sayılı Doğrudan Yabancı Yatırımcılar Kanunu Uygulama Yönetmeliğinin 6 ncı maddesinin 1 inci fıkrasında “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye'de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir.” düzenlemesine yer verilmiştir.

Yukarıda yer verilen açıklamalar çerçevesinde yapılan değerlendirme sonucunda;

  1. Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kayıt olmalarının gerektiğine,
  2. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığına,
  3. Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına,

karar verilmiştir.

27.08.2019: Bir turizm şirketinin veri ihlali hakkında Karar
Karar Tarihi : 27/08/2019
Karar No : 2019/255
Konu Özeti :Bir turizm şirketinin veri ihlali hakkında Karar

Şirket tarafından Kurumumuza iletilen bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/255 sayılı Kararı ile;

  • Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde olduğu,
  • Etkilenen kişisel verilerin;
    • Personel Verileri: Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri
    • Müşteri Verileri: Ülke/eyalet, uyruk, doğum tarihi(DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi(DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No(DB-Veri tabanı seviyesinde şifreli), cinsiyet

    olduğu,

  • Etkilenen kişisel veriler arasında özel nitelikli kişisel veri bulunmadığı,
  • Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin idari bir tedbirsizlik olduğu,
  • Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,
  • Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu,
  • Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi olduğu,
  • İhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmemesinin teknik bir eksiklik olduğu, - Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,
  • Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğu

dikkate alınarak;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında yer alan “..veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile, (3) numaralı fıkrasında yer alan “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,

Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

27.08.2019: S Şans Oyunları A.Ş.'nin veri ihlali hakkında Karar
Karar Tarihi : 27/08/2019
Karar No : 2019/254
Konu Özeti :S Şans Oyunları A.Ş.'nin veri ihlali hakkında Karar

S Şans Oyunları Şirket’inin Kurum kayıtlarına 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2019 tarihlerinde giren yazılarda özetle;

  • S Şans Oyunları A.Ş.’nin Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği,
  • Veri sızıntısından, şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini paylaşmasıyla haberdar oldukları,
  • Veri ihlalinin gerçekleşme tarihinin bilinmediği,
  • İhlalden etkilenen kişi sayısının belirlenemediği,
  • İhlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu,
  • Söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında sistemden gönderilen kısa mesajlar olduğunun tespit edildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı Kararı ile;

  • İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğu,
  • İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,
  • Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,
  • Şirketin veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,

Şirket tarafından ihlalin tespit edilememesi, veri sorumlusunun beyanında olduğu üzere ihlalin veri işleyen nezdinde gerçekleşme ihtimali olsa dahi veri sorumlusu açısından Kanun hükümleri çerçevesinde gerekli her türlü teknik ve idari tedbirleri alma konusunda yükümlülüklerini ortadan kaldırmadığı dikkate alındığında , 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında ifade edilen teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,

Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere bildirim yapılmaması sebebiyle adı geçen Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

18.09.2019: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar
Karar Tarihi : 18/09/2019
Karar No : 2019/269
Konu Özeti : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar

Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin göndermiş olduğu e-postada özetle;

  • Facebook Inc. nezdinde 14-28 Eylül 2018 tarihleri arasında access token (erişim jetonları) kullanılmak suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
  • 25 Eylül 2018 tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği,
  • Erişim jetonlarının, aynı dijital bir anahtar gibi, Facebook platformları üzerinden çeşitli bilgilerin elde edilebilmesi için kullanıldığı,
  • İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz 2017 tarihinde meydana geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül 2018 tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül 2018 tarihinde gerçekleştirilen incelemeler kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte başladığının tespit edildiği,
  • 28 Eylül 2018 tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal hakkındaki incelemelerin devam ettiği,
  • İlgili zafiyetin, üç ayrı hatanın birbiri ile etkileşiminin bir sonucu olarak meydana geldiği, buna göre etkileşen üç hatanın; 1) “Başkasının Gözünden Gör” ara yüzünün, kullanıcıların kendi profillerinin başkaları tarafından nasıl görüntülendiğini görebildiği bir gizlilik özelliği olduğu, “Başkasının Gözünden Gör” özelliğinin yalnızca bir görüntüleme arayüzü olarak tasarlandığı, ancak kişilerin Facebook’a içerik yüklemesini sağlayan bir kutucuk (composer) üzerinden (spesifik olarak, kişilerin arkadaşlarının doğum günlerini kutlamalarını sağlayan versiyon üzerinden) “Başkasının Gözünden Gör” arayüzünde video yüklenmesi imkanının yanlışlıkla sağlandığı, 2) Video yükleyicisinin Temmuz 2017’de hayata geçirilen yeni bir versiyonunun (ilk hata sebebiyle uygulamaya konulan yeni arayüz), hatalı bir şekilde, Facebook mobil uygulamasının izinlerini taşıyan bir erişim jetonu oluşturduğu, bu erişim jetonunun sayfanın HTML kodunda görüntülenmekte olduğu, 3) Video yükleyicisinin “Başkasının Gözünden Gör” ekranının bir parçası olarak görüntülendiğinde, görüntüleyene ait erişim jetonu yerine görüntülediğiniz kullanıcıya ait erişim jetonunu oluşturduğu, ve bu üç hatanın bir araya gelmesi ile ilgili zafiyetin ortaya çıkığı, kişinin bir arkadaşının gözünden profilini görüntülemesini sağlayan “Başkasının Gözünden Gör” özelliğini kullanırken, uygulama kodunun kişilerin başkalarının doğum gününü kutlamalarını sağlayan kutucuğu kaldırmadığı, video yükleyicisinin yaratmaması gerekirken bir erişim jetonu yarattığı ve yaratılan erişim jetonunun kullanıcının kendisine değil görüntülenen kişiye ait olduğu,
  • İlgili erişim jetonunun ise sayfanın HTML kodu üzerinden görüntülenebildiği, saldırganların bu erişim jetonunu buradan elde etikleri, daha sonra saldırganların bu erişim jetonunu kullanarak bir diğer hesaba eriştikleri ve aynı adımları izleyerek bu hesapla ilişkili olan diğer hesapların erişim jetonlarını ele geçirdikleri,

ifadelerine yer verilmiştir.

Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.

