TÜRKİYE’DEKİ GELİŞMELER
İhlal Bildirimleri
Reon Sağlık Hizmetleri İnş. Tur. San.ve Tic. A.Ş. (Özel Aktif Hastanesi)
Veri sorumlusu Reon Sağlık Hizmetleri İnş. Tur. San. ve Tic. A.Ş., personel ve muhasebe işlemleri için kullanılan bir programın şubeye kurulumu sırasında kısa süreli port açıklığı sebebi ile siber saldırıya uğramıştır. Bu doğrultuda, veri sorumlusu, veri ihlalini Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde:
- Siber saldırı sonucunda program içerisinde yer alan verilerin silindiği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,
- Çalışanlara ait ad-soyad, T.C.kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grubu verilerinin; hastalara ait fatura bilgileri içerisinde yer alan ad-soyad bilgilerinin etkilendiği,
- Programın 2012 yılından beri kullanıldığı,
- Programın içerisinde tahmini olarak 2.000.000 kayıt bulunduğu
belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7523/Kamuoyu-Duyurusu-Veri-
Ihlali-Bildirimi-Reon-Saglik-Hizmetleri-Ins-Tur-San-ve-Tic-A-S-Ozel-Aktif-Hastanesi-
Okko Sağlık Turizm İnşaat San. ve Tic.A.Ş.
Veri sorumlusu Okko Sağlık Turizm İnşaat San. ve Tic. A.Ş., personel ve muhasebe işlemleri için kullanılan bir programın şubeye kurulumu sırasında kısa süreli port açıklığı sebebi ilesiber saldırıya uğramıştır. Bu doğrultuda, veri sorumlusu, veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde:
- Siber saldırı sonucunda program içerisinde yer alan verilerin silindiği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,
- Çalışanlara ait ad-soyad, T.C. kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grubu verilerinin; hastalara ait fatura bilgileri içerisinde yer alan ad-soyad bilgilerinin etkilendiği,
- Programın 2012 yılından beri kullanıldığı,
- Programın içerisinde tahmini olarak 10.000 kayıt bulunduğu
belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7522/Kamuoyu-Duyurusu-Veri-
Ihlali-Bildirimi-Okko-Saglik-Turizm-Insaat-San-ve-Tic-A-S-
Diğer Gelişmeler
Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında 2023 yılı için belirlenen idari para cezası tutarları yayımlandı.
KVKK’nın 18. maddesinde düzenlenen idaripara cezalarının 2023 yılı için belirlenen tutarları yayımlandı.
Bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fcbcf082-1c32-4e53-af98-b90ac7aa298e.pdf
Seçilmiş Güncel Gelişmeler 13 yayımlandı.
Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 13” yayımlandı.
Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-13/
AVRUPA BİRLİĞİ’NDEKİ GELİŞMELER
Güncel Kararlar
İrlanda Veri Koruma Otoritesi (“DPC”), Meta’nın Instagram ve Facebook kullanıcı verilerini reklamcılık amaçları doğrultusunda kullanılmasını yasakladı ve Meta’ya 390 milyon € idari para cezası uygulanmasına karar verdi.
Viyana’da kurulu kar amacı gütmeyen ve Avrupa Birliği’nde kişisel verilerin korunması amacıyla çalışmalar yürüten noyb, 25 Mayıs 2018 yılında Avrupa Veri Koruma Tüzüğü’nü (“GDPR”) ihlal etmesi sebebi ile Facebook, Instagram ve WhatsApp hakkında şikayette bulunmuştu. Ocak 2023 itibariyle 4,5 yıllık sürenin sonuna gelindi ve şikâyetler sonuçlandı.[1] DPC, Meta’nın davranışsal reklamcılık amacıyla kişisel verilerin işlemesinde hukuka uygun veri işleme faaliyeti gerçekleştirmediğine karar verdi. Ancak kararda tayin edilen idari para cezası tutarı, noyb tarafından yeterli olmadığı gerekçesiyle eleştirildi ve DPC’nin Meta’nın mevcut gelirinin tespit edilmesinde DPC’nin yetersiz kaldığı ifade edildi.
Bkz. https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland; https://noyb.eu/en/irish-data-protection-authority-gives-eu-397-billion-present-meta
DPC, WhatsApp’ın GDPR kapsamındaki birçok yükümlülüğünü yerine getirmemesi sebebi ile 5.5. milyon € idari para cezası uyguladı.
