Bultenler

Kişisel Verileri Koruma Kurumu Karar Özetleri

  1. İnternet Sitesinde Kullanılan Çerezler Aracılığıyla Hukuka Aykırı Olarak Kişisel Veri İşlenmesi Hakkında Kurum Kararı

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 10/03/2022 tarih ve 2022/229 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

E-ticaret sektöründe faaliyette bulunan, veri sorumlusu şirket tarafından internet sitesinde ve mobil uygulamalarında kullanılan çerezler aracılığıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun” veya “KVKK”) ilgili maddelerinin ihlal edildiği, çerez politikasının özel hayatın gizliliğine müdahale taşıdığı, çerez politikasının anlaşılamaz ifadeler içerdiği ve bunlar gibi hukuka aykırı olarak kişisel verilerin işlenildiğine dair, ilgili kişinin Kurum’a şikâyeti intikal etmiştir.

Kurum tarafından konuya ilişkin değerlendirmeler yapılmıştır, özetle;

  • “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği. Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği,
  • açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı anlaşılmıştır.

Kurum tarafından yapılan inceleme neticesinde;

  • Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’a aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması, veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi

hususlarında gerekli düzenlemelerin yapılmasına, veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. İlgili Kişinin E-Posta Adresinin İnsan Kaynakları Firması Tarafından Reklam Amaçlı E-Posta Gönderilmesi Amacıyla İşlenmesine Dair Kurum Kararı

Kurum’un 09/12/2021 tarihli ve 2021/1243 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

İlgili kişinin şikâyet dilekçesinde özetle; veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği, ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden temin edildiğine dair bir bilgiye sahip olmadığı, kişisel verilerinin işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında bir bilgi verilmediği ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
  • İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Banka Tarafından İlgili Kişinin Ailesinin Telefonları Üzerinden Arama Gerçekleştirilmesi Hakkında Kurum Kararı

Kurum’un 09/12/2021 tarihli ve 2021/1239 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyette, banka ile ilgili kişi arasındaki kredi sözleşmesine konu borca ilişkin olarak ilgili kişinin onayı olmadan anne ve babasının telefonları üzerinden ısrarla arandığı, gerekçe olarak şikayetçiye ulaşılamamasının gösterildiği, kişisel verilerinin açık rızası olmaksızın kullanılmasıyla ihlal edildiği, dolayısıyla  KVKK’nın 14 üncü maddesinin (2) numaralı fıkrası gereğince veri sorumlusuna başvurulduğu, banka tarafından, cevabın hazır olduğunun şikayetçiye bildirildiği ancak herhangi bir tebligat yapılmadığı, bunun üzerine tekrar yeni bir başvuru yapıldığı, yine reddedildiğinin öğrenilmesi üzerine Kuruma başvuru zorunluluğunun hasıl olduğu belirtilerek, gereğinin yapılması talep edilmiştir.

Yapılan incelemede Kurum tarafından, özetle;

  • Risk Merkezi Yönetmeliği’nin 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyelerin, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamakla sorumlu tutulduğu, ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca; Risk Merkezinde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanun’un 159’uncu maddesinde öngörülen yaptırımların uygulanacağının belirtildiği,
  • İlgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, bu durumun Kuruma sunulan evraklardan da anlaşıldığı, ilgili kişinin başvurusuna binaen cevabî nitelikli yazı gönderildiği, yazıda kısaca gerekli aksiyonun alındığını kapsayan özrün  yer aldığı, veri sorumlusu tarafından Kuruma gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği,
  • Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon aramaları hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği

Değerlendirmesinde bulunulmuştur.