Kurul tarafından yapılan inceleme neticesinde,

  1. Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;
    • Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği,
    • Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
    • Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
    • Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,

    göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,

  2. İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise 6698 sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,
  3. İlgili zafiyetten kaynaklı olarak ihlalin 14 - 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup,
    • 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
    • 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
    • Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı,
    • 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 - 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği

    göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,

  4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
    • 133.510 kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı,
    • 143.974 kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
      • Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
      • Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
      • Yerel ayarlar [kullanıcı tarafından seçilen dil]
      • İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
      • Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
      • Memleket [kullanıcı tarafından profilde belirlendiği üzere]
      • Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
      • Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
      • Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
      • Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
      • Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder]
      • Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
      • Facebook’ta son zamanlarda yapılan aramalar
      • Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
    • 3.475 kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı,

    göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,

  5. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği,
  6. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı,

tespit edilmiş olup, bu kapsamda

  • Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 1.150.000 TL,
  • Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12 nci maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL,

idari para cezası uygulanmasına,

oy birliğiyle karar verilmiştir.

17.07.2019: "Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 17/07/2019
Karar No : 2019/222
Konu Özeti :Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme

Kurum kayıtlarına 08.04.2019 ve 25.06.2019 tarihlerinde intikal eden, Dubsmash Inc.’i temsil eden Lewis Brisbois Bisgaard & Smith LLP’nin yazlarında özetle;

  • 8 Şubat 2019 tarihinde Dubsmash’in, gazeteci olduğunu iddia eden bir kişiden gelen e-posta vasıtasıyla veri ihlalinden haberdar olduğu, söz konusu gazetecinin ise karanlık ağda (Darknet) Dubsmash kullanıcılarının kişisel bilgilerine sahip olduğunu iddia eden bir kişi tarafından haberdar edildiği,
  • İddiaları soruşturmak için bir dijital adli tıp firması ile anlaşıldığı ve inceleme başlatıldığı, 11 Şubat 2019’da Dubsmash’ın kullanıcı bilgilerini içeren veri tabanı kopyasının satın alındığı,
  • Satın alınan veri tabanında bulunan kişilerin sayısına dayanarak, olayın Kasım 2018’de meydana geldiğinden şüphelenildiği,
  • Dubsmash’ın incelemesi sonucunda, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı,
  • İhlalin tekrar yaşanmaması, güvenlik tedbirlerinin güçlendirilmesi, ağ ve sistemlerin güvenli olması da dahil olmak üzere gerekli adımların atıldığı,
  • Dubsmash’ın kullanıcı sorularına cevap vermek için bir çağrı merkezi kurduğu, çağrı merkezi için yerli ve uluslararası telefon numaraları sağlandığı,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 17.07.2019 tarih ve 2019/222 sayılı Kararı ile;

  • Lewis Brisbois Bisgaard & Smith LLP’nin, Dubsmash Inc (ABD)’nin yasal temsilcisi olduğuna dair tevsik edici belgenin Kurum’a iletilmediği,
  • Hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamanın dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait bilgilerinin Darknet web’te satıldığı,
  • Bu bilgiler arasında kullanıcıların kullanıcı adı, şifreler, doğum tarihi, telefon numarası, e-mail adresi, ülkesi/dili gibi gerçek kişiye ait verilerin olduğu,
  • Bu verilerin Kasım 2018 Şubat ayından beri satışta olduğunun tahmin edildiği,
  • Veri ihlalinin nasıl gerçekleştiğinin bilinmediği, - Veri ihlalinden bir gazeteci vasıtasıyla haberdar olmasının Dubsmash’ın teknik ve idari tedbirler bakımından kusurlu olduğunu gösterdiği,
  • Dubsmash’in büyük çaptaki bu veri ihlaline rağmen kullanıcılarını bu konuda bilgilendirmediği,
  • Dubsmash kullanıcılarının ancak belli bazı sitelerden verilerinin ihlal edilip edilmediğini öğrenebildikleri

hususları dikkate alınarak,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Şirket hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 680.000 TL,
  • 08.02.2019 tarihinde tespit edilen veri ihlalinin 27.02.2019 tarihinde Kuruma bildirildiği dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede bildirim” yükümlülüğüne aykırılık teşkil eden uygulaması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL,

olmak üzere toplam 730.000 TL idari para cezası uygulanmasına,

  • İhlalden, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişinin etkilendiği dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü gereğince söz konusu ihlalin Kurumun internet sitesinde ilan edilmesine

karar verilmiştir.

08.07.2019: "Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kuruma yaptığı başvuru ile ilgili"
Karar Tarihi : 01/08/2019
Karar No : 2019/204
Konu Özeti :Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kurula yaptığı başvuru

İlgili kişinin şahsına ait cep telefonunun açık rızası olmaksızın bir yatırım ve menkul değerler şirketi tarafından bilgilendirme/reklam amaçlı aranması üzerine veri sorumlusuna yaptığı başvuruya yeterli yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,

Şikayete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şikayetçinin müşterisi olduğu personelin daha önce başka bir yatırım şirketinde çalıştığı, bu şirketin faaliyetlerine son verilip kapatılmasının ardından 2017 yılında bahse konu personelin yine aynı alanda faaliyet gösteren veri sorumlusu şirkette çalışmaya başladığı, dolayısıyla şikayetçinin telefon numarası bilgisine bu şekilde vakıf olunduğu ve sonrasında veri sorumlusunun bir personeli tarafından ilgili kişinin reklam ve bilgilendirme amacıyla arandığı anlaşılmış olup,

6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

  • Şikayete konu başvuru, veri işleme şartları açısından değerlendirildiğinde Şirketin Şikayetçinin telefon numarasını işlemesinin 6698 sayılı Kanunun 5 inci maddesinde sayılan şartlardan herhangi birine dayanmaması nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına,
  • Şirketin beyanlarında yer alan; Şikayetçinin Şirketin bir pazarlama personelinin başka bir şirkette çalışırken müşterisi olması nedeniyle, bu personelin yeni işyeri olan Şirkete bu verileri aktardığına ilişkin iddialarına ilişkin olarak; Şikayetçinin Türk Ceza Kanununun 136 ncı maddesi hakkında bilgilendirilmesine,
  • Şikayetçinin Şirketi muhatap başvurusunda yer alan kişisel verilerinin kimlerden ne şekilde elde edildiğine dair bilgi talebine Şirketçe cevap verilmemiş olması nedeniyle Şirketin Kanuna uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarılmasına ve söz konusu hususlarda Şirketin Kurumu muhatap yazısında belirtildiği şekliyle Şikayetçiye bilgi vermesi yönünde talimatlandırılmasına

karar verilmiştir.

