| TÜRKİYE'DEKİ GELİŞMELER |
| İhlal Bildirimleri |
| Yamaha Motor Europe N.V. Veri sorumlusu Yamaha Motor Europe N.V. , Müşteri İlişkileri Yönetim (“ CRM”) sistemindeki hatalı yapılandırmanın bağımsız bir siber güvenlik araştırmacısı tarafından bildirilmesi üzerine gerçekleşen ihlali Kişisel Verileri Koruma Kurulu’na (“ Kurul”) bildirmiştir. Yapılan bildirimde: - İhlal kapsamında; CRM sisteminde kayıtlı herhangi bir kullanıcının, başka kullanıcının kişisel verilerine erişebildiğinin tespit edildiği, - İhlalin 26.03.2024 tarihinde tespit edildiği, - İhlalin 2019 yılında başlamış olabileceği, - CRM sistemine 2021 yılı ve öncesinde eklenen tüm müşteri kayıtlarının ihlalden etkilenmiş olabileceği, - Türkiye’den 35.988 ilgili kişinin ihlalden etkilenmiş olabileceği, - İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu, - İhlalden etkilenen kişisel verilerin; ad-soyad, cinsiyet, e-posta adresi, (dahili) müşteri numarası verileri ile az sayıda ilgili kişi için ise tüm bunlara ek olarak posta adresi ve telefon numarası olduğu belirtilmiştir. Bkz. https://www.kvkk.gov.tr/Icerik/7850/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yamaha-Motor-Europe-N-V- |
| TTZ Pazarlama Plastik San. Ltd. Şti. Veri sorumlusu TTZ Pazarlama Plastik San. Ltd. Şti., verilerin şifrelenerek fidye talep edilen bir siber saldırı sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde: - İhlalin 13.04.2024 tarihinde başladığı ancak 19.04.2024 tarihinde tespit edildiği, - İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, - İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, - İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, - İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu, - İhlal hakkında bilgi almak isteyen ilgili kişilerin e-posta aracılığıyla bilgi alabileceği belirtilmiştir. |
| Titiz Plastik Dış Tic. ve San. Ltd. Şti. Veri sorumlusu Titiz Plastik Dış Tic. ve San. Ltd. Şti. , verilerin şifrelenerek fidye talep edilen bir siber saldırı sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde: - İhlalin 13.04.2024 tarihinde başladığı ancak 14.04.2024 tarihinde tespit edildiği, - İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteriişlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, - İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, - İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, - İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu, - İhlal hakkında bilgi almak isteyen ilgili kişilerin e-posta aracılığıyla bilgi alabileceği belirtilmiştir. |
| SporPark Ayakkabı Teks. ve Spor Malz. Tic.Ltd. Şti. Veri sorumlusu SporPark Ayakkabı Teks. ve Spor Malz. Tic. Ltd. Şti. , sistemlerinde kayıtlı bir kullanıcı adı ve şifresinin elde edilmesi suretiyle diğer kullanıcılara ait verilerin ele geçirilmesi sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde: - İhlalin 01.11.2023 tarihinde başladığı ancak 21.04.2024 tarihinde tespit edildiği, - İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, lokasyon ve müşteri işlem verileri olduğu, - İhlalden etkilenen ilgili kişi sayısının tespit edilemediği, - İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, üyeler ve müşteriler olduğu, - İhlal hakkında bilgi almak isteyen ilgili kişilerin çağrı merkezi aracılığıyla bilgi alabileceği belirtilmiştir. |
| Modaselvim Tekstil San. ve Tic. A.Ş. Veri sorumlusu Modaselvim Tekstil San. ve Tic. A.Ş., bünyesindeki çalışmakta olan bir yetkilinin kullanıcı bilgilerinin yetkisiz üçüncü kişiler tarafından ele geçirilmesi sonucunda sistemlere yetkisiz erişim sağlanması sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde: - İhlalden 20.04.2024 tarihinde şantaj e-postası ile haberdar olduklar ancak ihlalin başlangıç tarihinin tespit edilemediği, - İhlalden etkilenen veri kategorilerinin; kimlik, iletişim verileri olduğu, - İhlalden etkilenen ilgili kişi sayısı henüz tespit edilemese de çalışmalara devam edildiği, - İhlalden etkilenen ilgili kişi gruplarının kullanıcılar, aboneler/üyeler ve müşteriler olduğu, - İhlal hakkında bilgi almak isteyen ilgili kişilerin çağrı merkezi aracılığıyla bilgi alabileceği belirtilmiştir. |
| Diğer Gelişmeler |
| Reklam Kurulu tarafından internet sitesi üyelik süreçleri hakkında kararlar yayımlanmıştır. Reklam Kurulu’nun 12.03.2024 tarihli ve 343 sayılı toplantısı ile yayımlanan basın bülteni 133 tane karar içermektedir. Bu kararlarda; bilişim ve teknoloji hukuku bakımından önem taşıyan hususlar bulunmaktadır. Önemli hususlar aşağıda özetlenmiştir: - Tüketiciye ürün ve hizmet satışı sonrası, platform üzerinde iz bırakmama imkânının tanınması gerektiği/“Üye Olmadan DevamEt” seçeneğinin sunulması gerektiği, - Üye olmadan devam edeceklere Üyelik Sözleşmesi,Üye Aydınlatma ve Üye Açık Rıza Metinleri vb. üyelere özgü dokümanların sunulmaması gerektiği, - Üye olmadan devam edenlerin battaniye açık rıza ile davranışsal/hedefli reklamcılığa maruz bırakılmaması, bir başka deyişle gerekmesi halinde açık rıza alınması gerektiği, - Ticari uygulamaların, tüketicilerin karar verme veya seçim yapma iradesini olumsuz yönde etkilememesi ve tüketicilerin açıkça bilgilendirilmesi, bir başka deyişle dark pattern kullanılmaması gerektiği, - Herhangi bir açık rızanın sözleşme içerisine gizlenmemesi gerektiği, - Ticari elektronik ileti açık rızasının herhangi bir sözleşme içerisine gizlenmemesi gerektiği, - Herhangi bir sözleşme içerisine “…. konusunda verilerinizin işlenmesine açık rıza vermektesiniz/çerez politikamızı onaylıyorsunuz” minvalinde aydınlatma ve açık rıza unsurlarını sağlamayan ifadelerin yerleştirilmemesi gerektiği, - Tüketicilerin karar verme veya seçim yapma iradesinin olumsuz etkilenmemesi gerektiği, - Tüketicilerin açıkça bilgilendirilmesi gerektiği, - “Üye Olmak İstiyorum” vb. ifadelerin opt-out olarak gelmemesi, tüketicilerin üye olmaya zorlanmaması ve manipüle edilmemesi gerektiği, - Üye olurken cinsiyet bilgisinin girilmesinin 6502 sayılı Tüketicinin Korunması Hakkında Kanun’a aykırı olduğu, - Üye olmak kadar üyelikten çıkmanında benzer bir kolaylıkta olması gerektiği belirtilmiş. |
| DÜNYADAKİ GELİŞMELER |
| Güncel Kararlar |
| Yunanistan Veri Koruma Otoritesi tarafından uygun bir veri koruma etki değerlendirmesi yürütmeyen Yunanistan Göç ve Sığınma Bakanlığına 175.000 € para cezası verilmiştir. Birleşmiş Milletler’in Yunanistan Mültecileri Yüksek Komiserliği, veri sorumlusu YunanistanGöç ve Sığınma Bakanlığı’nın kullandığı gözetleme sistemleri ile hakkındaki mektubu Yunanistan Veri Koruma Otoritesi’ne iletilmiştir. Bunun üzerine; Yunanistan Veri Koruma Otoritesi tarafından Bakanlık tarafından yürütülen Kentauros Programı’nın kamera ve yapay zeka aracılığıyla davranışsal analitik gerçekleştiren bir dijital güvenlik sistemi içerdiğini, Centaur Programı’nın CCTV ve drone kullanımı içerdiği ve Uperia Programı’nın radyo frekansı ile tanımlama (RFID) ile parmak izi teknolojisini kullanarak konaklama yapılarına giriş ve çıkışı kontrol etmeyi amaçladığı belirtilmiştir. Tüm bu bilgiler doğrultusunda; Yunanistan Veri Koruma Otoritesi, söz konusu programların mahremiyet ve veri koruma bakımından değerlendirilmesi amacıyla Bakanlık aleyhine re’sen bir soruşturma başlatmıştır. Bu kapsamda; söz konusu teknolojilerin kullanımından önce kapsamlı bir veri koruma etki değerlendirmesi yapılmamasının AB Genel Veri Koruma Tüzüğü’nün (“ GDPR”) 25. (Tasarım ve Varsayılan Olarak Mahremiyet)ve 35. (Veri Koruma Etki Analizi) maddelerinin ihlali anlamına geldiğini tespit ederek Bakanlık aleyhine 175.000 € para cezası ve söz konusu uyumsuzlukların üç ay içerisinde giderilmesi için talimatlandırma verilmiştir. |
| İspanya Veri Koruma Otoritesi tarafından CaixaBank Payments & Consumer EFC, EP, S.A.U.,’ya (“CaixaBank”) ilgili kişilere sunulan formdaki verileri uygun hukuki sebep olmaksızın Sosyal Güvenlik Genel Hazinesi'ne aktarması sebebiyle 2.000.000 € para cezası verilmiştir. İspanya Veri Koruma Otoritesi, farklı bir isme düzenlenmiş telefon faturasını teslim alan kişinin şikayeti üzerine Vodafone Espana S.A.U. hakkında soruşturma başlatmıştır. Soruşturma neticesinde, veri sorumlusunun doğrulama yapmaksızın iletişim bilgisi kaydettiği tespit edilmiştir. Bu sebeple, İspanya Veri Koruma Otoritesi tarafından veri sorumlusu aleyhine 140.000 € para cezası verilmişse de veri sorumlusunun gönüllü olarak ödemesi nedeniyle ceza, 112.000 € olarak düşürülmüştür. |
| İspanya Veri Koruma Otoritesi tarafından VodafoneEspana S.A.U.'ya farklı bir ilgili kişi adına düzenlenmiş telefon faturasınınyanlış ilgili kişiye iletilmesi sebebiyle 140.000 € para cezası verilmiştir. |
| İspanya Veri Koruma Otoritesi tarafından Prestamer S.L.’ye e-posta gönderimi sırasında BCC kullanılmaması sebebiyle 3.000€ para cezası verilmiştir. |
| Çekya Veri Koruma Otoritesi tarafından bir antivirüs yazılım programı şirketi olan Avast Software S.R.O. (“Avast”) aleyhine 13.900.000 € para cezası verilmiştir. Veri sorumlusu, antivirüs yazılımının yaklaşık 100 milyon kullanıcısının kişisel verilerini ABD'li şirket Jumpshot'a açıklamıştır. Veri sorumlusu Avast, benzersiz bir kimlikle bağlantılı olarak kullanıcılara takma ad vermişse de kullanıcılarının internet arama geçmişi de dahil olmak üzere birçok verisini Jumpshot'a uygun tedbirleri almadan aktarmıştır. Belirtmek gerekir ki, Jumpshot şirketi kendisini, tüketicilerin çevrimiçi davranışlarına ilişkin içgörü sağlayan ve atomik düzeyde kullanıcı yolculuğu takibi sunan bir şirket olarak tanıtmaktadır. Avast, aktarımı gerçekleşen söz konusu verilerin yalnızca istatiksel amaçlar için anonimleştirilerek aktarıldığını beyan etse de aslında durum bu şekilde gerçekleşmemiş, Avast kullanıcılarına verilerin anonimleştirildiği hakkında yanlış bilgi vermiştir. Bunun üzerine; Çekya Veri Koruma Otoritesi, Avast tarafından kişisel verilerin izinsiz işlenmesi nedeniyle Avast aleyhine 13.900.000 € para cezasına karar vermiştir. |
| Kamuoyu Duyuruları ve Haberler |
| Avrupa Parlamentosu Araştırma Servisi tarafından, yapay zekâ ve siber güvenlik hakkında bir çalışma yayımlanmıştır. - Yapay zekanın siber güvenliği artırmak için kullanılması, - Yapay zekanın yeni tehdit oluşturma potansiyeli. |
| Avrupa Parlamentosu Araştırma Servisi tarafından, çocukları sanal evrenlerden (metaverse) korumak üzere bir çalışma yayımlanmıştır. |
| Birleşik Krallık Veri Koruma Otoritesi (“ICO”) tarafından çevrimiçi ortamda çocukların korunması hakkında yazı yayımlanmıştır. - Yabancılar tarafından uygunsuz bir şekilde tanımlanmak veya hedef alınmak, - Zararlı iletişimler.
Yukarıdaki sakıncalar sebebiyle Age Appropriate Design Code’un 2024-2025 senesinde aşağıdaki alanlara yoğunlaşacağı vurgulanmıştır: - Varsayılan gizlilik ve coğrafi konum ayarları, - 13 yaşın altındaki çocukların bilgilerinin kullanılması, - Hedefli reklamlar için çocukların profilini çıkarmak, - Tavsiye sistemlerinde çocukların bilgilerinin kullanılması. |
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.