Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Eylül 2022
Yayınlanma Tarihi: 05/10/2022

TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı

Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı tarafından zararlı yazılımlar aracılığıyla üyelerinin bilgilerinin bulunduğu sisteme yetkisiz erişim sağlandığına ilişkin veri ihlali, Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirilmiştir. Yapılan bildirimde;

  • yetkisiz kişiler tarafından, anne kızlık soyadı, cilt seri no gibi PTT çalışanlarının kişisel verilerinin ve ayrıca 3.2 gb veri tabanı yedeğinin ve sitenin tüm dosyalarının ele geçirildiğinin iddia edildiği,
  • ihlalin 29.08.2022 ile 30.08.2022 tarihleri arasında gerçekleştiği ve ihlalin son günü olan 30.08.2022 tarihinde tespit edildiği,
  • ihlalden etkilenen kişisel verilerin kimlik ve üyelik işlemlerine ait bilgiler olduğu,

ihlalden yaklaşık 38.000 kaydın etkilendiği, ihlal ile ilgili çalışmaların devam etmekte olduğu bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7435/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Posta-ve-Telgraf-Teskilati-Biriktirme-ve-Yardim-Sandigi

Biblos Alaçatı Turizm Yatırımları A.Ş.

Veri sorumlusu Biblos Alaçatı Turizm Yatırımları A.Ş. tarafından kaynağı fidye yazılımı ve parola saldırısı olan bir veri ihlalinin gerçekleştirildiği Kurul’a bildirilmiştir. Yapılan bildirimde,

  • ihlalin veri sorumlusunun iş telefonlarına gönderilen mesajlar ve personeline gönderilen e-postalar aracılığıyla siber saldırının tespit edildiği,
  • ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem, finans, pazarlama, görsel ve işitsel kayıtları,
  • ihlalden etkilenen özel nitelikli kişisel veri kategorilerinin sağlık bilgileri ve biyometrik veriler olduğu,
  • öte yandan personel bordro kayıtlarının, misafir verilerinin ve şirketin mali verilerinin ihlale maruz kalmasının ihtimal dahilinde olduğu,
  • ihlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,

ihlalden etkilenen tahmini kişi sayısının 450 olduğu, ancak ilgili kişilere ait verilerin siber saldırı sonucunda silinmesi nedeniyle bildirim yapılamadığı bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7436/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Biblos-Alacati-Turizm-Yatirimlari-A-S-

Fuudy Elektronik İletişim Perakende Gıda Lojistik A.Ş.

Veri sorumlusu sıfatını haiz olan Fuudy Elektronik İletişim Perakende Gıda Lojistik Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

  • ihlalin hangi tarihte başladığının henüz tespit edilemediği
  • veri sorumlusu kurumsal e-posta adresine ihlal iddiasına ilişkin bir e-posta gönderildiği,
  • ihlal iddiasına ilişkin e-postada yer alan kayıtların Fuudy bünyesindeki kayıtlarla eşleştiği ancak ihlali gerçekleştiren kişi veya kişilerin bu bilgileri nasıl elde ettiği ve ihlalin hangi yöntemle gerçekleştirildiğinin henüz tespit edilemediği ve bu kapsamda tespit çalışmalarının devam ettiği,

ihlalden etkilenen kişisel verilerin sistemin test kısmında yer alan ad, soyadı, e-posta adresi, cep telefonu numarası ve adres ID’si olduğu, bu kişisel veriler arasında yer alan adres ID’sinin güncel nitelikte olmadığı, ihlalden etkilenen tahmini kişi sayısının yaklaşık olarak 81.452 olduğu, tam kişi sayısının tespitine yönelik çalışmaların devam ettiği bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7450/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Fuudy-Elektronik-Iletisim-Perakende-Gida-Lojistik-Anonim-Sirketi

Marmara Üniversitesi

Veri sorumlusu sıfatını haiz Marmara Üniversitesi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

  • 15.09.2022 tarihinde veri sorumlusunun Bilgi Yönetim Sistemi (BYS) içerisindeki SMS gönderim servisindeki yetkili kullanıcı hesabının yetkisiz bir kişi tarafından elde edilerek SMS gönderilmesiyle ihlalin gerçekleştiği,
  • ele geçirilen kullanıcı hesabının yeni kullanıcı hesapları tanımlama yetkisi olması sebebi ile 3 yeni kullanıcı hesabı tanımı yapıldığının da tespit edildiği,
  • yetkisiz erişime konu ekran üzerinden “toplu sms gönderimi” yapılabildiği ve üniversitede çalışan akademik ve idari personelin kimlik, iletişim ve özlük bilgilerine erişim sağlanabildiği,

ihlalden etkilenen kişi sayısının 5698 olduğu, ihlalden etkilenen ilgili kişi grubunun çalışanlar ve kullanıcılar olduğu bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7451/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Marmara-Universitesi

Özel Keystone Eğitim ve Eğitim Dan. A.Ş.