01.07.2019: "Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında"
Karar Tarihi : 01/07/2019
Karar No : 2019/188
Konu Özeti : Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında

Mimar Sinan Güzel Sanatlar Üniversitesinde sınava girmiş kişilerin sınav sonuçlarının Yükseköğretim Kurulunun sınav sonuçlarına ilişkin düzenlemeleri çerçevesinde alenen duyurulduğu ve sonuçların internette aramaya açık biçimde yayınlandığı, arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabildiği, üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık olduğu, ancak bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, söz konusu uygulamanın düzeltilmesi, üniversitedeki sınav sonuçlarının kullanıcı adı-şifre ile giriş yapılan güvenli bir sistem ile açıklanması talebine ilişkin Kurumumuza intikal eden bir başvuru ile ilgili olarak;

Kişisel Verileri Koruma Kurulu (Kurul) Kararı ile başlatılan incelemeye istinaden veri sorumlusu Mimar Sinan Güzel Sanatlar Üniversitesi’ne iletilen bilgi belge talebi yazısına Kanunda belirtilen yasal süre içinde yanıt verilmediği de dikkate alınarak yapılan değerlendirme neticesinde;

  • Yükseköğretim Kuruluna iletilen bilgi talebi yazısına cevaben Kurumumuza gönderilen yazıda üniversitelerin sınav sonuçlarını ne şekilde duyurması ve bu sonuçları ne kadar süre ile erişime açık tutması gerektiğine ilişkin düzenlenmelerin Üniversitelerin kendi mevzuatlarında yer aldığı ve konuya ilişkin karar verme yetkisinin de Üniversitelerde olduğu sonuç ve kanaatine varıldığının ifade edildiği,
  • “Mimar Sinan Güzel Sanatlar Üniversitesi Lisansüstü Öğretim Yönetmeliği” nin 8 inci maddesinin “Lisansüstü programlara kabul edilen öğrencilerin listesi enstitü yönetim kurulu kararı ile kesinleşir ve enstitü müdürlüğü tarafından duyurulur.” şeklinde düzenlendiği,
  • Söz konusu düzenlemenin somut olayda Mimar Sinan Güzel Sanatlar Üniversitesi tarafından sonuçların internette aramaya açık biçimde yayınlanarak, üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık ve arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabilir tarzda bir duyuru yönteminin benimsenerek yerine getirildiği, ancak söz konusu duyuru yönteminin Kanun hükümleri çerçevesinde değerlendirildiğinde kişisel veriler bağlamında mahremiyet odaklı olmayıp, sınava giren bireylerin kişisel verilerinin herhangi bir işleme şartına dayanmaksızın üçüncü kişilerin de kolaylıkla ulaşabileceği şekilde açıklandığı kanaatine varıldığı,
  • Bu kapsamda, sınav sonuç duyuru sisteminin Üniversite tarafından tekrar gözden geçirilerek kimlik doğrulama yöntemi şeklinde sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı, ÖSYM’nin sonuç açıklama yöntemi gibi bir düzenleme ile kişisel verilerin paylaşımında mahremiyet odaklı bir anlayışı uygulamaya koyması gerektiği,

değerlendirmelerinden hareketle;

  • Mimar Sinan Güzel Sanatlar Üniversitesi’ne Kurumumuzca iletilen bilgi belge talebi yazısının Kanunda belirtilen yasal süre içinde yanıtlanmaması suretiyle ilgili Kurul Kararının gereğinin yerine getirilmemesinin Kanunun 15 inci maddesinin (3) numaralı fıkrasına aykırılık oluşturduğu dikkate alınarak, kamu kuruluşu olarak değerlendirilen Mimar Sinan Güzel Sanatlar Üniversitesinde görev yapan sorumlular hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına,
  • Öte yandan Mimar Sinan Güzel Sanatlar Üniversitesi sınav sonuç duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde Üniversitenin talimatlandırılmasına

karar verilmiştir.

31.05.2019: "İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili"
Karar Tarihi : 31/05/2019
Karar No : 2019/166
Konu Özeti : İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kurul kararı

İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurusunun incelenmesi neticesinde,

Gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: "Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili"
Karar Tarihi : 25/03/2019 ve 31/05/2019
Karar No : 2019/81 ve 2019/165
Konu Özeti : Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kurul Kararları

Konu Özeti

Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:

1- 6698 sayılı Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,

GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,

Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği

hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,

2- a) Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

Nitekim Danıştayın 2017/816 Esas sayılı kararında, davalı idarenin toptancı hali biriminde görev yapan personelin mesai takibinin sağlanması amacıyla başlatılan yüz tarama sistemi uygulamasına son verilmesi talebinin ilgili İdare Mahkemesinde reddedilmesi işleminin iptali istemiyle açılan davada, davalı idarenin tüm birimlerinin mesai takibinde anılan yöntemin kullanılmadığı, uygulamanın gerçekleştirildiği birimin konumu ve vardiyalı çalışma sistemi sebebiyle personelin kontrol ve denetiminde güçlük yaşanması karşısında bahse konu uygulamaya geçildiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilemeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararı hukuka uygun bulunmadığı,

Yine Danıştayın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarında da “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği,

Benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesini ihlal ettiğine hükmettiği,

Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği

dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği,

b) Bunlara ek olarak, Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından el ve parmak izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiği iddiası ile ilgili olarak;

Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı ve özel nitelikli kişisel verilerinin aynı maddede

“(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

hükümlerine yer verildiği

Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşıldığı,

6698 sayılı Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımdan da anlaşılacağı üzere açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,

Bu bağlamda, herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı,

dikkate alındığında bahse konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının değerlendirildiği

bu itibarla ilgili veri sorumluları hakkında,

  • Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6 ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Kişisel Verileri Koruma Kurulunun 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına,
  • Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına;
  • Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına

karar verilmiştir.

31.05.2019: "Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin"
Karar Tarihi : 31/05/2019
Karar No : 2019/162
Konu Özeti : Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin şikâyet hakkında
  • Veri sorumlusu tarafından şikâyetçiye ait telefon numarasına reklam amaçlı bir kısa mesajın (SMS) gönderilmesi üzerine ilgili kişinin kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusundan 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden bilgi talebinde bulunduğu ancak yasal süre içerisinde tarafına herhangi bir cevap verilmediği,
  • Kanun kapsamında veri sorumlusuna yaptığı başvuruya yasal süresi içerisinde cevap verilmemesi neticesinde de Kurula şikâyette bulunduğu ve bu başvurusunda (1) Veri sorumlusu nezdinde kendisine reklam/bildirim içerikli SMS gönderimi konusunda herhangi bir açık rızasının olup olmadığı, (2) kişisel verilerinin işlenip işlenmediği, işlenmişse ne amaçla işlendiği, (3) kişisel verilerinin yurt içinde kimlere aktarıldığı, (4) kişisel verilerinin yurt dışına aktarılıp aktarılmadığı, aktarılmış ise kimlere aktarıldığı, (5) gelen SMS’lerden Şirketin haberdar olup olmadığı hususlarında bilgi almak istediği,

şeklindeki talepler birlikte incelenmiş ve yapılan inceleme neticesinde,

- Şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin Şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanunun 5 ve 6. maddelerinde yer alan işleme şartlarında birine dayanması gerektiğini, ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden , kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: "Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin"
Karar Tarihi : 31/05/2019
Karar No : 2019/159
Konu Özeti : Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kurul kararı

İlgili kişinin,

• Veri sorumlusu varlık yönetim şirketi tarafından ilgili kişiye ait telefon numarasına açık rızası olmaksızın kısa mesajların (SMS) gelmesi ve SMS’lerde ret bildiriminin bulunmaması, ayrıca Şirketin, kişisel verilerini nereden, kimlerden ve nasıl temin ettiğini bilmemesi,

• 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) ilgili maddelerine istinaden veri sorumlusuna yapmış olduğu başvurusuna herhangi bir cevap alamaması sebebiyle Kişisel Verileri Koruma Kuruluna (Kurul) şikayette bulunması üzerine yapılan inceleme neticesinde,

  • Şikayetçinin yapmış olduğu ve veri sorumlusu tarafından teslim alınan bilgi talebi başvurusuna 30 günlük yasal süre içerisinde cevap verilmediği iddiasına ilişkin olarak, veri sorumlusundan alınan cevabi yazı ekinde ilgili kişiye cevap verdiği, bu cevabi yazının Şikayetçi tarafından teslim alındığının veri sorumlusu tarafından Gönderi Takibi ile tevsik edildiği ve yazısında Şikayetçinin bilgi talebinde bulunduğu tüm hususlara cevap verdiği dikkate alınarak veri sorumlusu hakkında yapılacak bir işlem olmadığına,
  • Şikayetçinin geri ödemesi gerçekleştirilmeyen tahsili gecikmiş alacakların ilgili bankalar ile veri sorumlusu arasında akdedilmiş bulunan sözleşmeler kapsamında 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ve 6098 sayılı Türk Borçlar Kanunu (6098 sayılı Kanun) hükümleri çerçevesinde veri sorumlusu şirketçe devir ve temlik alındığı, Şikayetçinin kişisel verisi olan telefon numarası verisinin veri sorumlusunun, Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı Kanunun 186 ncı maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca Şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda Şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında Şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedenleriyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
  • Ancak 6698 sayılı Kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu, bu anlamda Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi ve bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi, hususları göz önünde bulundurularak, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 20.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: "Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin"
Karar Tarihi : 31/05/2019
Karar No : 2019/157
Konu Özeti : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …... uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

  • Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
  • “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

karar verilmiştir.

25.06.2019: "Cathay Pasific Airway Limited'in veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 16/05/2019
Karar No : 2019/144
Konu Özeti : Cathay Pasific Airway Limited'in veri ihlal bildirimi hakkında bilgilendirme

Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden yazılarında özetle;

  • 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği,
  • Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği,
  • Saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği,
  • Saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak amacıyla web sitesi yönetici konsoluna ulaşıldığı,
  • Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği,
  • Birinci Grup’un BRIO sunucusunu Müşteri Bilgi Sistemine ulaşmak için kullandığı,
  • Cathay Pasific’in Birinci Grup’un Cathay ağına zorla girişini belirleyemediği,
  • Birinci Grup’un ağ içerisinde yanlamasına hareket ettiklerinden şüphelenildiği,
  • İkinci Grup’un Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformunun yedek belgelerine ve web sitesi yönetici konsoluna erişim sağlandığı,
  • Bahse konu veri ihlalinden Cathay Pacific yolcularının kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong Dragon Airlines Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel verilerinin de etkilendiği,
  • Şirket tarafından yapılan incelemede Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği,
  • Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan erişilen kişisel veri türü ve sayısının etkilenen her yolcu özelinde değişiklik gösterdiği,
  • Veri ihlalinden etkilenen ilgili kişilere doğrudan (e-posta vb.) ve web sitesi (“https://infosecurity.cathaypacific.com” adresi üzerinden) üzerinden ulaşmakta oldukları,
  • Türkiye’ye özel 1 (bir) aylığına müşteri hizmetleri merkezi ve ücretsiz müşteri hattı ile ilgili kişilere özel “ infosecurity@cathaypacific.com” e-posta adresi tahsis edildiği,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Kararı ile;

  • 13.03.2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay’ın Mart 2018 tarihinde haberdar olmasına rağmen ihlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı,
  • Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

- Öte yandan Şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

25.06.2019: "Marriot International Inc.'nin veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 16/05/2019
Karar No : 2019/143
Konu Özeti : Marriot International Inc.'nin veri ihlal bildirimi hakkında bilgilendirme

Marriott International Inc’in (Marriott) 04.12.2018 ve 28.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood Hotels & Resorts Worldwide Inc'i (Starwood) devralma işlemi gerçekleştirdiği,
  • Starwood otel markaları arasında St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
  • Starwood misafir veritabanının tutulduğu ağa Temmuz 2014'ten beri yetkisiz erişim olduğu,
  • Starwood misafir veritabanına yetkisiz erişimin 08.09.2018'de tespit edildiği,
  • Starwood müşteri rezervasyon veri tabanının Marriott otelleri için değil sadece Starwood otellerindeki rezervasyonlar için kullanıldığı,
  • Marriott’un yaklaşık 383 milyon müşteri kaydı arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu,
  • Saldırganın web sunucusuna bir komut istemi yüklediği ve Starwood ağına girdiğinin Marriot tarafından tespit edildiği,
  • Web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği,
  • İhlal hakkında otel müşterilerini aydınlatmak için, özel bir web sitesinin (info.starwoodhotels.com) kurulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı ile;

  • Starwood otel markaları arasında Türkiye’de faaliyet gösteren, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
  • İhlalden etkilenen veri tabanının tutulduğu Starwood Hotels ağına 2014'ten beri yetkisiz erişim olduğu, 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood’u devralma işlemi gerçekleştirdikten sonra da ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,
  • Sistemde şifrelenmiş ödeme kartı bilgilerinin yanında çok sayıda şifrelenmemiş ödeme kartı numaralarının da bulunmasının sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığının göstergesi olduğu, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu,
  • İhlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu, ancak aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediği,
  • Saldırganın web sunucusuna bir komut istemi yükleyerek Starwood ağına girdiğinin tespit edildiği ve web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği, saldırganın daha sonra kimlik bilgilerini toplayan ilave araçlar yüklediği ve sonrasında Starwood ağındaki diğer cihazlara erişim sağlayabilmek için kimlik bilgilerini ve iç ağ bağlanabilirliğini kullandığının tespit edilememesinin alınan teknik ve idari tedbirlerin yetersizliğinin göstergesi olduğu,
  • 2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

- Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, 

olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

25.06.2019: "Clickbus Seyahat Hizmetleri A.Ş.'nin veri ihlal bildirimi hakkında bilgilendirme"
Karar Tarihi : 16/05/2019
Karar No : 2019/141
Konu Özeti : Clickbus Seyahat Hizmetleri A.Ş.'nin veri ihlal bildirimi hakkında bilgilendirme

Clickbus Seyahat Hizmetleri Anonim Şirketi’nin 07.02.2019 ve 29.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • Clickbus tarafından Amazon Web Services (AWS) tarafından internet sistemlerinden biri üzerinde zararlı bir işlem olabileceğine ilişkin aldığı uyarı üzerine, internet platformları ile bağlantılı bazı şüpheli faaliyetlerin tespit edildiği,
  • Clickbus tarafından, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek, alanında uzman adli bilişim uzmanlarının yardımları ile iç inceleme başlatıldığı,
  • Clickbus’ın görevlendirdiği adli bilişim uzmanlarının yaptıkları inceleme ile ilgili nihai bir rapor oluşturulduğu,
  • Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği,
  • Clickbus’ın AWS sisteminde yer alan log ve sistemler üzerinde yaptığı analiz sonrasında, Clickbus kaynaklarından veri sızıntısının 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen sürede gerçekleştiği sonucuna varıldığı ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Kararı ile;

  • Söz konusu ihlalden Türkiye’de yerleşik 67.519 kişinin etkilendiği,
  • İhlalden etkilenmiş kişilerin farklı kategorilerde ve sayıda kişisel verileri arasında kimlik bilgileri (cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi), iletişim bilgileri (cep telefonu ülke kodu, cep telefonu numarası, sabit hat ülke kodu, sabit hat numarası, sabit hat uzantısı/dahilisi, e-posta adresi, sms gönderi izni, ticari elektronik ileti izni), müşteri işlemleri (ödeme anahtarı, yolculuk numarası, sepet numarası, sipariş numarası, toplam tutar, seyahat türü/kullanılacak araç, kalkış/varış yer ve saati, yolcu başına ücret referans numarası, yolcu türü, oturum simgesi, hata sebebi (uygulanabilir olduğu ölçüde hangi doğrulama adımının hataya sebep verdiği), segmentler), işlem güvenliği bilgileri (ödeme bilgileri; kart üzerinde yazan isim, kart numarası, kartın son kullanma tarihindeki ay ve yıl, kart güvenlik kodu, taksit bilgisi, indirim kodu, seyahat sigortası alınıp alınmadığına ilişkin bilgi, site kullanım koşullarının kullanılma bilgisi) verilerinin olduğu,
  • İhlalin 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde 2 (iki) ay boyunca devam etmesinin Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalin 21 Kasım 2018 tarihinde tespit edilmesine rağmen 25 Kasım 2018 tarihine kadar 4 (dört) gün daha devam etmesinin Şirket tarafından alınan idari tedbirlerin yeterince alınmadığının göstergesi olduğu,
  • Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğu

hususları dikkate alınarak

- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

- Öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

27.05.2019: "Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında"
Karar Tarihi : 25/03/2019
Karar No : 2019/82
Konu Özeti :Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında
  • Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde “….. Kart avantajlarından faydalanmaya devam edebilmek için Kişisel Verilerin Korunması Kanunu kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” ya da …. Kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalara yer verildiği, bu anlamda açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet,
  • Buna ilaveten Kuruma söz konusu market tarafından düzenlenen perakende satış fişlerinde, sadakat kart kullanımı ile ilgili Kanun kapsamında müşterilerden açık rıza alınması esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL hizmet bedeli alındığı yolunda Kuruma intikal eden ihbarlar
  • Öte yandan, yukarıda yer verilen hususlara ilişkin olarak yapılan değerlendirme esnasında söz konusu sadakat karta ilişkin olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgilerinin (Alışveriş bilgisi, isim, soyisim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi) ve elektronik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin, Program kapsamında mal ve hizmetlerini tanıtmak, üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek, kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla ….. Ailesi ile “yurtiçinde ve yurtdışında ilgili yasal mevzuatın öngördüğü azami süreleri aşmamak üzere paylaşılmasına ve işlenmesine izin verir. …… Ailesi olarak bahsedilen kurumlar, Yönetim Hissedarları, Yönetim Hissedarlarının ve Şirket’in bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri, Şirketin her türlü temsilcisi, hizmet sağlayıcısı ve/veya alt yüklenicisi ve bağlı şirketleri, GSM Operatörleri /Sosyal Paylaşım Siteleri ile Şirketin hak ve/veya görevlerini devretmeyi teklif ettiği her türlü kişilerdir.” gibi genel nitelikte ifadeler

birlikte incelenmiş ve yapılan inceleme neticesinde,

  • Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına,
  • Şirketten alınan savunmada, öncelikle Kanuna uygun üyelik onayları teyit edilemeyen müşterilere özel olarak 07.04.2018 tarihine kadar çeşitli kanallardan duyuru yapılan kişilerin daha öncesinde rızalarının alınmadığı değil, yıpranmış, eksik, imzasız vs. gibi durumlar ile karşılaşılması nedeniyle ileride doğabilecek hukuki ihtilaflarda ispat külfeti kapsamında söz konusu rızaların yenilenmesi yoluna gidildiğinin ifade edildiği, bu çerçevede, Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşruiyet kazandırılması için ilgili kişilerden açık rıza alınması şeklinde bir yola başvurulmadığı, aksine daha önce kişisel verilerin işlenmesine yönelik alınan rızalara ilişkin matbu formlardaki muhtelif eksiklik ya da tahrifatlar nedeniyle bu rızaların iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesinin amaçlandığı dikkate alındığında, Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrası çerçevesinde Kurulca yapılacak bir işlem bulunmadığına,
  • “Aydınlatma Metni”nin incelenmesinden ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıklar bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,

Ayrıca, aydınlatma metninde Şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, Şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, Şirkete ait tüm işyerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve Şirketin Aydınlatma Metninin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda Şirketin talimatlandırılmasına,

