Adnan Özen İnşaat Taah. Enerji Turizm Tic. ve San. A.Ş.

Veri sorumlusu Adnan Özen İnşaat Taah. Enerji Turizm Tic. ve San. A.Ş., araç kiralama rezervasyon internet sitesi olan https://dokay.com.tr adresinde yer alan bazı kişisel verilerin (“Kişisel Veri”veya “Veri”) Uygulama Programlama Arayüzü (API) üzerinden sızıntı suretiyle gerçekleşen veri ihlalini (“Veri İhlal” veya “İhlal”) Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde;

• İhlalin 26.06.2024 tarihinde şirket personeline siber saldırgan tarafından gönderilen e-posta ile tespit edildiği,
• İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
• İhlalden etkilenen kişisel veri kategorilerinin kimlik (ad-soyad, T.C. kimlik numarası), iletişim (adres, telefon numarası, e-posta adresi) ve müşteri işlem (rezervasyon tarihi, kiralama süresi, kiralama bedeli) bilgileri olduğu,
• İhlalden etkilenen kişi sayısının 185 olduğu, ancak veri sorumlusu veri tabanında yaklaşık 12.000 müşteriye ait kişisel veri bulunduğu,
• İhlale ilişkin teknik incelemenin devam ettiği belirtilmiştir.

Creditwest Faktoring A.Ş.

Veri sorumlusu Creditwest Faktoring A.Ş., sunucu sistemlerine siber saldırı düzenlenmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

• İhlale ilişkin teknik analiz sürecinin devam ettiği,
• İhlalin SOC izleme uyarısı alınması sonucu tespit edildiği,
• İhlalden etkilenen kişi sayısının henüz tespit edilemediği,
• İhlalin 27.06.2024 tarihinde başladığı ve yin eaynı tarihte sona erdiği,
• İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem bilgileri olduğu,
• İhlalden etkilenen kişi grubunun çalışanlar ve müşteriler olduğu
• İlgili kişilerin internet sitesi, telefon vee-posta yoluyla bilgi alabileceği belirtilmiştir. 

Uber Technologies Inc.

Veri sorumlusu Uber Technologies Inc., bünyesindeki kişisel verilere yönelik gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

• İhlale yönelik bir e-posta aldıklarını ve bu e-posta içerisinede  e-posta göndericisinin Uber bünyesindeki kişisel verileri kamuya açık hale getirme niyetini ortaya koyduğu,
• İhlalin ne zaman gerçekleştiğinin ve kaynağının henüz tespit edilemediği, bu sebeple araştırmaların devam ettiği,
• İhlalden Uber kullanıcıları (yolular ve/veya yemek siparişi veren kişiler) ve/veya sürücüler ve/veya teslimat yapan kişilerin etkilendiği,
• İhlalden etkilenen veriler an itibarıyla tam olarak bilinmese de;
  • Uber kullanıcılarının (yolcular ve/veya yemeksiparişi veren kişiler) isim, e-posta adresi, telefon numarası, profil fotoğrafı, kayıt tarihi ve puan bilgisi olduğu,
  • Uber platformundaki sürücüler ve/veya teslimat yapan kişilerin sürücü ehliyeti, sigorta, kimlik kartı, araç kaydı ve özen yükümlülüğü kapsamındaki kontroller gibi belgelerin olduğu,

İhlalden etkilenen kişi sayısının henüz tespit edilmediği belirtilmiştir.

Güneş Express Havacılık A.Ş. (SunExpress)

Veri sorumlusu Güneş Express Havacılık A.Ş., bir siber saldırgan tarafından bir yönetici hesabının giriş bilgilerinin ele geçirilerek veri sorumlusunun kullandığı kampanya yönetim platformuna yetkisiz erişim sağlandığını ve bu hesap üzerinden de oltalama amaçlı e-postalar gönderilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