Veri sorumlusu haiz Özel Keystone Eğitim ve Eğitim Dan. A.Ş tarafından Kurul’a iletilen veri ihlal bildiriminde özetle:

  • ihlalin veri sorumlusu nezdinde çalışan eski bir öğretmenin kapatılmış e-posta adresinin açılarak, tüm okul veli ve personeline okulun muhasebe kayıtlarının yanı sıra Drive'da bulunan ücret skala bilgilerinin, veli ve öğrenci isimlerinin e-posta gönderilmesi suretiyle gerçekleştiği,
  • ihlalin  gerçekleştiği gün tespit edildiği,
  • ihlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, risk yönetimi, finans bilgileri ve diğer kategorilerinden oluştuğu,

ihlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği ancak ihlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler/üyeler, öğrenciler ve müşteriler/potansiyel müşteriler olduğu bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7452/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Ozel-Keystone-Egitim-ve-Egitim-Dan-A-S-

Diğer Gelişmeler

Yayımlanmış Kararlar Derlemesi

2018-2021 tarihleri arasında yayımlanan Kurul kararları ile veri ihlal bildirimleri bir kitapçık haline getirilerek yayımlandı.

Bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/1d7c2f99-be2c-4971-a304-0a1eb3586bd1.pdf

Seçilmiş Güncel Gelişmeler 5 ve Seçilmiş Güncel Gelişmeler 6

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından  dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 5” ve “Seçilmiş Güncel Gelişmeler 6” yayımlandı.

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-5/; https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-6/

AVRUPA BİRLİĞİ’NDEKİ GELİŞMELER

Güncel Kararlar

İrlanda Veri Koruma Otoritesi (“DPC”), çocukların mahremiyetinin ihlal edilmesi sebebi ile Instagram’a 405 milyon € idari para cezası uygulanmasına karar verdi.

DPC tarafından yürütülen soruşturmada, Instagram’da işletme hesabı kullanan çocuklara ait e-posta adreslerinin ve telefon numaralarının varsayılan olarak herkese açık bir şekilde yayınlanması sebebi ile çocukların mahremiyetlerinin ihlal edildiği tespit edilmiştir.  DPC, işbu tespit neticesinde hazırladığı taslak karar metnini Avrupa Birliği diğer üye devletlerinin veri koruma otoriteleri ile paylaşmış ve bazı veri koruma otoritelerinin itirazı üzerine söz konusu uyuşmazlık Avrupa Veri Koruma Kurulu’na (“EDPB”) iletilmiştir. EDPB’nin verdiği nihai karar üzerine, DPC tarafından bugüne kadar tayin edilen en büyük para cezası verilmiştir. Instagram yetkilileri söz konusu uygulamanın geçen yıl yapıldığını ve düzeltmeler neticesinde böyle bir uygulamanın artık olmadığını ve para cezasına itiraz edeceklerini belirtmiştir. Kararın dikkat çekici özelliklerinden biri de Lüksemburg Veri Koruma Otoritesi’nin Amazon hakkında 746 milyon € para cezasından sonra gelen Genel Veri Koruma Tüzüğü’nün (“GDPR”)  kapsamında verilen en yüksek para cezası olmasıdır.

Bkz. https://edpb.europa.eu/news/news/2022/record-fine-instagram-following-edpb-intervention_en

Macaristan Veri Koruma Otoritesi, yapay zekâ aracılığı ile yasal dayanak olmaksızın yapılan profilleme ve otomatik karar verme işlemlerini gerçekleştiren Budapest Bank’e 700.000 € idari para cezası uyguladı.