Bu değerlendirmelerden hareketle;

  • Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. İlgili Kişinin Yurt Dışında Mukim Olan İşverence Kişisel Verilerinin Hukuka Aykırı Olarak İşlenmesi Hakkında Kurum Kararı

Kurum’un 02/12/2021 tarihli ve 2021/1218 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

İlgili kişinin şikâyetinde özetle; Ekim 2020 ila Nisan 2021 tarihleri arasında yurtdışında mukim olan veri sorumlusunun İstanbul İrtibat Bürosu’nda görev yaptığı ve iş sözleşmesinin sona erdirildiği, ilgili kişiye verilen cevapta “Halen istihdam altında bulunduğunuzdan, iş ilişkisinin karşılıklı ifası için gerekli kişisel verilerin işlenmesi KVKK kapsamına girdiğinden, iş akdinizin ifası çerçevesinde kişisel verileriniz KVKK’ya uygun şekilde işlenmektedir” ifadelerine yer verildiği, işverenin bilgi alma hakkını ihlal ettiği, iş akdinin sona erdirilmesinden sonra, ilgili kişinin kişisel verilerinin kurumsal internet sitesinden kaldırılmadığı, hususları bildirilmiş olup, veri sorumlusunun Kanun’a istinaden cezalandırılması talep edilmiştir.

Konuya ilişkin inceleme neticesinde;

  • İlgili kişiye GDPR yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına, ilgili kişiler tarafından kendisine Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine istinaden yapılacak başvuruları Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Anne ve Çocuğunun Fotoğrafları Kullanılmak Suretiyle Gerçek Dışı, Şeref ve Haysiyet Kırıcı Haber İddiası Hakkında Kurum Kararı

Kurum’un 02/12/2021 tarihli ve 2021/1217 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kuruma yapılan şikâyette özetle; bir medya şirketinin televizyon kanalının programında ilgili kişi ve çocuğunun fotoğrafları kullanılmak suretiyle gerçek dışı bir haber yapıldığı,  Ana Haber programında, ilgili kişinin, ilk evliliğinden çocukları olduğu, altı yıldır başkasıyla evli olduğu, oğlunun ilgili kişiyi bıçakladığı ifadelerini içeren yayının yapıldığı, ancak ilgilinin eşinden boşanmadığı, olayın ilgili kişi hakkında olmadığı, Facebook sayfasından alınan fotoğrafların amacı dışında kullanılmasının hukuka aykırı olduğu, yapılan başvuruya rağmen hukuka aykırılığın giderilmediği, kişisel veri niteliğindeki fotoğrafın ve kimlik bilgilerinin kullanılması suretiyle Kanun’a aykırı hareket edildiğinden bahisle kişisel verilerin imha edilmesi, uğranılan zararların giderilmesi, ayrıca medya şirketi hakkında yaptırım uygulanmasına karar verilmesi talep edilmiştir. 

İnceleme neticesinde Kurul tarafından özetle;

  • Fotoğrafın medya şirketi tarafından buzlanmak suretiyle yayınlanmış olmasının başka bilgilerin birleştirilmesi halinde ilgili kişilerin kimliklerinin belirlenebilmesinin mümkün olmasından ötürü mezkûr fotoğrafın kişisel veri niteliğini ortadan kaldırmadığı, isim bilgileri ile arama motorlarından arama yapıldığında bu fotoğrafın buzlanmamış versiyonuna erişimin mümkün olduğu, haberde kullanılan fotoğrafının herkese açık olan Facebook sayfasında yer almasının, bu fotoğrafın amacı dışında kullanılabilmesine cevaz vermeyeceği, “alenileştirme” kavramının, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu
  • Kişisel verilerin işlendiği ve ifade özgürlüğü ile özel hayatın gizliliğinin çatıştığı hallerde haklar arasında bir denge testinin yapılmasını gerektirdiği, , ifade özgürlüğü ile kişilik hakkı arasında yapılan denge testi neticesinde ifade özgürlüğüne öncelik tanınabilmesi için üç kriterin de aynı anda karşılanmasının gerektiği, ancak kriterlerin tamamını karşılanmadığı,
  • Şikâyete esas haberin paylaşılmasında herhangi bir kamu yararının bulunmadığı, buna karşın “üçüncü sayfa haberi” olarak bilinen bu tarz haberlerin basında sıklıkla yer aldığı dikkate alındığında “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğuna
  • Bir haberin maddi gerçekliğe veya görünürdeki gerçekliğe uygun olup olmadığı konusunda bir değerlendirme yapılmadan önce, gereken özenin gösterilip gösterilmediğinin ele alınması gerektiği, veri sorumlusu tarafından yürütülen kişisel veri işleme faaliyetleri için herhangi bir hukuki sebebe dayanılmadığının görüldüğü, bu durumun kişisel veri işleme faaliyetini hukuka aykırı kıldığı

Değerlendirmelerinde bulunulmuştur.

