Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Kasım 2023
Yayınlanma Tarihi: 01/12/2023

TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Vava Cars Turkey Otomotiv Anonim Şirketi

Veri sorumlusu Vava Cars Turkey Otomotiv Anonim Şirketi, bir dahili kullanıcının kimlik bilgilerinin ele geçirilmesi ve uygulama verilerine erişmek için kullanılması sonucunda veri ihlalinin gerçekleştiği yönünde Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirimde bulunmuştur. Yapılan bildirimde:

  • İhlalin 31.10.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
  • İhlalden etkilenen kişi sayısının 32.589 olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler/üyeler ile müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin;
  1. İsim, adres, telefon numarası, e-posta, IBAN, banka bilgileri fiyat, VIN, plaka numarası ve araç bilgileri dahil olmak üzere araba satın alırken sağlanan müşteri verileri
  2. İsim, adres, telefon numarası, e-posta, randevu tarihi, merkez adı ve plaka numarası dahil olmak üzere randevu için sağlanan müşteri verileri
  3. İsim, e-posta, telefon numarası,adres, iletişim adı dahil olmak üzere bayi verileri
  4. Müşteri adı, e-postası, telefon numarası dahil olmak üzere müşteri verileri
  5. İsim, adres, e-posta, şehir, yöneticiadı dahil olmak üzere depo verileri
  6. Başlangıç fiyatı, rezerv fiyat, şimdial fiyatı, toplam maliyet, araç detayları dahil olmak üzere ihale detayları olduğu

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7737/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Vava-Cars-Turkey-Otomotiv-Anonim-Sirketi


Demirkol Otel İşletmeciliği Turizm ve Ticaret Anonim Şirketi

Veri sorumlusu Demirkol Otel İşletmeciliği Turizm ve Ticaret Anonim Şirketi, fidye yazılımı saldırısına maruz kalınması sonucunda veri ihlalinin gerçekleştiği yönünde Kurul’a bildirimde bulunmuştur.  Yapılan bildirimde:

  • İhlalin 04.11.2023 tarihinde gerçekleştiği,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik,iletişim, lokasyon, özlük, hukuki işlem, müşteri işlen, işlem güvenliği, riskyönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile ırk ve etnik köken bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının 5 ve kayıt sayısının 300.000 olarak beyan edildiği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7738/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Demirkol-Otel-Isletmeciligi-Turizm-ve-Tic-AS


BS Bizim Personel Danışmanlık Hizmetleri Anonim Şirketleri

Veri sorumlusu BS Bizim Personel Danışmanlık Hizmetleri Anonim Şirketleri fidye yazılımı saldırısına uğraması sonucu veri ihlalinin gerçekleştiği yönünde Kurul’a bildirimde bulunmuştur.  Yapılan bildirimde:

  • İhlalin 26.10.2023 tarihinde gerçekleştiği,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, özlük, hukuki işlem, işlem güvenliği, sendika üyeliğive ceza mahkumiyeti ve güvenlik tedbirleri olduğu,
  • İhlalden etkilenen ilgili kişigruplarının çalışanlar ile müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişi sayısının henüz bilinmediği, araştırmaların devam ettiği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7743/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-BS-Bizim-Personel-Danismanlik-Hiz-A-S-


Kaymek Kayseri Mesleki Eğitim Kültür Anonim Şirketi


Veri sorumlusu Kaymek Kayseri Mesleki Eğitim Kültür Anonim Şirketi, e-posta üzerinden bir linkin gönderilmesiyle veri ihlalinin gerçekleştiği yönünde Kurul’a bildirimde bulunmuştur. Yapılan bildirimde:

  • İhlalin Bilgi Teknolojileri ve İletişim Kurumu Bilgi Teknolojileri Dairesi Başkanlığı tarafından veri sorumlusuna gönderilen yazı ile tespit edildiği,
  • İhlalden etkilenen ilgili kişi grubunun öğrenciler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük ve özel nitelikli kişisel veri kategorisinden ırk ve etnik köken bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının 7.186 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7744/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Kaymek-Kayseri-Mesleki-Egitim-ve-Kultur-AS

 

