TÜRKİYE’DEKİ GELİŞMELER
İhlal Bildirimleri
Boyner Büyük Mağazacılık Anonim Şirketi
Veri sorumlusu Boyner Büyük Mağazacılık Anonim Şirketi, Kişisel Verileri Koruma Kurulu’na (“Kurul”), müşterilerine ticari elektronik ileti gönderilmesi ve müşterilerin bilgilendirilmesi amacılarıyla toplu mesaj gönderim hizmetleri için kullandığı SMS Gönderim Paneli üzerinden müşterilerinin verilerine erişildiğinden bahisle ihlal bildiriminde bulunmuştur. Yapılan bildirimde:
- Yapılan kontrollerde, SMS Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir tanesine ait kullanıcı adı ve şifresi kullanılarak ilk kez 28.04.2023 günü saat 18:15’te SMS Gönderim Paneli’ne şüpheli giriş yapıldığı; 06.05.2023 tarihi saat 19:36’ya kadar da çeşitli şüpheli girişler yapıldığının anlaşıldığı; bu girişlerde, herhangi bir hatalı şifre denemesi bulunmadığı görüldüğünden sisteme erişen kişilerin doğru kullanıcı adı ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; ancak bu kullanıcı adı ya da şifre bilgisine nasıl sahip olunduğunun henüz tespit edilemediği,
- SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin iletişim (cep telefonu numarası) ve müşteri işlem verilerine (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıca bu kişilerin içerisinden 534.605 kişiye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden sahte bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı,
- Bu eylemleri gerçekleştiren kişilerce banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan bir uygulamadaki bir hesaba para gönderilmesinin amaçlandığı,
- Bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin herhangi bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha önce gönderilmiş SMS’lerin içerikleri değiştirilerek yeniden SMS gönderildiği;
- İhlalden tahmini olarak 3.055.907 kişinin etkilendiği, belirtilmiştir.
Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret Anonim Şirketi
Veri sorumlusu Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret Anonim Şirketi, Kurul’a siber saldırı sonucunda sunucularının şifrelendiği bildiriminde bulunmuştur. Yapılan bildirimde:
- İhlalin 19.05.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
- Siber saldırıdan ayrıca Trabzonspor Ticari Ürünler ve Turizm İşletmeciliği Ticaret Anonim Şirketi, Trabzonspor Futbol İşletmeciliği Ticaret Anonim Şirketi, Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret Anonim Şirketi, Bordo Mavi Futbol Yatırımlar Ticaret Anonim Şirketi, Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Enerji Elektrik Üretim Anonim Şirketi’nin de etkilendiği,
- Şifrelenen sunucularda tutulan dosyalara erişim sağlanamadığı; bu sebeple ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler olduğu,
- İhlalden kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorilerinin etkilendiği, belirtilmiştir.
DÜNYADAKİ GELİŞMELER
Güncel Kararlar
Fransız Veri Koruma Otoritesi (“CNIL”), Clearview AI’ya 5.200.000 € para cezası vermiştir.
CNIL, Clearview AI’ya kişisel verileri hukuka aykırı olarak topladığı için şirkete 2022 yılında 20.000.000 € para cezası vererek kişisel verilerin işlenmesine ilişkin işlemlerini iki ay içinde mevzuata uygun hale getirmesini emretmiştir. Fakat bu süre içinde Clearview AI’ya, kararauymadığı yani, kişisel verilerin işlenmesine ilişkin işlemlerini mevzuata uygun hale getirmediği için 5.200.000 € para cezası verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-1839 , https://www.cnil.fr/en/facial-recognition-cnil-imposes-penalty-payment-clearview-ai
Hırvat Veri Koruma Otoritesi (“AZOP”), icra dairesine 2.265.000 € para cezası vermiştir.
- AZOP, 2022'de çok sayıda borçlunun kişisel verilerinin icra dairesi tarafından izinsiz olarak işlendiğine dair isimsiz bir şikâyet almış ve şikâyete 77.317 borçlunun kişisel verilerini (isim, doğum tarihi, kişisel kimlik numarası) içeren bir USB bellek konu olmuştur.
- İcra dairesinin gizlilik politikasında kişisel verilerin işlenmesi hakkında yeterli bilgi yer almadığını tespit edilmiştir. Ayrıca, icra dairesi tarafından fazla ödenen fonların iadesi hakkında yasal dayanağı hakkında bilgi sağlanamamıştır. Söz konusu ihlalden 132.652 kişi etkilemiştir.