• İhlalin 15.07.2024 tarihinde gerçekleştiği vea ynı gün tespit edildiği,
• Siber saldırgan tarafından 596.659 e-posta adresine, toplamda 1.986.293 e-posta gönderildiği,
• İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
• İhlalden etkilenen kişisel veri kategorisinin iletişim (e-posta adresi) olduğu,
• Siber saldırganın e-posta gönderdiği 596.659e-posta adresinin; 86’sının çalışanlara, 249.668’inin müşterilere ait olduğu,346.905 e-posta adresinin ise sahibinin bilinmediği ve siber saldırgan tarafından saldırı esnasında sisteme yüklenen e-postalar olduğu,
• İlgili kişilerin, veri sorumlusunun internet sitesinde yer alan form aracılığıyla veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7944/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Gunes-Ekspres-Havacilik-A-S-SunExpress-

Ann & Robert H. Lurie Children's Hospital of Chicago

Veri sorumlusu Ann & Robert H. Lurie Children's Hospital of Chicago, bir siber saldırı suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

• İhlalin 26.01.2024 – 31.01.2024 tarihleri arasında gerçekleştiği,
• İhlalden dünya çapında yaklaşık 791.784 kişinin etkilendiği,
• Türkiye’den ihlalden etkilenen ilgili kişi sayısına ilişkin net bilgi bulunmadığı,
• İhlalden etkilenen ilgili kişi gruplarının hastalar ve hasta yakınları, mevcut ve eski Lurie Children's ekip üyeleri, aile üyeleri, mevcut ve eski yükleniciler olduğu,
• Etkilenen verilerin kişiden kişiye değişiklik gösterdiği ancak bu verilerin iletişim bilgileri, kimlik bilgileri, bir hastanın sağlığı ya da tıbbi bakımıyla ilgili bilgiler olabileceği,
• İlgili kişilerin, veri sorumlusunun internet sitesi aracılığıyla veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7977/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Ann-Robert-H-Lurie-Children-s-Hospital-of-Chicago

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkındaki Yönetmelik Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) 01.06.2024 tarihi itibarıyla yürürlüğe giren değişiklikler kapsamında, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkındaki Yönetmelik, 10 Temmuz 2024 tarih ve 32598 sayılı Resmi Gazete’de yaymlanmıştır. Yönetmelik, ana hatlarıyla Kişisel Verileri Koruma Kurum’u (“Kurum”)tarafından yayımlanan taslak versiyonuna benzemektedir. Ancak, taslak versiyondan farklı olarak Yönetmeliğin 14. maddesinin 8. fıkrası genişletilerek, standart sözleşme taraflarında, standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde Kurum’a bildirilmesi öngörülmüştür.

 Bkz. https://www.resmigazete.gov.tr/eskiler/2024/07/20240710.pdf

Kurum tarafından Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu yayımlanmıştır.

KVKK’da 01.06.2024 tarihi itibarıyla yürürlüğe giren değişiklikler kapsamında, 10.07.2024 tarihinde Kurum’un resmi internet sitesinde standart sözleşmeler ve bağlayıcı şirket kurallarına ilişkin dokümanlar yayımlanmıştır.

 Standart sözleşmelere ilişkin değişiklikler aşağıdakigibi olup kırmızı ile gösterilmiştir:

I. Veri Sorumlusundan Veri Sorumlusuna

Bağlayıcı şirket kurallarına ilişkin dokümanlardaki değişiklikler aşağıdaki gibi olup kırmızı ile gösterilmiştir:

 I. Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu

II. Veri İşleyenler İçin Bağlayıcı Şirket Kuralları Başvuru Formu 

III. Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlar

 Taslak ve yayımlanan arasında bir farklılık bulunmamaktadır.

IV.  Veri İşleyenler İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlar

 Taslak ve yayımlanan arasında bir farklılık bulunmamaktadır.

Bkz. https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu

Kurum tarafından ”Kurula İletilen Şikayet ve İhbarlarda Sık Yapılan Hatalar Dokümanı” yayımlanmıştır.

Kurum tarafından Kurul’a iletilen şikayet ve ihbarlarda sık yapılan hatalara ilişkin bir doküman yayımlamıştır. Dokümanın amacı özetle, Kurul’a aktarılan şikayet ve ihbarların KVKK ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak iletilmesidir. İlgili dokümanda belirtilen başlıca hatalar ise aşağıdaki gibidir:

• Veri sorumlusuna başvuru yolunun tüketilmemesi,
• Vekil aracılığıyla yapılan şikayette/ihbarda vekaletname puluna yer verilmemesi,
• Vekil aracılığıyla yapılan şikayet/ihbar başvuru ekinde ilgili kişiye ait vekaletname örneğinin eksiksiz bir şekilde ve/veya süresine dikkat edilerek sunulmaması,
• Veri sorumlusuna yapılmış başvuruya ve gerekmesi halinde başvuru yöntemine ilişkin bilgi ve belgeye yer verilmemesi,
• Veri sorumlusuna e-posta aracılığıyla başvuru yapılması halinde, bu başvurunun veri sorumlusuna daha önceden bildirilen ve veri sorumlusunun sisteminde kayıtlı e-posta adresini kullanmak suretiyle yapılmaması,
• İlgili mevzuatta öngörülen yasal süre içerisinde Kurul’a şikayetin iletilmemesi,
• Veri sorumlusuna yapılan başvurunun veri sorumlusuna tebliğ edildiğine dair belgenin sunulmaması,
• Veri sorumlusu tarafından ilgili kişiye cevap verilmiş ise verilen cevabın dilekçe ekinde yer almaması ve/veya veri sorumlusu cevabının ilgili kişiye tebliğ edildiğine dair belgenin sunulmaması,
• Kurul’a iletilen dilekçelerin, veri sorumlusuna yapılan başvuruların, alınan cevapların ve bu belgelere dair gönderi belgelerinin tarihlerinin açık ve anlaşılır olmaması,
• Şikayet/ihbar konusuna ilişkin tevsik edici bilgi ve belgelerin iletilmemesi,
• Kurul’a iletilen şikayette/ihbarda, şikayet/ihbar konusu ve talebin açık şekilde belirtilmemesi ve Kurula iletilen şikayet/ihbar dilekçesi ve ekinin okunaklı olmaması,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun gereğince yazılı başvurularda şikayet edenin adına soyadına, imzasına, iş veya ikametgah adresi bilgisine yer verilmemesi,
• İlgili kişi adına temsil yetkisi bulunmayan bir kişi tarafından kurula şikayette bulunulması,
• Veri sorumlusuna yapılan başvurunun yazılı olması halinde imzaya yer verilmemesi, vekaletname ile başvurulmuşsa vekaletname örneğine yer verilmemesi,
• Veri sorumlusuna yapılan başvuruların ad, soyad, T.C kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ve talep konusu içermemesi,
• Veri sorumlularının KEP adresine, KEP niteliğine haiz olmayan elektronik posta aracılığıyla başvuru yapılması,
• Veri sorumlularının web sitelerinde yer alan kişisel veriler ile ilgili kısmın kontrol edilmeden başvuruların gerçekleştirilmiş olması,
• Şikayetin/ihbarın ilgili kişiolarak addedilmeyecek tüzel kişilerin verilerinin korunmasına yönelik bir talep içermesi,
• Şikayetin/ihbarın ölmüş kişilerin verilerinin korunmasına yönelik bir talep içermesi.

Bkz. https://kvkk.gov.tr/Icerik/7943/Kurula-Iletilen-Sikayet-ve-Ihbarlarda-Sik-Yapilan-Hatalar

Kişisel Verileri Koruma Kurumu Bülteni yayımlanmıştır.

Kurum tarafından üç aylık periyotlar halinde yayımlanan KVKK Bülten’inin dördüncü sayısı, “Kişisel Verilerin Korunması Kanunu’nda Yapılan Değişiklikler” temasıyla yayımlanmıştır. Bu sayıda, bireysel ve sektörel bazda farkındalığı arttırmak adına aşağıdaki içerikler yer almaktadır:

• KVKK’da gerçekleşen değişiklikler,
• Kurum Başkanı Prof.Dr. Faruk Bilir ile KVKK değişikliklerine dair ropörtaj,
• KVKK’daki değişiklikler hakkında bilinmesi gerekenler,
• Aydınlatma yükümlülüğünün yerine getirilmesi hakkında genel bilgiler,
• Aydınlatma yükümlülüğü ile ilgili doğru bilinen yanlışlar.

 Bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/4eba766b-7425-4cd4-97f5-cb09c4cf4ef9.pdf

Ulusal Yapay Zeka Stratejisi 2024– 2025 yayımlanmıştır.

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı ile Sanayi ve Teknoloji Bakanlğı iş birliği ile hazırlanan Ulusal Yapay Zeka Startejisi 2021-2025 (“UYZS”) Eylem Planına ilişkin Cumhurbaşkanlığı Genelgesi 20.08.2021 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmişse de son dönemde ülkemiz ve dünyada yaşanan yapay zeka alanındaki değişiklikler ve gelişmeler dolayısıyla 12.Kalkınma Planı doğrultusunda 2024-2025 eylem planı olarak güncellenmiştir.Eylem planında belirlenen öncelikli stratejiler ise aşağıdaki gibidir:

•  Yapay Zeka (“YZ”) Uzmanlarını Yetiştirmek ve Alanda İstihdamı Arttırmak:
  • YZ alanında istihdamın 50.000 kişiye çıkarılması,
  • Kamu kurum ve kuruluşlarında YZ uzmanı istihdamının 1.000 kişiye çıkarılması,
  • YZ alanında lisansüstü düzeyde mezun sayısının 10.000 kişiye çıkarılması,
  • YZ alanında çalışan akademisyen sayısının 5.000’e çıkarılması,
  • YZ alanında sosyal ve teknikalanlarda yazılan lisansüstü tez sayısının en az 1.000 olması. 

• Araştırma, Girişimcilik ve Yenilikçiliğin Desteklenmesi:
  • YZ AR-GE harcamalarının toplam AR-GE harcamalarına oranının en az %15 olmasının sağlanması,
  • YZ alanında girişim sayısı1.000'e çıkarılması,
  • Geliştirilen YZ çözümlerinin kamu alımlarında önceliklendirilerek ticarileştirilmelerinin desteklenmesi,
  • Kamu kurum ve şirketlerinden YZ teknolojileri alanında faaliyet gösteren en az 5 filiz işletmenin (spin-off) kurulması,
  • Doğal dil işleme alanında en az 1 küresel girişim çıkarılması,
  • Görüntü işleme başta olmak üzere YZ teknolojisi alanında en az 10 rekabet öncesi iş birliği projesinin başlatılması. 

• Kaliteli Veriye ve Teknik Altyapıya Erişim İmkanlarını Genişletmek:
  • Ortaklaştırılmış yüksek başarımlı hesaplama altyapılarına erişim sağlayan kamu kurumu ve işletme sayısının en az 200 olmasının sağlanması,
  • Kamu Veri Alanı’na en az 50 kurum dahil edilmesi,
  • Veri paylaşımına yönelik en az 10 sektörel bulut platformu kurulması,
  • Türkiye Açık Kaynak Platformu kapsamında tekil YZ proje geliştirici sayısı enaz 1.000’e çıkarılması,
  • Açık Veri Portalı üzerinden en az 1.000 açık veri kümesi paylaşılması. 

• Sosyoekonomik Uyumu Hızlandıracak Düzenlemeler Yapmak:
  • Düzenleme deney alanından en az 20 girişimin faydalanmasının sağlanması,
  • YZ alanında en az 10 sosyo-teknik araştırma projesinin yürütülmesi,
  • YZ alanında her yıl, beyin göçüve tersine beyin göçü araştırmalarının yayımlanması.
  • Tanıtım ve bilgilendirme amaçlı farklı platformlarda paylaşılan dijital içeriklerden her yıl 1 milyon kişinin faydalanmasının sağlanması. 

• Uluslararası Düzeyde İşbirliklerini Güçlendirmek:
  • YZ alanında en az 100 sınırötesi çağrılı projeye katılımın sağlanması,
  • Güvenilir ve sorumlu YZ alanındaen az 2 Türkiye odaklı uluslararası rapor çalışmasının yürütülmesinin sağlanması,
  • YZ alanında en az 10 uluslararası yarışma ve proje çağrısının açılması. 

• Yapısal ve İş Gücü Dönüşümünü Hızlandırmak:
  • Merkezî ve yerel yönetim kamu kurum ve kuruluşlarında YZ alanında istihdamın 1.000 kişiye sağlanması,
  • Kamu YZ Ekosistemi’nde en az 40 proje geliştirilmesinin sağlanması,
  • Sektörel Birlikte Geliştirme Laboratuvarları’nda en az 100 proje geliştirilmesinin sağlanması,
  • Servis Olarak Kamu YZ Platformu kullanıcısı kurum ve kuruluş sayısının en az 100 olmasının sağlanması,
  • YZ alanında en az 20 tematik ve ödüllü yarışma düzenlenmesi,
  • YZ olgunluk modeli ve proje yönetim rehberlerinin en az 150 kurum ve kuruluşta uygulanması,
  • Merkezî ve yerel yönetimlerde en az 50.000 çalışanın farkındalık eğitimini tamamlaması,
  • Akıllı şehir uygulamaları kapsamında en az 250 belediyenin YZ teknolojilerini aktif kullanması,
  • Güvenilir YZ Damgası alan en az 100 YZ uygulamasının piyasa çıkarılması,
  • Yenilik ve Dijital Dönüşüm Merkezlerinde yürütülen uygulamalı eğitim ve farkındalık çalışmalarından en az 350.000 kişinin yararlanması.

Yukarıda sayılan işbu stratejik öncelikler kapsamında 24 amaç ve 119 tedbir belirlenmiştir. Bu amaçlar ve tedbirler, uygulayıcı kurumların detaylarını belirleyeceği eylemlerin çerçevesini çizmektedir. Bu stratejinin vizyonu ise ilgili Doküman’da “müreffeh bir Türkiye için çevik ve sürdürülebilir yapay zekâ ekosistemiyle küresel ölçekte değer üretmek” olarak belirlenmiştir. UYZS’nin öncelikleri ile bu kapsamda belirlenen amaçlar ve tedbirlerin, “Dijital Türkiye” vizyonu ve “Millî Teknoloji Hamlesi” ile uyumlu olacak şekilde kurgulandığı ifade edilmiştir.

İspanya Veri Koruma Otoritesi tarafından Vodafone España,S.A.U. aleyhine 120.000 € idari para cezası ödenmesine karar verilmiştir.

İspanya Veri Koruma Otoritesi kararında, ilgili kişinin kişisel verilerinin silinmesi yönündeki talebinin veri sorumlusu Vodafone España, S.A.U.'yailetilmesine rağmen veri sorumlusu tarafından ilgili kişi ile e-posta aracılığıyla iletişim kurulduğu vurgulanmıştır. İspanya Veri Koruma Otoritesi, söz konusu işleme faaliyetini GDPR’ın (AB Veri Koruma Tüzüğü) 6/1 maddesi uyarınca hukuki dayanaktan yoksun olarak değerlendirmiştir. 

Kararda ayrıca, veri sorumlusunun benzer konuda birçok GDPR ihlalinin bulunduğu vurgulanarak Vodafone España, S.A.U. aleyhine 200.000 € idari paracezası ödenmesine karar verilmişse de veri sorumlusunun söz konusu idari para cezasını gönüllü olarak ödemiş olması sebebiyle idari para cezası, 120.000 €’ya düşürülmüştür. 

Bkz. https://www.dataguidance.com/news/spain-aepd-fines-vodafone-200000-consent-failures

İspanya Veri Koruma Otoritesi ve Avrupa Veri Koruma Denetçisi’nin (EDPS) nörolojik verilere ilişkin ortak bir çalışması yayımlanmıştır.

İspanya Veri Koruma Otoritesi  ve Avrupa Veri Koruma Denetçisi tarafından, nörolojik verilerin işlenmesinin bireysel temel hak ve özgürlüklerin korunması açısından meydana getirebileceği zorlukların ele alındığı bir çalışma yayımlamıştır. Bahse konu çalışmada, nörolojik veriden ne anlaşılması gerektiği, bu verilerin işlenme şekilleri, bu verilerin işlenmesinin veri koruma hukuku açısından ortaya çıkarabileceği zorluklar ile bu alana ilişkin olarak önümüzdeki süreçte karşılaşılabilecek gelişmeler gibi hususlar ele alınmaktadır.

 Bkz. www.edps.europa.eu/system/files/2024-06/techdispatch_neurodata_en.pdf