WhatsApp İrlanda GDPR’ın yürürlüğe girmesinin akabinde, kullanıcılarının WhatsApp hizmetinden faydalanmaya devam etmesini istemesi halinde, güncellenmiş Hizmet Şartlarını kabul etmelerini istemişti. Hizmet Şartları, reklamcılık hüküm ve koşullarına, güvenlik ve hizmetin iyileştirilmesinin sağlanmasına içermekteydi. Hizmet Şartlarını kabul etmeyen kullanıcılar, WhatsApp hizmetinden faydalanamayacaktı. WhatsApp İrlanda veri işleme faaliyetini sözleşmenin ifasına dayandırmaktaydı. Yapılan inceleme neticesinde DPC, veri sorumlusu olarak WhatsApp İrlanda’nın ilgili kişileri GDPR’ya uygun bir şekilde bilgilendirme ve veri işlemede şeffaflığın sağlanmasına ilişkin yükümlülüklerini yerine getirmediği ve açık rıza dışındaki başka veri işleme şartlarına dayanmasına rağmen açık rıza alması sebeplerine dayanarak WhatsApp’e 5.5 milyon € idari para cezası uyguladı. DPC’nin bukararı, noyb tarafından oldukça yoğun bir şekilde eleştiriye maruz kaldı. noyb, kişiselleştirilmiş reklam uygulamalarının da dâhil edildiği güvenlik ve hizmetin iyileştirilmesinin sağlanmasına ilişkin maddenin hüküm ve koşullara eklenmesinin ve bu durumun da sözleşmenin ifası sebebine dayandırılmasının GDPR’nin baypas edilmesine yol açtığını vurguladı. Öte yandan, 47 tane İlgili Denetleyici Otorite (“Concerned Supervisory Authorities” “CSA”) arasından 6’sı, kişiselleştirilmiş reklamların sunulması gerekçesiyle sözleşmenin ifasına dayanmasına izin verilmemesi gerektiği görüşünü benimsedi. DPC’nin verdiği bu kararın WhatsApp lehine yorumlanarak ele alındığı ve taslakkarar metin ile örtüşmediği belirtildi.
Bkz. https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-inquiry-whatsapp,https://noyb.eu/en/just-eu-55-million-whatsapp-dpc-finally-gives-finger-edpb
Fransız Veri Koruma Otoritesi (“CNIL”), akıllı telefonlar için video oyunları yayınlayan VOODOO’ya, kullanıcı izni olmaksızın reklam yapma amacıyla teknik bir tanımlayıcı kullanması sebebi ile 3 Milyon € idari para cezası uygulanmasına karar verdi.
iOS işletim sistemini kullanan Apple üzerinden video oyununun indirilmesi halinde “Satıcılar için Tanımlayıcı”(“IDFV”) teknik tanımlayıcısı aracılığı ile kullanıcı hareketleri izlenebilmektedir. Bir oyun uygulaması açılırken kullanıcıların akıllı telefonlarına indirdikleri uygulamalar üzerindeki hareketlerinin takibi amacıyla App Tracking Transparency (”ATT”) penceresini kullanıcılara sunarak veri işlenebilmesi için rızalarını alınmaktadır. CNIL tarafından yapılan inceleme neticesinde, VOODOO, kullanıcının ATT üzerine rıza vermemesi halinde reklam amacıyla izlemenin devre dışı bırakılacağına ilişkin kullanıcıları bilgilendirse de IDFV teknik tanımlayıcının VOODOO tarafından kullanılmaya devam edildiği anlaşıldı. Bu sebeple, CNIL, ilgili kişinin açık rıza olmaksızın reklam amacıyla IDFV teknik tanımlayıcı aracılığı ile kişisel veri işlemenin Fransız Veri Koruma Kanunu’nun ihlal ettiğine karar verdi ve VOODOO’ya 3 milyon€ idari para cezası uyguladı.
Bkz. https://www.cnil.fr/fr/mobile-games-cnil-fined-voodoo-3-million-euros
CNIL tarafından hukuka aykırı çerez kullanımı sebebi ile TikTok’a 5 milyon €
idari para cezası verildi.