- İcra dairesinin tüketicilere düzenlenen icra prosedürüne ilişkin olarak veri işleyen ve kontrolör arasında ile bir veri işleme sözleşmesi yapılmadığı tespit edilmiştir. Söz konusu ihlalden 83.896 kişi etkilenmiş olup bu ihlal 2 yıl boyunca devam etmiştir.
- Kontrolörün kişisel verileri korumak için yeterli teknik ve organizasyonel önlemleri uygulamadığını tespit edilmiştir. Bu eksiklikler, kişisel verilerin büyük ölçekte güvensiz bir şekilde işlenmesine ve verilerin izinsiz olarak filtrelenmesine neden olmuştur. Söz konusu ihlal, en az 2019'dan beri devam etmekte olduğu tespit edilmiştir.
- Aynı zamanda kontrolörün, bu sırada AZOP ile yeterince işbirliği yapmaması da ağırlaştırıcı faktör olarak değerlendirilmiştir.
- Kontrolör tespit edilen ihlallerin gelecekteki risklerini önlemek için aldığı ek önlemler hakkında AZOP'u bilgilendirmemiş ve gizlilik politikasını Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlu hale getirmemiştir. Açıklanan nedenlerle, AZOP şimdiye kadar verdiğien yüksek para cezasını olan 2.265.000 € para cezasını icra dairesine vermiştir.
Bkz. https://www.enforcementtracker.com/ETid-1816
İspanyol Veri Koruma Otoritesi (“AEPD”), GSMA LTD'ye 200.000 € para cezası vermiştir.
Bir kişi, bir etkinliğe kaydolmak için özel kategorilerdeki kişisel verilerin alındığını ve bunların kontrolöre aktarılması sebebiyle AEPD'ye şikayette bulunmuştur. AEPD, soruşturması sırasında, kontrolörün söz konusu verilerin işlenmesi için bir veri koruma etki değerlendirmesi gerçekleştirmediğini tespit etmiş ve 200.000 € para cezası vermiştir.
Bkz. https://www.enforcementtracker.com/ETid-1806
İrlanda Veri Koruma Otoritesi (“DPC”), Meta Ireland’a 1.200.000.000 € para cezası vermiştir.
DPC, Meta Ireland’ın Avrupa Birliği (“AB”) ve Avrupa Ekonomik Alanı’nda (“AEA”) topladığı verileri Amerika Birleşik Devletleri (“ABD”)’ye aktardığına ve bu aktarımın GDPR- m. 46’ya aykırı olarak gerçekleştiğine kanaat getirmiştir. Bu doğrultuda, DPC,
- Meta Ireland’ın GDPR-m. 58/2-j uyarınca, Meta Ireland’ın tebliğ tarihinden itibaren ABD’ye veri transferini 5 ay boyunca askıya alınmasına,
- Meta Ireland’a 1.200.000.000€ idari para cezası verilmesine,
- GDPR-m. 58/2-d uyarınca, AB ve AEA’dan topladığı kişisel verilerin depolama faaliyetleri dahil olmak üzere işleme faaliyetlerinin tebliğ tarihinden itibaren 6 ay içerisinde, GDPR hükümlerine uyumlu hale getirilmesi hususunda kontrolör veya veri işleyiciyi talimatlandırılmasına karar vermiştir.
Bkz. https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf
CNIL, Doctissimo’ya 380.000 € para cezası vermiştir.
26 Haziran 2020’de Privacy International Doctissimo isimli sağlık makaleleri, online sağlık quizleri ve tartışma platformu barındıran internet sitesini şikayet etmiştir. Şikayete konu olan hususlar, kontrolör tarafından web sitesinde gerçekleştirilen tüm işleme işlemleri, çerezlerin izinsiz kullanımı, online sağlık quizleriyle veri işlemenin yasal dayanağı, şeffaflık yükümlülüğüne aykırılık ve veri güvenliği ile ilgilidir. Soruşturma sırasında,
- Veri sorumlusunun, kullanıcıların e-posta adresini 24 ay boyunca sakladığı,
- Kullanıcıların üç yıl süreyle etkin olmadıkları durumda verilerin anonim hale getirildiği fakat yinede verilerin dolaylı olarak kişiselleştirmenin hala mümkün olduğu,
- Veri sorumlusunun sağlık verilerini işlemek için kullanıcıların rızalarının alınmadığı,
- İki kuruluşun ortak kontrolör olduklarını düşünmesine rağmen GDPR-m.26 kapsamında kuruluşlar arasında herhangi bir sözleşme olmadığı,
- Veri sorumlusunun http protokolü kullanmaması sebebiyle güvenli olmadığı ve ihlali riski olduğu,
- Reklam çerezlerinin önceden alınmadan ayarlandığı ve kullanıcıların bunları reddetmesinin bir öneminin olmadığı, tespit edilmiş ve Doctissimo’ya 380.000 € para cezası verilmiştir.