Bu değerlendirmelerden hareketle;

  • İlgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan hükme aykırılık teşkil ettiğinden, veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına, maddi ve/veya manevi tazminat talepleri için girişimde bulunulabileceği konusunda ilgili kişilerin bilgilendirilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Üniversite Tarafından Verilen Eğitimde, Eğitim Alan Kişilerin Yoklama Listesinin Diğer Katılımcılar Tarafından Görülebilir Şekilde Düzenlenmesi Hakkında Kurum Kararı

Kurum’un 02/12/2021 tarihli ve 2021/1214 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

İlgili kişinin şikâyet dilekçesinde özetle; ilgili kişinin bir üniversite eğitim merkezinin  eğitim programına katıldığı, kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca üniversite ve bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu bakanlık ve üniversite hakkında Kanun kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Kurum tarafından yapılan inceleme neticesinde;

  • Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına, benzer uygulamaların olabileceği dikkate alındığında, diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına,
  • Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. İşveren Tarafından Eski Çalışanının Kurumsal E-Posta Hesabına Aydınlatma Yapılmaksızın Erişilmesi Hakkında Kurum Kararı

Kurum’un 25/11/2021 tarihli ve 2021/1187 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyette özetle; ilgilinin, veri sorumlusu olan şirketin, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin e-posta üzerinden yapmış olduğu konuşma içeriklerine erişim sağlandığının görüldüğü, veri sorumlusu tarafından kişisel verilerin işlendiği, aktarıldığı, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği platformun "cloud" olduğu ve söz konusu Cloud'un da Microsoft tarafından sağlanan OneDrive bulut sistemi olduğu, adı geçen hizmet sağlayıcı firmaların "server"larının yurtdışında bulunuyor olmasından dolayı söz konusu işlemelerin Kanun'un 9'uncu maddesine uygun olarak gerçekleştirilmesi gerektiği, veri sorumlusu tarafından verilen cevabın maddi gerçekleri yansıtmadığı hususları belirtilmiş ve Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde,

  • Herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında 250.000 TL idari para cezası uygulanmasına, İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak ise iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; resen inceleme başlatılmasına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Tıbbi Ürünler Satan Veri Sorumlusu Tarafından İlgili Kişiye Reklam İçerikli SMS Gönderilmesi Suretiyle Kişisel Verilerinin İşlenmesi Hakkında Kurum Kararı

Kurum’un 11/11/2021 tarihli ve 2021/1153 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyette özetle; ilgilinin cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, cevapta, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin belirtildiği; ancak verilen bu cevabın yetersiz olduğu ve ihmalin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin Kurum tarafından yapılan inceleme neticesinde;

  • İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına, Bununla birlikte, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına  karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. İstihdam Platformunun KVKK’ya Aykırı Uygulamalarda Bulunmasına İlişkin Kurum Kararı

Kurum’un 14/10/2021 tarihli ve 2021/1051 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusuna ait iş arama ve işe alım süreçlerini yürüten bir istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun Kanun’a aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ayrıca ilgili kişinin başvurusuna cevaben iletilen cevabi yazıda ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği ifade edilmiş ve konu hakkında gerekli işlemlerin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Banka Avukatı Tarafından Borçlu Yakını Olan İlgili Kişiye Haciz İhbarnamesi Gönderilmesi Suretiyle Kişisel Verilerinin İşlenmesi Hakkında Kurum Kararı