CNIL tarafından yapılan incelemeneticesinde, i) kullanıcıların çerez kullanımını reddetmesine, kabuledilmesinde olduğu kadar kolay bir kullanım alanı sağlanmaması ii) çerez türlerinin amaçları doğrultusunda kullanıcılara yeterli bilgilendirme yapılmaması sebepleri doğrultusunda TikTok’un Fransız Veri Koruma Kanunu’nu ihlal ettiği tespit edildi. Kararda, çerez kullanımının kabul edilmesi tek bir tıkla mümkün iken tüm çerezlerin engellenmesi için birkaç tıklamanın gerekli olmasının kullanıcıları “tümünü kabul et” butonunu tıklamaya teşvik ettiği belirtildi. CNIL, söz konusu bu uygulamanın ilgili kişinin açık rıza verme özgürlüğünü ihlal edilmesine yol açması ve ilgili kişinin çerezlerin kullanım amaçları konusunda eksiksiz bir şekilde bilgilendirilmemesi sebepleri ileTikTok’a 5 milyon € idari para cezası verdi.
Bkz. https://www.cnil.fr/en/cookies-cnil-fines-tiktok-5-million-euros
Avrupa Veri Koruma Kurulu (“EDPB”), Çerez Bantlarına İlişkin Çalışma Grubu’nun hazırladığı taslak raporu yayımladı.
2021 yılından itibaren GDPR’a aykırı şekilde çerez kullanımı gerçekleştirilmesi sebebi ile noyb tarafından700’den fazla şikâyette bulunulmuştur. noyb’den gelen şikâyetleri ele almak amacıyla Çerez Bantlarına İlişkin Çalışma Grubu tarafından bir rapor oluşturuldu. Raporda, e-Gizlilik Direktifi ve GDPR düzenlemeleri kapsamında veri koruma otoritelerinin ortak görüşü yansıtılmıştır. noyb, taslak raporda bazı eksiklikler olsa da raporun uygulanması halinde veri koruma düzenlemelerinin minimum gereksinimleri karşılayabileceği görüşündedir.
Bkz. https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf; https://noyb.eu/en/data-protection-authorities-support-noybs-call-fair-yesno-cookie-banners
EDPB, 2022 Koordineli Uygulama Eylemi kapsamında kamu sektörü tarafından bulut tabanlı hizmetlerin kullanımınai lişkin rapor yayımlandı.
Ekim 2020’de EDPB, veri koruma denetçileri arasında uygulama ve işbirliğini kolaylaştırma amacıyla Koordineli Uygulama Çerçevesi oluşturulmuştu. 2021 yılında ise, 2022 yılı için kamu sektöründe bulut kullanımına ilişkin çalışma yürütülmesine karar verilmişti. Ocak2023 itibariyle Avrupa Ekonomik Bölgesi’nde yer alan 22 tane veri koruma denetçisinin çalışması ile rapor yayımlandı.
CNIL, öğrenme veri tabanı üzerinde çalışılması amacıyla Yapay Zekâ Departmanı (“AID”) kurdu.
CNIL, yapay zekâya ilişkin Avrupa düzenlemelerin uygulanabilmesi amacıyla yapay zekâ sistemleri üzerindekiuzmanlığın geliştirilmesi ve mahremiyet risklerinin anlaşılması amacıyla içerisinde mühendislerin ve hukukçuların da yer aldığı AID’yi kurdu. Önümüzdeki haftalarda, AID’nin öğrenme veri tabanları hususunda ilk tavsiyesini vermesi bekleniyor.
Avrupa İnsan HaklarıMahkemesi (“AİHM”), yeni teknolojiler kapsamında verilen karar özetlerinin derlendiği bilgi notunun güncellenmiş versiyonunu yayımladı.
AİHM, belirli aralıklarla yeni teknolojiler kapsamında verilen karar özetlerini derleyerek kamuoyu ile paylaşmaktadır. Bu güncellenmiş versiyonda ise, elektronik veri, e-posta, GPS, internet, mobil telefon, çevrimiçi taciz, radyo iletişim, uydu, telekomünikasyon, gizli kamera, video gözetim gibi konu başlıkları özelinde verilen kararları derledi.
Bkz. https://www.echr.coe.int/Documents/FS_New_technologies_ENG.pdf
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.