Türkiye Ziraat Odaları Birliği

Veri sorumlusu Türkiye Ziraat Odaları Birliği, Ziraat Odaları Bilgi Sistemi’nde (“ZOBİS”) kayıtlı bir kullanıcının hesap bilgileri kullanılarak farklı IP adreslerinden MERNİS web servis sorgulamaları gerçekleştirildiğini tespit ederek veri ihlalinin gerçekleştiği yönünde Kurul’a bildirimde bulunmuştur.  Yapılan bildirimde:

  • İhlalin 20.11.2023 tarihinde meydana geldiği ve 21.11.2023 tarihinde tespit edildiği,
  • Sorgulamada kullanılan TC kimlik numaralarının ZOBİS veri tabanında tutulmayan numaralar olduğu,
  • İhlalden etkilenen ilgili kişi grubunun henüz tespit edilemediği,
  • İhlalden etkilenen verilerin kimlik verileri olduğu,
  • İhlalden etkilenen ilgili kişi sayısının 162.000 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7745/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Turkiye-Ziraat-Odalari-Birligi


Diğer Gelişmeler

Seçilmiş Güncel Gelişmeler 27 ve 28 yayımlanmıştır.

Kurul tarafından yürütülen Toplumsal Farkındalıkve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 27 ve 28” yayımlanmıştır.

Bkz.  https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-27/, https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-28/

 

Kişisel Verileri Koruma Kurumu (“Kurum”)tarafından mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin kamuoyu duyurusu (“Duyuru”) yayımlanmıştır.

Kurum, mağazalarda gerçekleştirilen alışverişe ilişkin kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiğine ilişkin şikayet ve ihbar aldığını belirtmiştir. Söz konusu şikayet ve ihbarlara ilişkin olarak Kurum, Duyuru yayımlamıştır.

Bkz. https://www.kvkk.gov.tr/Icerik/7740/Magazalarda-Alisveris-Sirasinda-Ilgili-Kisilere-SMS-ile-Dogrulama-Kodu-Gonderilmesi-Suretiyle-Kisisel-Verilerin-Islenmesine-Iliskin-Kamuoyu-Duyurusu


DÜNYADAKİ GELİŞMELER

Güncel Kararlar

İspanyol Veri Koruma Otoritesi (“AEPD"), Banco Bilbao Vizcaya Argentaria, S.A’ye 800.000 € para cezası vermiştir.

Veri sorumlusu Banco Bilbao Vizcaya Argentaria, S.A.’nın müşterisi olan ilgili kişi, banka kartını kaybetmesi üzerine kartının işleme kapatılmasını talep etmiştir. Veri sorumlusu bu talebi yerine getirmeyerek üçüncü kişilerin, ilgili kişinin kimlik bilgilerini kullanarak para transfer işlemleri yapmasına ve banka hesabı bilgilerine ulaşabilmesine sebep olmuştur. AEDP, veri sorumlusunun bu durumu önlemekve kişisel verileri korumak için uygun teknik ve idari tedbirleri almadığına kanaat getirerek veri sorumlusuna 800.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2091

 

AEPD, Digi Spain Telecom, S.L.’ye(“Digi Spain”) 200.000 € para cezası vermiştir.

Bir kişi, SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiği için Digi Spain hakkında AEPD'ye şikâyette bulunmuştur. AEPD soruşturması sırasında Digi Spain’in üçüncüşahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasının verildiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların ilgili kişinin banka hesabına erişmesine ve yetkisiz işlemler yapmasına sebep olmuştur. Bu sebeple, AEPD, veri sorumlusuna 200.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2098


AEPD, The BeeLogistics, S.L.'ye 70.000 € para cezası vermiştir.

Veri sorumlusu TheBee Logistics, S.L., bir paketi ilgili kişiden (alıcıdan) başka bir kişiye teslim etmiştir. AEPD veri sorumlusunun ilgili kişinin kişisel verilerini hukuka aykırı bir şekilde yaydığına kanaat getirmiştir. Bu sebeple, AEPD, veri sorumlusuna 70.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2097


İsveç Veri Koruma Otoritesi (“IMY”), Indecap AB'ye 43.000 € para cezası vermiştir.


Veri sorumlusu yönetim yatırım şirketiIndecap AB, sehven çok sayıda müşterisine, diğer müşterilerin kişisel verilerinin bulunduğu bir raporu e-posta vasıtasıyla göndermiştir. Belgede bulunan kişisel verilerin 52.000'den fazla ilgili kişinin sosyal güvenlik numaralarına, e-posta adreslerine, ilgili kişilerin tercih ettiği fonlara ilişkin olduğu tespit edilmiştir. Bu sebeple IMY, veri sorumlusunun kişisel verileri korumak için uygun teknik ve idari tedbirleri almadığına kanaat getirmiş ve veri sorumlusuna 43.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2103


Rumen Veri Koruma Otoritesi(“ANSPDCP”), Rompetrol Downstream SRL'ye 110.000 € para cezası vermiştir.

Veri sorumlusu Rompetrol Downstream SRL veri ihlaline maruz kalmıştır. Veri ihlalinin ise müşterilerinin kişisel verilerine birden çok kez erişilmesine ve kişisel verilerin yetkisiz olarak kullanılmasına ilişkin olduğu belirtilmiştir. Daha sonrasında kimlik kartı numarası, isim, adres, doğum yeri gibi kişisel veriler yetkisiz bir şekilde yayılmıştır. ANSPDCP, veri sorumlusunun kişisel verilere erişimi olan herhangibir kişinin bunları yalnızca veri sorumlusunun talebi üzerine işlemesine ilişkin önlem ile uygun teknik ve idari tedbirleri almadığına kanaat getirmiştir. Bu nedenle, ANSPDCP veri sorumlusuna 110.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2112


Norveç Veri Koruma Otoritesi(“Datatilsynet”) Çalışma ve Sosyal Hizmetler Başkanlığı’na 1.700.000 € para cezası vermiştir.

Datatilsynet, veri sorumlusu Çalışmave Sosyal Hizmetler Başkanlığı’nın kişisel verileri korunmasına ilişkin uyguladığı tedbirlere ve veri sorumlusunun bilgi işlem sistemine ilişkin soruşturma yürütmüştür. Datatilsynet’in tespitlerine göre veri sorumlusu,

  • düzenli denetimleri gerçekleştirmemiştir;
  • kişisel veriye ilişkin verilerin (metadata) kullanım alanını sınırlandırmamıştır;
  • kişisel verileri, kişisel verilerin işlenmesine yönelik ilkelere aykırı bir şekilde işlemiştir;
  • bünyesinde çalışanların eğitimi için yeterli idari önlemleri almamıştır.

Ayrıca veri sorumlusu bünyesindeki yöneticilerin yetersiz bir şekilde denetim yaptığını da tespit etmiştir. Datatilsynet bütün bunları gözeterek veri sorumlusunun uygun teknik ve idari tedbirleri almadığına kanaat getirmiş, veri sorumlusuna 1.700.000 € para cezası vermiştir.

Bkz. https://www.databreaches.net/norwegian-labor-and-welfare-administration-fined-for-data-protection-failures/


Kamuoyu Duyuruları ve Haberler

Amerika Birleşik Devletleri (“ABD”), Güvenilir ve Güvenli Yapay Zeka Üzerine Başkanlık Kararnamesi yayınlamıştır.

ABD, vatandaşlarını yapay zeka sistemlerinin oluşturacağı potansiyel risklerden korumak için yayımladığı Başkanlık Kararnamesi’nin ABD’de şimdiye kadar yapay zekaya karşı alınmış en kapsamlı koruma oluşturan düzenleme olduğu belirtilmektedir.

Başkanlık Kararnamesi ile:

  • Güçlü yapay zeka sistemlerini geliştirenlerin güvenlik testi sonuçlarını ve diğer önemli bilgileri ABD hükümetiyle paylaşmaları,
  • Yapay zeka sistemlerinin güvenli olduğundan emin olmak için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ile birlikte standartlar belirlenmesi, araçlar ve testler geliştirilmesi,
  • ABD vatandaşlarını yapay zeka destekli dolandırıcılıktan ve aldatmadan korumak için yapay zeka tarafından üretilen içeriği algılama ve resmi / içeriği doğrulamak için standartların ve uygulamaların belirlenmesi,
  • ABD vatandaşlarının mahremiyetini korumakiçin parlamentoyu, veri koruma yasaları oluşturmaya teşvik etmenin

gerektiği belirtilmiştir.