Kurum’un 21/10/2021 tarihli ve 2021/1069 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyet dilekçesinde özetle; borçlu yakını olarak bir banka avukatınca kendisine İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında gönderilen haciz ihbarnamesi ile kişisel verilerinin açık rızası alınmaksızın ihbarnamede yer alan üçüncü kişilerle paylaşıldığını tespit ettiği ve bu konuya ilişkin olarak hem bankaya hem de banka avukatına başvurulduğu belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • Bankanın somut olayda veri sorumlusu olmaması nedeniyle Kanun kapsamında hakkında yapılacak bir işlem olmadığına,
  • Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da Kanun kapsamında tesis edilecek bir işlem olmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Banka Tarafından İlgili Kişinin Cep Telefonu Numarasına SMS Gönderilmesi Suretiyle Kişisel Verilerinin Hukuka Aykırı Olarak İşlenmesi Hakkında Kurum Kararı

Kurum’un 02/11/2021 tarihli ve 2021/1104 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyet dilekçesinde özetle;  verilerinin silinmesi için veri sorumlusu bankadan talepte bulunduğu, banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. İlgili Kişinin Kredi Notunun Banka Tarafından Düzeltilmemesi ve Kişisel Verilerinin Üçüncü Kişilerle Paylaşılmasına İlişkin Kurum Kararı

Kurum’un 02/11/2021 tarihli ve 2021/1107 sayılı Karar Özeti 23.05.2022 tarihinde yayımlanmıştır.

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurum tarafında yapılan inceleme neticesinde;

  • İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un 12’nci maddesinin (1)numaralı fıkrasının (a) bendinde bulunan “...Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek...” yükümlülüğüne aykırı davranan veri sorumlusu hakkında;
  • Veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması,
  • Veri sorumlusunun oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat halinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi,
  • Veri sorumlusunun banka niteliğini haiz olması dolayısıyla, işlediği kişisel veriler üzerinden ilgili kişiler hakkında sonuç elde etmesi ve bu sonuçlar doğrultusunda iş ve eylemlerini gerçekleştirmesi nedeniyle işlenen kişisel veriler bakımından doğruluk ve güncelliğin sağlanması adına aktif özen yükümlülüğünün bulunması,
  • Veri sorumlusunun işlediği kişisel verileri düzenli ve sistematik olarak Risk Merkezine bildirme yükümlülüğünün bulunması ve bu sisteme bildirilen veriler üzerinden, ilgili kişiler hakkında finansal anlamda önemli sonuçların oluşturulması nedeniyle yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetlerine yol açabilmesi

hususları da göz önünde bulundurularak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 150.000 TL idari para cezası uygulanmasına,

  • İlgili kişi başvurularına Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Veri Sorumlusunun İcra Takibi Başlattığı Müşterilerinin Kişisel Verilerini Herkesin Erişimine Açık Bir İnternet Sitesinde Yayımlaması Nedeniyle İdari Para Cezası

Kurum’un 02/11/2021 tarih ve 2021/1110 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden ihbarda özetle, bir holding bünyesinde faaliyet gösteren veri sorumlusu şirket tarafından icra takibi başlatılan müşterilerinin T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgisinin bir internet adresinde paylaşıldığı, bu işlemi yaparken amaçlarının internet adresini verdikleri şahısların burada yazan yakalama kararı olan araçları bulmaları halinde 155 ihbarı yaparak bu araçların yakalatılmasının ve trafikten men edilmesinin sağlanması olduğu ifade edilerek veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmektedir.

Kurum tarafından yapılan inceleme neticesinde;

  • Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının Kanun’un 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak 200.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Ceza Mahkûmiyeti Bilgisinin Avukat Olan Veri Sorumlusu Tarafından Hukuka Aykırı Olarak Elde Edilmesi ve Mahkeme Dosyasına Sunulmasına İlişkin Kurum Kararı

Kurum’un 02/11/2021 tarihli ve 2021/1111 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

İlgili kişinin şikâyetinde özetle;