Budapest Bank (“Banka”), yapay zekâ analizine dayalı olarak müşteri hizmetleri çağrı merkezi aracılığı ile topladığı veriler üzerinden otomatik karar verme ve profilleme işlemi gerçekleştirmiştir. Banka bu süreç kapsamında yapay zekâ aracılığı ile konuşmaları ve yöneltilen soruları analiz ederek müşteri memnuniyetini ölçmekte ve müşteri memnuniyetsizliğinin tespit edilmesi durumunda söz konusu memnuniyetsizliğin giderilebilmesi amacı ile müşteriyi geri aramaktadır. Süreç içerisinde aynı zamanda çalışan performansının izlenmesi amacıyla çalışanların da seslerinin analiz edildiği tespit edilmiştir. Banka her ne kadar veri sorumlusunun meşru menfaati kapsamında veri işlemenin gerçekleştirildiğini ifade etmiş olsa da müşteriye yapay zekâ aracılığı ile otomatik karar verme uygulamasının yürütüldüğüne dair herhangi bir açıklama yapılmadığını da belirtmiştir. Macaristan Veri Koruma Otoritesi, hem müşteriler hem çalışanlar bakımından otomatik karar verme ve profilleme işlemleri gerçekleştirirken meşru menfaat denge testinin yapılmamış olması ve diğer işleme şartlarından herhangi birinin olmaması ile uygun güvenlik önlemlerinin alınmaması sebepleri ile Budapest Bank’ın hukuka aykırı veri işlediğine kanaat getirmiştir. Ayrıca, Macaristan Veri Koruma Otoritesi, süreç kapsamında ilgili kişi haklarına ve itiraz hakkına ilişkin bilgilendirme yapılmadığını da tespit etmiştir. Tüm bu değerlendirmeler neticesinde, Budapest Bank’a yaklaşık olarak 700.000€ idari para cezası uygulanmıştır. 

Bkz. https://gdprhub.eu/NAIH_(Hungary)_-_NAIH-85-3/2022

Danimarka Veri Koruma Otoritesi (“Datatilsynet”) ilave önlemler alınmaksızın Google Analytics’in kullanılmasının hukuka aykırı olduğuna karar verdi.

Geçtiğimiz yıl içerisinde Avusturya, Fransa ve son olarak İtalya Veri Koruma Otoriteleri Google Analytics kullanımını yasaklamıştı. Zira Google Analytics, çerezler aracılığıyla kullanıcı verilerini işlemekte ve bu verileri yasal dayanak olmaksızın Amerika Birleşik Devletleri’ne  aktarmaktadır. Pan-Avrupa kapsamında uyumlu bir yaklaşım oluşturulmasında bu kararın önemli bir adım olduğunu vurgulayan Datatilsynet, kuruluşlar tarafından Google Analytics’in kullanılmaya devam edilmesi halinde GDPR uyumluluğunun sağlanması gerekliliğinin altını çizmiştir.

Bkz. https://www.datatilsynet.dk/english/google-analytics/use-of-google-analytics-for-web-analytics

Fransız Veri Koruma Otoritesi (“CNIL”), G.I.E. Infogreffe’ye kişisel veri saklama sürelerine ve güvenlik önlemlerine uygun davranılmaması sebebi ile 250.000 € para cezası uyguladı. 

CNIL tarafından infofreffe.fr adlı internet sitesine yönelik yürütülen soruşturma neticesinde, kullanıcıların %25’ine ait verilerin yasal saklama süresinden daha uzun bir süre muhafaza edildiği ve uygun güvenlik önlemlerinin alınmadığı tespit edilmiştir. İnternet sitesi üzerinden hesap oluşturulurken güçlü parola kullanılmasına imkân tanınmaması ve geçici olmayan şifrelerin açık metin olarak e-posta ile iletilmesi ve şifrelerin, gizlilik sorularının ve cevaplarının şifrelenmemiş bir şekilde veri tabanında tutulması sebepleri ile internet sitesinin uygun güvenlik önlemlerini almadığına kanaat getirilmiştir. Tüm bunlar neticesinde internet sitesine 250.000 € idari para cezası verilmiştir. 

Bkz. https://www.cnil.fr/en/infogreffe-fined-250000-euros

İspanya Veri Koruma Otoritesi (“AEPD”), görüntü ve ses sistemleri aracılığı ile çalışanlara ait verilerin orantısız bir şekilde işlemesi sebebi ile Muxers Concept’e 20.000 € idari para cezası verdi.

AEPD, Muxers Concept’e çalışanların kullanımında olan tuvaletlerde güvenlik kamerası ve ses kaydedici ile  soyunma odasında gizlenmiş bir ses kayıt sistemi aracılığıyla yasal dayanak olmaksızın kişisel verilerin işlenmesinin GDPR’ın 6.maddesine aykırılık oluşturmasından bahisle 20.000 € idari para cezası uygulanmasına karar vermiştir. AEPD, her ne kadar güvenliğin sağlanması amacıyla kamera sistemleri aracılığı ile görüntülerin işlenmesinin hukuka uygun olduğunu belirtmiş olsa da uygulanan bu yöntemin orantılı olmadığını ifade etmiştir.