Bkz. https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/


Veri Yasası (Data Act) Avrupa Birliği’nde (“AB”) kabul edilmiştir.

Verinin adil erişimi ve kullanımına ilişkin düzenlemeler içeren Veri Yasası, AB’de kabul edilmiştir.

Veri Yasası’nda:

Dijital ortamda veriden elde edilen değerin paylaşımına adil bir yaklaşım sağlama,

  • Rekabetçi bir veri pazarını teşvik etme,
  • Veri odaklı yenilik için fırsatlar yaratma,
  • Veriyi herkes için daha erişilebilir hale getirme

hususları öne çıkarılmıştır.

Veri Yasası ile akıllı ev aletleri ve akıllı endüstriyel makineler gibi pek çok teknolojik ürün sayesinde üreticilerin ve hizmet sağlayıcıların veri toplayabileceği ve toplanan bu verilere kullanıcılar tarafından da erişim imkânı tanınacağı belirtilmiştir.

Bkz. https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/


İktisadi İşbirliği ve Gelişme Teşkilatı (“OECD”), yapay zeka sistemlerini tanımlamıştır.

OECD, güvenilir yapay zeka politikalarına yönelik tavsiye kararında yapay zeka sistemini tanımlamıştır. Buna göre OECD’ye göre yapay zeka sistemi, açıkveya örtülü hedefler için, aldığı girdilerden fiziksel veya sanal ortamlarıetkileyebilecek tahminlerin, içeriklerin, tavsiyelerin veya kararların nasılüretileceğini ortaya koyan makine tabanlı sistemler olarak belirtilmiştir.  

Bkz. https://legalinstruments.oecd.org/en/instruments/oecd-legal-0449#mainText


noyb, Meta’nın yeni politikası hakkında AvusturyaVeri Koruma Otoritesi’ne şikâyette bulunmuştur.

noyb’un şikayetinin sebepleri arasında Meta’nın:

  • Avrupa’da yaşayan ilgili kişilerin, kişiselleştirilmiş reklamları göstermek amacıyla takip edilmemesi için yıllık 251 €’ya varan ücreti ödemesini zorunlu kılması,
  • Avrupa’daki ilgili kişilerin kişisel verilerinin korunması için “mahremiyetbedeli” adı altında ücret ödemek mecburiyetinde bırakması

sayılmıştır. noyb bu uygulamanın devam etmesi halinde, ilgili kişilerin verigizliliğini sağlamak için yıllık yaklaşık 8.815 € değerinde ücret ödeyeceğini öngörmüştür.

Bkz. https://noyb.eu/en/noyb-files-gdpr-complaint-against-meta-over-pay-or-okay


İrlanda Veri Koruma Otoritesine (“DPC”), YouTube hakkında şikayette bulunulmuştur.

DPC’ye veri sorumlusu Youtube’un Ekim 2023’ten beri kullanıma sunduğureklam engelleyici tespit sistemi hakkında ilgili kişilerden açık rıza alınmadığınailişkin şikayette bulunulmuştur. Şikayette bu durumun, E-Gizlilik Direktifi’ne aykırılık oluşturacağı da belirtilmiştir. Şikayette:

  • online hizmet sağlayıcıların ilgili kişilerin sistem yapılandırması hakkında bilgi edinmek için açık rızalarının alınması gerektiği,
  • YouTube’un JavaScript tabanlı algılama komut dosyaları kullanımına ilişkin olarak açık rızanın alınması gerektiği,

belirtilmiştir. Veri sorumlusunun bu hususların hiçbirine uymadığı ifade edilmiştir.

Bkz. https://www.wired.com/story/youtube-ad-blocker-detection-eu-privacy-law/

Yasal Uyarı | Çerez Politikası | Kullanım Koşulları | Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni | © 2024 DL Avukatlık Bürosu