  • İlgili kişinin özel nitelikte kişisel verisi olan adli sicil kaydına ilişkin bilgilerin veri sorumlusu avukat tarafından hukuka aykırı olarak ele geçirildiği ve ilgili kişinin onayı ve bilgisi olmadan mahkeme dosyasına sunulduğu,
  • Veri sorumlusunca dosyaya sunulan ilgili kişiye ait adli sicil kaydı bilgilerinin dosyanın esasıyla ilgisinin bulunmadığı, bu bilgilerin dosyanın esası bakımından bir faydasının da bulunmadığı, zira ilgili kişinin dosyada sadece tanıklık yaptığı,
  • Veri sorumluları tarafından kullanılan üçüncü kişilere ait kişisel verilerin amaçla bağlantılı ve ölçülü olması gerektiği, ancak ilgili kişiye ait özel nitelikli kişisel verilerin veri sorumlusunca kullanımının amaçla bağlantılı ve ölçülü olmadığı,
  • Konu hakkında veri sorumlusuna iletilen başvuru dilekçesiyle 6698 sayılı Kanun’un 11’inci ve 13’üncü maddeleri kapsamında bilgi talep edildiği, ancak veri sorumlusu tarafından bu başvuruya verilen cevapta başvuru dilekçesindeki hususlara ilişkin makul ve yeterli cevap verilmediği

hususları bildirilmiş olup; ilgili kişinin özel nitelikli kişisel verilerinin hukuka aykırı olarak ele geçirilmesi, bu verilerin ilgili kişinin onay ve rızası dışında beyan dilekçesinde mahkemeye sunulması suretiyle üçüncü kişilerle paylaşılması ve ilgili kişinin bu durumdan dolayı maddi ve manevi olarak yıpranması sebepleriyle veri sorumlusu hakkında 6698 sayılı Kanun uyarınca idari yaptırım uygulanması talep edilmiştir.

Kurum tarafında yapılan inceleme neticesinde;

  • İlgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alındığında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından ilgili kişi hakkında başlangıçtan itibaren hukuka aykırı nitelikte kişisel veri işleme faaliyetinde bulunulduğu kanaatine ulaşıldığından, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin 6698 sayılı Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Söz konusu verinin paylaşılmasının 5237 sayılı Türk Ceza Kanunu hükümleri kapsamında suç unsuru barındırabileceği dikkate alındığında, bu hususta işlem tesis edilmesini teminen Cumhuriyet Başsavcılığına başvurulabileceği hususunda ilgili kişiye bilgi verilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

  1. Veri Sorumlusu Üniversitenin İlgili Kişinin Kişisel Verilerini İçeren Belgeleri İnternet Sitesinde Yayımlamasına İlişkin Kurum Kararı

Kurum’un 04/11/2021 tarihli ve 2021/1127 sayılı karar özeti 23.05.2022 tarihinde yayımlanmıştır.

Kurum’a intikal eden şikâyeti dilekçesinde özetle, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (“TÜBİTAK”) Başkanlığı tarafından kişisel verileri ihtiva eden 40 sayfalık yazının Yükseköğretim Kurulu (“YÖK”) Başkanlığına bilgi amaçlı gönderildiği, sonrasında ilgili yazının YÖK Başkanlığı Hukuk Müşavirliği tarafından üst yazı ile üniversitelere bilgi amaçlı gönderildiği, “GİZLİ” ibareli söz konusu yazı ve belgelerin veri sorumlusu üniversite tarafından tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta yoluyla gönderildiği, söz konusu belgelerin veri sorumlusu üniversite rektörlüğü tarafından internet sitesinde yayımlandığı, ilgili kişinin konuya ilişkin yaptığı başvuruya istinaden veri sorumlusunun verdiği cevapta bu durumun sehven yapıldığının ifade edildiği belirtilerek “GİZLİ” ibareli ve mevcut durumda dava süreci devam eden konuyla ilgili belgelerin ilgisiz üçüncü kişilerle hem e-posta hem internet sitesi aracılığıyla paylaşılması sebebiyle Kanun kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının Kanun çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında hukuka uygun olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak işlem olmadığına,
  • Belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının üniversiteye ait internet sitesinde paylaşılmasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda Kanun’un 12’nci maddesinin birinci fıkrasına aykırı olarak veri sorumlusu üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr