Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından 18.07.2022 tarihi itibariyle aşağıdaki kararlar yayımlanmıştır.
Güncel Kararlar:
- “İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı” hakkında Kurul’un 05/07/2019 tarihli ve 2019/198 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7348/2019-198)
- “İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında” Kurul’un 16/12/2021 tarihli ve 2021/1258 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7286/2021-1258)
- “Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi hakkında” Kurul’un 16/12/2021 tarihli ve 2021/1262sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7287/2021-1262)
- “Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan
(Bkz. https://kvkk.gov.tr/Icerik/7288/2021-1303)
- “İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması” hakkında Kurul’un 06/01/2022 tarih ve 2022/6 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7291/2022-6)
- “Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi” hakkında Kurul’un 18/01/2022 tarihli ve 2022/31 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7292/2022-31)
- “Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması hakkında” Kurul’un 10/02/2022 tarihli ve 2022/103 sayılı Karar Özeti (Bkz. https://kvkk.gov.tr/Icerik/7293/2022-103)
- “Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi” hakkında Kurul’un 24/02/2022 tarihli ve 2022/172 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7294/2022-172)
- “Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması” hakkında Kurul’un 04/03/2022 tarihli ve 2022/184 sayılı Karar Özeti
(Bkz.https://kvkk.gov.tr/Icerik/7295/2022-184)
- “Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması” hakkında Kurul’un 10/03/2022 tarihli ve 2022/224 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7296/2022-224)
- “Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kurul’un 17/03/2022 tarihli ve 2022/243 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7297/2022-243)
- “İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi” hakkındaki Kurul’un 07/07/2022 tarihli ve 2022/662 sayılı Karar Özeti
(Bkz. https://kvkk.gov.tr/Icerik/7399/2022-662)
İhlal Bildirimleri:
Meklas Otomotiv San. ve Tic. A.Ş.
Veri sorumlusu sıfatını haiz Meklas Otomotiv San. ve Tic. A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle; ihlalin fidye yazılımı saldırısı ile verilerin bir kısmının şifrelenmesi suretiyle 29.06.2022 tarihinde gerçekleştiği ve aynı gün veri sorumlusuna iletilen e-posta ile tespit edildiği, ihlalden etkilenenilgili kişi gruplarının çalışanlar, kullanıcılar, müşteriler ve potansiyel müşteriler olduğu, ihlalden etkilenen kişi ve kayıt sayısının en az 142 olduğu, sunuculara kısıtlı erişim sağlanması nedeniyle ihlalden etkilenen kişi sayısının tam olarak tespit edilemediği, ihlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, özlük, işlem güvenliği, finans, pazarlama, görsel ve işitsel kayıtlar; özel nitelikli kişisel veri kategorilerinin ise sağlık bilgileri, felsefi inanç, din, mezhep bilgileri olduğu, ilgili kişilerin veri ihlali ile ilgili https://www.meklas.com/tr/kvkk/ adresi aracılığıyla bilgi alabileceği belirtilmiştir.
Knauf İnşaat ve Yapı Elemanları San. ve Tic.A.Ş ile Knauf Insulation Izolation San. ve Tic. A.Ş
Veri sorumlusu sıfatını haizKnauf İnşaat ve Yapı Elemanları San. ve Tic. A.Ş ile Knauf Insulation IzolationSan. ve Tic. A.Ş tarafından Kurula iletilen veri ihlal bildirimlerinde özetle; veri sorumlularının hissedarı olan veri işleyen Knauf Gips KG'in Almanya sunucularına 29.06.2022 tarihinde fidye yazılımı saldırısı gerçekleştirildiği, ihlalden etkilenen kişi sayısı henüz tespit edilememiş olmakla birlikte herhangi bir veri ihlalinin yaşanmamış olmasının da muhtemel olduğu; zira sorumlu olunan kişisel verilerin bulunduğu sunucuya erişim sağlanmamış olmasının ihtimal dahilinde olduğu, veri sorumlularının e-posta hizmetinin bir bölümü, websitesi vasıtasıyla yürütülen süreçlerin (pazarlama, iletişim formu süreci, iş başvuru süreci vb) verileri ile iş/staj başvuru/kabul ve özlükdosyası oluşturma, muhasebe ve AGİ, izin/ mesai takip, sözleşme akdetme, mal/hizmet alım ve satış, bayilik başvuru/kabul gibi süreçlerde toplanan veriler veri işleyen sunucularında barındırıldığından ilgili kişilere ilişkin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, mesleki deneyim, finans, pazarlama, görsel ve işitsel kayıtlar, sendika üyeliği, diğer, felsefi inanç, din, mezhep ve diğer inançlar, ceza mahkumiyeti ve güvenlik tedbirleri ve sağlık bilgilerinin veri ihlalinden etkilenmiş olma ihtimali bulunduğu; etkilenen verilere dair detayların teknik çalışma neticesinde tespit edileceği, ihlalden etkilenen ilgili kişi grubu henüz tespit edilememiş olmakla birlikte veri işleyen sunucusunda verisi barındırılan ilgili kişi gruplarının: ticari ilişki kurulan gerçek kişi veya tüzel kişi ilgilisi, ziyaretçi, başvuruda bulunan kişi, çalışan adayı, çalışan adayı referansı, stajyer adayı, stajyer, tedarikçi çalışanı, sözleşme yapılan tüzel kişi yetkilisi, bayi çalışanı, çalışan ailesi olduğu bilgilerine yer verilmiştir.
(Bkz. https://www.kvkk.gov.tr/Icerik/7394/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Knauf-Insaat-ve-Yapi-Elemanlari-San-ve-Tic-A-S-ile-Knauf-Insulation-Izolation-San-ve-Tic-A-S)
Türkiye Elektrik Dağıtım A.Ş.
Veri sorumlusu sıfatını haiz Türkiye Elektrik Dağıtım AŞ tarafından Kurula iletilen veri ihlal bildiriminde özetle; veri sorumlusuna ait bir çalışanın kullanıcı adı ve parolasının belirlenemeyen bir şekilde ele geçirildiği ve o kullanıcı hesabı ile sistemde kayıtlı diğer kullanıcı verilerinin bir e-posta adresine gönderim yolu ile sızdırıldığı, ihlalin, Bakanlık Siber Güvenlik Operasyon Merkezi tarafından Dark Web’de yapılan istihbarat çalışmaları sırasında tespit edildiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve vatandaşlar olduğu, ihlalden etkilenen kişisel verilerin ad, soyad, e-posta ve cep telefonu numarası olduğu, ihlalden etkilenen kişi sayısının 208.000 olduğu bilgilerine yer verilmiştir.
(Bkz. https://www.kvkk.gov.tr/Icerik/7395/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Turkiye-Elektrik-Dagitim-A-S-)
Surtaş Otomotiv ve Servis Hizmetleri Sanayi Ticaret Limited Şirketi
Veri sorumlusu sıfatını haiz olan Surtaş Otomotiv ve Servis Hizmetleri Sanayi Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; ihlalin 16.07.2022 tarihinde gerçekleştiği ve aynı gün tespit edildiği, ihlalin veri sorumlusu çalışanına gönderilen SMS onay kodunun kendisini yetkili olarak tanıtan kişiye telefonla bildirmesi üzerine veri sorumlusunun online işlemler sisteminin ve akabinde çalışanın telefonundaki anlık bir haberleşme uygulamasının kontrolünün ele geçirilmesi suretiyle gerçekleştiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik (isim-soy isim), iletişim (telefon numarası), görsel ve işitsel kayıtlar (profil fotoğrafı) olduğu, ihlalden etkilenen kişi sayısının tahmini 1200 olduğu bilgilerine yer verilmiştir.
(Bkz. https://www.kvkk.gov.tr/Icerik/7403/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Surtas-Otomotiv-ve-Servis-Hizmetleri-Sanayi-Ticaret-Limited-Sirketi)
Kamuoyu Duyuruları:
Kişisel Verileri Koruma Dergisi’nin Yeni Sayısı Yayımlandı.
Habeas Data Kavramı ve Arjantin Örneği; 6698 Sayılı Kişisel VerileriKoruma Kanunu Kapsamında Çalışanlara ve Çalışan Adaylarına Yapılabilecek Testler; Türkçe Hukuk Yazınında Kişisel Verilerin Korunması Üzerine Bir Araştırma (2000-2020); Bir Uyum Aracı Olarak Veri Koruma Etki Analizinin Türk Hukuku Bakımından Değerlendirilmesi başlıklı makaleler yayımlanmıştır. Kişisel Verileri Koruma Dergisi elektronik ortamda herkesin erişimine açık olup, dergipark.org.tr/kvkd bağlantısı üzerinden ulaşılabilmektedir.
Kişisel Verileri Koruma Hukuku Avrupa’daki Güncel Gelişmeler
Güncel Kararlar:
- Yunan Veri Koruma Otoritesi, yüz tanıma yazılımı satan Clearview AI’ya 20 Milyon Euro para cezası verdi. noyb ve Avrupa Birliği (“AB”) dijital haklar organizasyonları tarafından başlatılan şikâyet sürecinde,İtalya, Yunanistan, Fransa, Avusturya ve Birleşik Krallık’ın da bulunduğu beşülkenin veri koruma otoritesine şikayet başvuruları yapıldı. Clearview AI, 10milyardan fazla yüz görüntüsüne sahip en büyük veri tabanına sahip olması ve buveri tabanlarının kullanıldığı yazılımları Amerika Birleşik Devletleri’ne(“ABD”) satması sebebi ile büyük yankı uyandırmıştı. Bu doğrultuda, Kasım 2021’de Fransız Veri Koruma Otoritesi (“CNIL”), Mart 2022’de İtalya Veri Koruma Otoritesi;Mayıs 2022’de İngiliz Veri Koruma Otoritesi Clearview AI’ya para cezasıvermişti. Şu anda gözler Avusturya Veri Koruma Otoritesi’ne çevrildi. Zirasüreç, biyometrik verilerin toplu olarak işlenmesine dayalı bir iş modelininaçıkça yasaklamasına, Clearview AI ve benzeri şirketlerin kapatılmasına sebep olabileceğiiçin oldukça önem arz etmektedir.
(Bkz. https://edpb.europa.eu/news/national-news/2022/hellenic-dpa-fines-clearview-ai-20-million-euros_en)
- CNIL, kısa süreli araç kiralama hizmeti veren UBEEQOInternational aleyhine konum belirlemeverilerinin hukuka aykırı olarak kullanılması sebebi ile 175 bin Euro paracezasına hükmetti. CNIL kararında konum verilerinin toplandığı uygulamaaracılığı ile kullanıcıların yolculuk süresince uğradığı yerlerin detaylı birşekilde ortaya çıkartılmasının özel hayata müdahaleci bir yöntem olduğu vurgulanmıştır. Bu doğrultuda, veriminimizasyonu ilkesinin yerine getirilmediği tespit edilmiştir.
(Bkz. https://www.cnil.fr/en/geolocation-rental-vehicles-ubeeqo-international-fined-175000-euros )
- Danimarka Veri Koruma Otoritesi, bir hukukfirmasının bilgi teknolojileri sistemlerinin siber saldırılara karşı açıkolmasının, veri sorumlusunun uygun veri güvenlik önlemleri alma yükümlülüğüneaykırılık oluşturmasından bahisle yaklaşık 67.000 Euro (DKK 500,000) paracezasına hükmetmiştir.
(Bkz. https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_14-07-2022&mtc=today)
- Fransız Yüksek Mahkemesi, Facebook gibi sosyalmedya platformları üzerinden “serbestçe erişilebilen” verilerin, vergi vegümrük idaresi tarafından, yasa dışı satış veya vergi kaçakçılığı ile mücadeleetmek için toplamasının hukuka aykırı olmadığına karar vermiştir. Her ne kadarFransız vatandaşlarının dijital hak ve özgürlüğü savunuculuğunu yapan siviltoplum kuruluşu uygulamanın orantısız ve özel hayatın gizliliği hakkına aykırıolduğunu dile getirse de, Fransız Yüksek Mahkemesi bu tür verilerin kullanımınadayanan dolandırıcılık tespit programlarından yararlanılmasında hukukaaykırılık olmadığına kanaat getirmiştir.
İhlal, Şikâyet ve İncelemeler:
- GDPR’ı ihlal ettiği iddiası ile Alman birvatandaş tarafından Avrupa Komisyonu’na dava açıldı. Zira Avrupa Komisyonu’nun AmazonWeb hizmetlerini kullanması ve Facebook hesapları kullanılarak Avrupa Komisyonu’nun internet sayfasına girilmesi sebepleri ile Schrems II’ye aykırı bir şekilde ABD’ye veri aktardığı, veri işlemede yeterli şeffaflığın sağlanmadığı ileri sürüldü.
- Hollanda, Fransa, Litvanya ve Polonya VeriKoruma Otoritelerinden oluşan ve Avrupa Veri Koruma Kurulu (“EDPB”) tarafındandesteklenen çalışma grubu çevrimiçi kıyafet satış hizmeti sunan Litvanyaşirketi Vinted UAB’e ait vinted.com’un (Vinted UAB) GDPR’a aykırı bir şekildekişisel veri saklaması ve ilgili kişinin haklarının kullanılmasına imkânsağlamaması sebebi ile incelemelere başladı.
- İtalya Rekabet Otoritesi, GDPR’ın 20’incimaddesinde düzenlenen veri taşınabilirliği hakkının engellenmesi suretiyleGoogle’ın hâkim durumunu kötüye kullandığı iddiası ile soruşturma başlattı.
(Bkz. https://iapp.org/news/a/italian-competition-authority-probes-googles-data-portability-practices/)
- İrlanda Veri Koruma Otoritesi, Facebook’un ABkullanıcılarının verilerini ABD’ye aktarma uygulamasını durdurması, yerel verimerkezi kurması veya sorun çözülünceye kadar faaliyetlerini askıya almasıgerektiği yönünde taslak karar verdi. Taslak karar karşısında Facebook’aitirazlarını sunabilmesi için dört haftalık süre tanındı.
(Bkz. https://www.euronews.com/next/2022/07/07/eu-privacy-ireland-meta)
Yayımlar:
- EDPB, GDPR’ın etkin ve tutarlı bir şekilde uygulanmasını sağlamak için stratejik olarak öneme sahip olan davalarda, verikoruma otoritelerinin işbirliği içerisinde çalışmasına ilişkin açıklamayayımlamıştır. Bir davanın stratejik olarak öneme sahip olup olmadığınıntespiti için uygulanacak kriterler belirlenmiştir. Ayrıca katılım, veri otoritelerinin isteğinebağlı kılınmıştır.
- EDPB ve Avrupa Veri Koruma Denetçisi (“EDPS”)tarafından Avrupa Sağlık Veri Alanı (“European Health Data Space”) Önerisi’ne(“Öneri”) ilişkin ortak görüş metni yayımlandı. Öneri ile Avrupa SağlıkBirliği’nin oluşturulmasının kolaylaştırılması ve AB içerisinde sağlıkverilerinin güvenli bir şekilde aktarımının, kullanımının ve yeniden kullanımınınsağlanması hedeflenmektedir. Kişilere sağlık verileri üzerinde tam kontrolhakkı tanıması sebebi ile olumlu bir adım olarak değerlendirilmektedir. Bununlabirlikte EDPB, elektronik sağlık verilerinin çok büyük miktarlarda olduğu ancakteklifin bazı hususları GDPR ile uyumlu olmadığı ve bu sebeple uygulamanoktasında riskler barındırdığını belirtmiştir.
(Bkz. edpb_edps_jointopinion_202203_europeanhealthdataspace_en.pdf(europa.eu))
- Çocukların çevrim içi ortamda cinsel istismarınıönleme ve bununla mücadele etmeye yönelik Avrupa Komisyonu’nun düzenlemeönerisine ilişkin ortak görüş metni yayımlandı. EDPB, çocukların cinselistismarını, hızlı ve etkili sonuçların alınmasını gerektiren iğrenç bir suçolarak tanımlamakla birlikte mevcut metinde kişi mahremiyeti ve kişiselverilerin korunması noktalarında sıkıntılar barındırabileceği için gerekli veorantılı bir şekilde sınırlandırılarak ele alınması gerektiğini de vurguladı.
(Bkz. edpb_edps_jointopinion_202204_csam_en_0.pdf(europa.eu) )
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.