Bkz. https://www.cnil.fr/en/health-data-and-use-cookies-doctissimo-fined-eu380000
Rumen Veri Koruma Otoritesi (“ANSPDCP”), Libra Internet Bank SA'ye (“Banka”) 11.000 € para cezası vermiştir.
Bir kişi, bankanın bilgi talebinde bulunanların taleplerini yerine getirmemesi nedeniyle banka hakkında şikâyette bulunmuştur. ANSPDCP, bankanın veri sahibihaklarının kullanılmasını kolaylaştırdığını göstermesi gerektiğine kanaat getirmiş ve bankanın veri sahibine ANSPDCP’ye şikâyette bulunma olasılığı olduğu hakkında ANSPDCP’ye bilgi vermediği de tespit etmiştir.
Bkz. https://www.enforcementtracker.com/ETid-1845
AEPD Marketing Accommodantion Solutions FZ,L.L.C.’ye 75.000 € para cezası vermiştir.
Veri sorumlusu olan Accommodantion Solutions FZ, L.L.C. üzerinden rezervasyon yapmak isteyen bir kişi, check-in yapmak için gereken, form doldurma ve tüm konukların e-postaları, telefon numaraları ve adresleri ile kimlik kartlarının her iki yüzünün fotoğrafları dahil olmak üzere kişisel verilerini sağlaması prosedürlerini gereğinden fazla veri talep edildiği gerekçesiyle AEPD’ye şikayet etmiştir. Bunun neticesinde AEPD, Accommodantion Solutions FZ, L.L.C.’nin kişilerin kimlik kartlarının her iki yüzünün fotoğraflarının talep edilmesinin verilerin işlenme amaçlarıyla ilgili olarak yeterli, yerinde ve gerekli olarak sınırlandırılmadığı yani GDPR-m.5/1-c’ye aykırılık teşkil ettiğine kanaat getirmiştir. Ayrıca, Accommodantion Solutions FZ, L.L.C.’nin GDPR-m.13 kapsamında kontrolörün kimlik ve irtibat bilgilerinin, veri koruma görevlisinin irtibat bilgilerinin, kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağının veri sahibine sağlanmadığını tespit etmiştir. Bu doğrultuda, Accommodantion Solutions FZ, L.L.C.’ye GDPR-m.5/1-c ihlali nedeniyle 25.000 € ve GDPR-m.13 ihlali nedeniyle 50.000 € para cezası vermiştir.
Bkz. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00499/2022&mtc=today
Kamuoyu Duyuruları
Avusturya Veri Koruma Otoritesi (“DSB”), Clearview AI’ın yasaya aykırı olduğuna karar vermiştir.
DSB, ABD merkezli yüz tanıma yazılımı geliştirip satan Clearview AI'nın biyometrik profillerin aranabilir kalıcı bir veri tabanını oluşturmak için web sitelerinden fotoğraflar almakta olduğundan bir kişi kendi biyometrik verilerinin işlemesine izin vermemiş ve kendi verilerinin silinmesini talep etmiştir. Bu karar doğrultusunda Clearview AI artık biyometrik verileri işlemeyerek ve silme talebini yerine getirmesi gerekmiştir. İtalya, İngiltere, Fransa ve Yunanistan'da DSB’nin vermiş olduğu bu karara benzer kararlar vermiştir. Bu kararın ilginçtarafı DSB’nin Clearview AI’ın yasaya aykırı olduğuna karar vermesi fakat herhangi bir ceza vermemesidir.
Bkz. https://noyb.eu/en/clearview-ai-data-use-deemed-illegal-austria-however-no-fine-issued
EDPB, icra hukukunda yüz tanıma teknolojisine ilişkin Rehber yayımlamıştır.
Bu Rehber’de yüz tanıma teknolojilerin yalnızca İcra Hukuku Yönetmeliği'ne tam uyum içinde, gerekli ve orantılı olarak kullanılması gerektiği vurgulanmıştır. Ayrıca, EDPB-EDPS’nin ortak görüşüne göre belirli hallerde yüz tanıma teknolojisinin kullanımının yasaklanması gerektiği de ifade edilmiştir.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.