  • Öte yandan, Şirketin savunmasında kişisel verilerin anonim hale getirilerek sosyal paylaşım sitelerine aktarıldığı ifadelerine yer verildiğinin görüldüğü, bununla birlikte Kanunun 3 üncü maddesinde anonim hale getirmenin: kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi olarak tanımlandığı, bu kapsamda, anonim veriler diğer bir ifade ile kişiler ile ilişkilendirilemeyecek veriler üzerinden kişiye özel bir pazarlamanın gerçekleştirilemeyeceği göz önüne alındığında, Şirket uygulamasının Kanunda yer alan anonimleştirme tanımı ile bağdaşmadığına bu nedenle anonimleştirmenin Kanuna uygun olarak gerçekleştirilmesi gerektiği yönünde Şirketin talimatlandırılmasına,
  • Son olarak, Şirket tarafından düzenlenen perakende satış fişlerinde, “Veri İzni Alma Uygulaması” altında 0,01 TL hizmet bedeli alındığı iddiaları kapsamında Şirketten alınan savunmada, müşterilere kasada alışveriş yaparken gerekli bilgiyi vermek ve dilerse açık rızasını verebileceği üyelik linkini SMS gönderebilmek için alışveriş kasalarına bilgi teknolojileri sistemi kurulduğu, bir teknik problem nedeni ile bazı fişlerde çalışmadığı ve müşterilere sehven 1 kuruşluk bir bedel yansıdığı, bilgi teknolojileri hatası nedeni ile gerçekleşen bu olayda müşterilerden toplamda 91.502 fişte 910,52 TL’lik ücret alındığı ancak bu ödemelerin telafisi olarak müşterilerin kartına aynı tutarda indirim yüklendiği ve sistemsel bir hatadan kaynaklanan bu durumun derhal telafi edildiği hususları dikkate alındığında, konuya ilişkin Kanun kapsamında Kurumca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: "Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında"
Karar Tarihi : 01/03/2019
Karar No : 2019/47
Konu Özeti :Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında

Başvuranın, …. isimli şahsın (şikayet edilen) kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı, bahse konu bilgilere İcra Müdürlükleri kanalıyla usulsüzce ulaştığı iddiası hakkında Kuruma yaptığı başvurusunun incelenmesi neticesinde,

  • Şikayet edilen şahsın, başvuranın ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı iddiaları ile ilgili olarak, kişisel verilerin paylaşımının muhtelif mercilere yazılan dilekçelerden oluştuğu ve bu anlamda şikayet edilen tarafından kısmen ya da tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen bir kişisel veri işleme faaliyetine rastlanılmadığı, bu çerçevede şikayet edilenin veri sorumlusu olarak nitelendirilmesinin mümkün bulunmadığı, diğer taraftan şikayet edilen tarafından başvuran ve ailesine ait kişisel verilerin hukuka aykırı bir şekilde elde edildiği iddiasının Türk Ceza Kanunu kapsamında bir suç niteliği taşıdığı göz önüne alındığında söz konusu iddiaya ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Öte yandan, şikayet dilekçesinde şikayet edilenin, başvuranın kişisel verilerine İcra Müdürlükleri kanalıyla ulaştığı düşüncesinde olduğu iddiasının ilgili kişinin şahsi kanaatine dayandığı ve bu durumu tevsik edici herhangi somut bir bilgi veya belgeyle de tevsik edilmediği dikkate alındığında, söz konusu iddia ile ilgili olarak Kurulca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: "Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında"
Karar Tarihi : 14/02/2019
Karar No : 2019/23
Konu Özeti :Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbar hakkında

Teknik servis hizmeti veren veri sorumlusu firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği yolundaki ihbarın incelenmesi neticesinde,

  • Veri sorumlusundan alınan bilgide, ilgili internet adresi üzerinden kişilerin servise bıraktıkları cihazları ile ilgili olarak yapılan sorgulamada cihaz sahiplerinin kişisel verilerine erişimin mümkün olmadığının belirtilmesine rağmen yapılan incelemede söz konusu internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin de sorgulamalar yapılabildiği, söz konusu sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak, anılan Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numarala fıkrasına aykırı olarak kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle, söz konusu aykırılığın Karar tarihi itibariyle yapılan sorgulamalarda devam ettiği de göz önünde bulundurulduğunda, veri sorumlusu hakkında Kanunun 18 inci maddesi çerçevesinde 150.000 TL idari para cezası uygulanmasına,
  • Öte yandan, söz konusu aykırılığın giderilmesi yönünde veri sorumlusunun talimatlandırılmasına ve Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca, söz konusu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının durdurulmasına

karar verilmiştir.

03.04.2019: “Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında” Kişisel Verileri Koruma Kurulunun 24/12/2018 tarihli ve 2018/156 sayılı Kararı Özeti
Karar Tarihi : 24/12/2018
Karar No : 2018/156
Konu Özeti :Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında

İlgili kişinin, adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumların ve paylaşımların yapıldığı hususu ile ilgili Kişisel Verileri Koruma Kurumuna yaptığı başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 15 inci maddenin (1) numaralı fıkrasında Kurulun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen;

a) Belli bir konuyu ihtiva etmeyen,

b) Yargı mercilerinin görevine giren konularla ilgili olan,

c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan

ihbar veya şikâyetlerin incelemeye alınmayacağı hükme bağlanmıştır.

Diğer yandan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır.

Bu kapsamda, kişinin ad-soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak çeşitli içerikli internet sitelerinde hakkında yorumların ve paylaşımların yapılmasına ilişkin şikayetini içeren ve yargıya intikal etmiş olan başvurunun değerlendirilmesi neticesinde;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddenin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan” ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,
  • Öte yandan kişiye verilecek cevapta Kişisel Verilerin Korunması Kanunu kapsamında Kuruma yapılacak başvurularda izlenilmesi gereken yolun hatırlatılmasına

karar verilmiştir.

03.04.2019: “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı Kararı Özeti
Karar Tarihi : 05/12/2018
Karar No : 2018/142
Konu Özeti :Kişisel Verilerin Silinmesi Talebi Hakkında

Veri sorumlusu bir Bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin ancak “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza” edilebileceği hükme bağlanmıştır.

Diğer yandan Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümleri yer almaktadır.

5411 sayılı Bankacılık Kanununun 42 nci maddesi, alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağı hükmünü haizdir.

Ayrıca Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 17 nci maddesinin (1) numaralı fıkrasında da “Bankaların, müşterilerinden ve Resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dâhil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve Resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmüne yer verilmiştir.

Bu kapsamda, veri sorumlusu banka nezdinde bulunan kişisel verilerin silinmesi ile ilgili Kuruma yapılan başvuru hakkında; 6698 sayılı Kanunun ilgili maddesi ile 5411 sayılı Bankacılık Kanununun 42 nci maddesi göz önünde bulundurulduğunda; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği dikkate alındığında, şikayetçinin talebine yönelik Kurumumuzca yapılacak bir işlem bulunmadığına

karar verilmiştir.

03.04.2019: “Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/11/2018 tarihli ve 2018/131 sayılı Kararı Özeti
Karar Tarihi : 19/11/2018
Karar No : 2018/131
Konu Özeti :Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında

Bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından Kişisel Verileri Koruma Kurumuna (Kurum) yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı belirtilmiş, “Tanımlar” başlıklı 3 üncü maddesinin (d) bendinde de kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu sebeple, gerçek kişilere ait veriler Kanun kapsamında bulunurken, tüzel kişilere ait veriler ise Kanun kapsamında bulunmamaktadır.

Kanunun ilgili kişilerin haklarının düzenlendiği 11 nci maddesine göre ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme ve kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkı bulunmaktadır. Ayrıca söz konusu madde metninden de bu hakların, gerçek kişiye ait kişisel verileri kapsadığı ve bu hakkın da bizzat ilgili kişi veya yasal temsilcisi tarafından kullanılabileceği anlaşılmaktadır.

Bu çerçevede,

  • Kurumumuza intikal eden söz konusu başvuruda yer alan, tüzel kişiliğe ait verilere erişilmesi yönündeki talebin Kanunun 2 nci maddesi gereğince Kanun kapsamında değerlendirilemeyeceğine,
  • Şirket ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil Şirket tüzel kişiliği tarafından talep edilmesi sebebiyle söz konusu başvurunun Kanunun 11 ve 13 inci maddeleri kapsamında değerlendirilemeyeceğine

karar verilmiştir.

03.04.2019: “Kurul Kararının gereğinin süresi içinde yerine getirilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/118 sayılı Kararı Özeti
Karar Tarihi : 16/10/2018
Karar No : 2018/118
Konu Özeti :Kurul Kararlarının Kanunun 15 inci Maddesi Uyarınca 30 Günlük Süre İçerisinde Yerine Getirilmemesi Hakkında

İlgili kişinin, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna yaptığı başvuruya tatminkar bir cevap alamaması üzerine Kişisel Verileri Koruma Kurumuna (Kurum) yaptığı başvuru neticesinde, konu ile ilgili Kurul tarafından alınan kararın ilgili veri sorumlusu tarafından süresinde yerine getirilmemesi hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15 inci maddesinin (5) numaralı fıkrası, şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurulun, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edeceği, bu kararın da tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirileceği hükmünü haizdir.

Kanunun “Kabahatler” başlıklı 18 inci maddesinin (1) numaralı fıkrasının (c) bendinde ise Kanunun 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği (3) numaralı fıkrasında ise birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceği hüküm altına alınmıştır.

Şikâyetçinin Kurula yapmış olduğu başvurunun incelenmesi neticesinde alınan Kurul Kararı 02.07.2018 tarihinde veri sorumlusuna tebliğ edilmiştir. Bu kapsamda veri sorumlusunun, Kurul Kararı kapsamında 16.08.2018 tarihinde şikâyetçiye bilgi verdiği, bu hususun da 17.08.2018 tarihli yazı ile Kurula bildirildiği görülmekte olup, Şirket tarafından ilgili mevzuat hükümleri çerçevesinde en geç 01.08.2018 tarihinde yapılması gereken işlemin 16.08.2018 tarihinde yapıldığı; diğer yandan şikâyetçinin, veri sorumlusu nezdinde bulunan kişisel verilerinden asgari saklama süresi tamamlanmış olanlarının Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesinin (1) numaralı fıkrası gereğince ilk periyodik imha işleminde, kalanların da yasal saklama yükümlülüğünün dolmasını müteakiben yapılacak periyodik imha işlemi dönemlerinde silinmesine ve gerçekleşecek silme işlemleri hakkında Şikâyetçiye bilgi verilmesi ayrıca, söz konusu kişisel verilerin saklama amacı dışında işlenmemesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiş olmasına rağmen Şirketin şikâyetçiyi muhatap 16.08.2018 tarihli yazısında Kurul Kararının bu maddelerine ilişkin herhangi bir açıklamada bulunmadığı tespit edilmiştir.

Bu çerçevede kamu kuruluşu olarak değerlendirilen veri sorumlusuna tebliğ edilen Kurul Kararının gereğinin Kanunun 15 inci maddesinin (5) numaralı fıkrasında belirtilen 30 günlük yasal süre içerisinde yerine getirilmemesi ve şikayetçiye gönderilen bilgilendirme yazısında Kurul Kararında belirtilen hususlara yer verilmemiş olması nedenleriyle;

  • Şirket hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde işlem tesis edilmesine,
  • Şikâyetçinin, Şirket nezdinde saklanmakta olan verileri ile ilgili olarak Kurul Kararı kapsamında yapılacak iş ve işlemler hakkında bilgilendirilmesi hususunda Şirkete talimat verilmesine

karar verilmiştir.

03.04.2019: “Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında” Kişisel Verileri Koruma Kurulunun 13/09/2018 tarihli ve 2018/106 sayılı Kararı Özeti
Karar Tarihi : 13/09/2018
Karar No : 2018/106
Konu Özeti :Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği

İlgili kişinin görevi nedeniyle imzalamış olduğu evrakın kimliği belirsiz kişi/kişilerce internet ortamında paylaşılması üzerine Kuruma yapmış olduğu başvuru hakkında,

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kapsam” başlıklı 2 nci maddesinde, Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı ile “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği belirtilmektedir.

Bu kapsamda;

Şikâyetçinin başvurusu incelendiğinde, kişinin görevi nedeniyle imzalamış olduğu bir evrakın hukuka aykırı bir şekilde elde edilip kimliği belirsiz kişi veya kişilerce internet ortamında paylaşıldığı ve aynı kullanıcı ismiyle Şikâyetçinin isim ve soy isminin baş harflerinin yazılarak kişi hakkında bir takım iftira içerikli metinlere yer verildiği anlaşılmış olup, kimliği belirsiz kişi veya kişilerin veri sorumlusu olarak tanımlanamayacağı

Kanunun “Suçlar” başlıklı 17 nci maddesinin (1) numaralı fıkrası gereği, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı

hususlarından hareketle, şikâyete konu olayın Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırması ve konuya ilişkin gerekli hukuki işlemlerin tesisini teminen konunun Şikâyetçi tarafından yargıya intikal ettirilmiş olması nedenleriyle Şikâyetçi hakkında ilgili uygulama üzerinden yapılan paylaşımlar kapsamında Kurumca yapılacak bir işlem bulunmadığına karar verilmiştir.

03.04.2019: “Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı Özeti
Karar Tarihi : 26/07/2018
Karar No : 2018/90
Konu Özeti :Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili

Online platformda iş başvurusu alan veri sorumlusu şirketler topluluğunun kişisel veri işleme süreçlerinin Kurul tarafından re’sen incelenmesini teminen yapılan başvuru neticesinde,

Online platformda iş başvurusunda bulunurken üyelik kaydı yapılmasının zorunlu olduğu, üyelik kaydı yapılması sırasında ise, aynı kutucuğun işaretlenmesi yoluyla hem aydınlatma metninin okunduğuna, hem de kişisel verilerin işlenmesi hususunda açık rıza verildiğine ilişkin onay alınması yoluna gidildiği tespit edilmiştir.

Bu kapsamda;

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği hükme bağlanmıştır

Ayrıca, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya bağlı değildir. Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise, veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, ilgili kişi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir.

Tüm bu hususlar bir arada değerlendirildiğinde; söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde yer alan hükme uygun olmadığı, bu itibarla aydınlatma metninin okunduğuna ilişkin geri bildirim alınması ile ilgili kişilerin kişisel verilerinin işlenmesi hususunda gerekli seçimlik haklarının da tanındığı açık rıza metninin onaylandığının ispatını sağlayacak mekanizmaların ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

18.02.2019: “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı Özeti
Karar Tarihi : 28/06/2018
Karar No : 2018/69
Konu Özeti : Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

18.02.2019: “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı Özeti
Karar Tarihi : 26/07/2018
Karar No : 2018/91
Konu Özeti :Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

02.08.2018: Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren e-posta adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)

Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;

- İlgili mevzuatta yer almaması

- Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle

Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurulca Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması

a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;

Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.

02.08.2018: lgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi

Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine;

Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi

İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;

Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

- Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

- Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Açık Rızanın Hizmet Şartına Bağlanması

Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;

- Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

- Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;

Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

b) Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

Bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususu da dikkate alınarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğu değerlendirildiğinden 6698 sayılı Kişisel Verilerin Korunması Kanununun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, ilgili kişinin söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak Kurulca yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

YAYIMLANAN KİTAPLAR

Kitap001-KisiselVerilerMevzuat_KAPAK-small

Türkiye Bilişim Mevzuatı Serisi - Kişisel Veriler Mevzuatı

Yayım Tarihi: Nisan 2018

Yazar: Mustafa Afyonluoğlu

vhk-2019

Veri Koruma Hukuku: Mevzuat - İçtihat - Bibliyografya

Yayım Tarihi: Eylül 2019

Yazarlar: Dr. Mehmet Bedii Kaya, Furkan Güven Taştan

ictihat

İÇTİHAT

BU BÖLÜM İLE İLGİLİ DERLENEN  34 İÇTİHAT METNİ İÇİN YAYIN İZİN SÜRECİ DEVAM ETMEKTEDİR

youtube-logo

VİDEOLAR

edu

KİŞİSEL VERİLER İLE İLGİLİ ÜCRETSİZ ÇEVRİMİÇİ SERTİFİKALI EĞİTİMLER

OFFICE of the PRIVACY COMMISSIONER - NEW ZEALAND
E-LEARNING SITE for PRIVACY

Privacy 101: Introduction to the Privacy Act

Privacy 101: Introduction to the Privacy Act

  • The Privacy Act-1993
  • What the Act Covers?
  • Who the Act Protects?
  • 12 Principles of the Act
  • Information Life Cycle
  • Industry Codes of Practice
  • Personal Information
  • Privacy Officers
  • Official Information Act
  • Privacy Act and OIA Scnario
  • P1: Purpose for Collection
  • P2: Source of Information
  • P2: Exceptions
  • P3: Collection Statement
  • P4: Manner of Collection
  • P5: Storage and Security
  • P6: Access
  • P6: Procedural Provisions
  • P6:  Witholding Grounds
  • P7: Correction
  • P8: Accuracy
  • P9: Retention
  • P10: Use
  • P11: Disclosure
  • P12: Unique Indetifiers

Certification Exam

An A to Z of Approved Information Sharing Agreements (AISAs)

An A to Z of Approved Information Sharing Agreements (AISAs)

  • Section 1: What is an AISA?
  • Section 2: How Do I Build the Case for an AISA?
  • Section 3: How Do I Develop ana AISA?
  • Section 4: How Do I Get an AISA Approved?

Certification Exam

Introduction to the Credit Reporting Privacy Code (CRPC)

Introduction to the Credit Reporting Privacy Code (CRPC)

  • Unit 1: Introduction to Credit Reporting 
  • Unit 2: The Credit Reporting Privacy Code
  • Unit 3: Obtaining Credit Reports
  • Unit 4: Credit Report Information
  • Unit 5: Access to your Credit Report
  • Unit 6:  Correcting your Credit Report
  • Unit 7: Suppressing Credit Reports
  • Unit 8: Complaints Process

Certification Exam

Employment and Privacy

Employment and Privacy

  • Unit 1: Assessing applicants
  • Unit 2: Surveillance and monitoring of employees
  • Unit 3: Social media and technology
  • Unit 4: Drug testing and biometrics
  • Unit 5: Security of information
  • Unit 6: Disclosing information about staff
  • Unit 7: Workplace disputes
  • Unit 8: End of employment

Certification Exam

A Guide to Privacy Impact Assessments (PIAs)

A Guide to Privacy Impact Assessments (PIAs)

  • Section 1: What is a PIA Good For?
  • Section 2: When It Is Necessary to Do a Full PIA?
  • Section 3: What Do You Need to Consider When Scoping a PIA?
  • Section 4: What are the Key Steps in a PIA?
  • Section 5: Understanding Risks and Mitigations

Certification Exam

Health 101: An Introduction to the Health Information Privacy Code

Health 101: An Introduction to the Health Information Privacy Code

  • Same Sections as Privacy 101, specific to the Health sector

Certification Exam

EĞİTİM MATERYALLERİ

Kayıt olunan eğitim paketi için, aynda gösterilen gibi eğtim materyalleri ve diğer kaynaklar için bağlantılar sağlanmaktadır. Eğitim materyallerini indirmek için derse kayıt olmak gerekmektedir. Sisteme ve derslere kayıt ücretsiz ve süresizdir.

BİTİRME SERTİFİKASI

Kayıt olunan eğitim paketindeki tüm dersleri tamamlayan ve ara sorular ile eğitim sonundaki sınavı tamamlayan katılımcılara yandaki şekilde bir sertifika belgesi verilmektedir.

resources

DİĞER KAYNAKLAR


Yorum Yaz