Bkz. https://www.dataguidance.com/news/spain-aepd-fines-muxers-concept-20000-processing

İhlal, Şikayet ve İncelemeler

DPC, GDPR’a aykırı hareket etmesi sebebi ile soruşturma başlattığı TikTok için taslak kararını yayımladı.

DPC, TikTok Technology Limited’in (“TikTok”), 13 yaşından küçük kullanıcılar için yaş doğrulama önlemlerini almaması ve 18 yaşından küçük kullanıcıların hesaplarını  direkt  herkese açık şekilde oluşturlan ayarları sebebi ile Eylül 2021 tarihi itibariyle soruşturma başlatmıştır. DPC, TikTok’a karşı yürüttüğü işbu soruşturma neticesinde oluşturduğu taslak metni diğer üye devletlerin veri koruma otoriteleri ile 13 Eylül 2022 itibari ile paylaştı. Veri koruma otoritelerinin görüşüne açılan taslak metin için ilgili ve gerekçeli itirazlar bir ay içerisinde gerçekleştirecektir. 

Bkz. https://www.dataprotection.ie/en/news-media/irish-dpc-submits-article-60-draft-decision-inquiry-tiktok-0

Birleşik Krallık Veri Koruma Otoritesi’nin (“ICO”) TikTok’a 27 Milyon £ idari para cezası uygulayabilir.

ICO, niyet bildirimi ile TikTok’un Mayıs 2018 ve Temmuz 2020 arasında çocukların mahremiyetini koruyamaması sebebi ile veri koruma yasasını ihlal ettiğini belirtmiştir. ICO tarafından belirtilen tarih aralığında ebeveynlerin rızası alınmaksızın 13 yaş altındaki çocukların kişisel verilerin işlenmiş olabileceği; kullanıcılara net, şeffaf ve kolay anlaşılabilir şekilde uygun bir bilgilendirmenin sağlanmamış olabileceği; hukuka uygunluk sebebi olmaksızın özel nitelikte kişisel verilerin işlenmiş olabileceği ifade edilmiştir. Henüz nihai bir karar olmamakla birlikte, ICO tarafından TikTok’a 27 Milyon £ idari para cezası verilmesi gündemde yer almaktadır. 

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/09/ico-could-impose-multi-million-pound-fine-on-tiktok-for-failing-to-protect-children-s-privacy/

Kamuoyu Duyuruları
 
ICO Mahremiyet Arttırıcı Teknolojilere ilişkin oluşturulan taslak metni görüşe açtı. ICO tarafından “Anonimleştirme, Bulanıklaştırma ve Mahremiyet Arttırıcı Teknolojiler Rehberi (“Rehber”) (“Anonymisation, Pseudonymisation and Privacy Enhancing Technologies Guidance”) kapsamında “Mahremiyet Arttırıcı Teknolojiler” (“PET”) başlığını ele aldığı taslak beşinci bölümü yayımlanmıştır. Mayıs 2021’den bu yana dört taslak,  Rehber kapsamında yayımlanmıştı. Görüşe açılan beşinci taslakta, PET kavramının tanımına, veri koruma hukuku ile ilişkisine ve kullanımında oluşabilecek fayda ve risklere yer verilmiştir.


Bkz. https://ico.org.uk/media/about-the-ico/consultations/4021464/chapter-5-anonymisation-pets.pdf


DPS ile AEPD tarafından makine öğrenmesi ile ilgili olarak yanlış anlaşılan 10 hususun açıklandığı ortak yürütülen çalışma yayımlandı. Çalışma kapsamında, kısa ve net açıklamalarla makine öğrenmesine ilişkin yanlış bir şekilde oluşturulan hususlara değinilmiştir. Makine öğrenmesinin yaptığı korelasyonlar neticesinde ilgili kişi tarafından bilinmeyen yeni verilerin oluşturulabileceği gibi kişisel verilerin korunması kapsamında makine öğrenmesine ilişkin açıklamalara yer verilmiştir. Ek olarak, fikri mülkiyet haklarına zarar vermeksizin yapay zekâ kullanıcılarına şeffaflık sağlanabileceği ve makine öğrenme sistemlerinde ön yargının nasıl oluştuğu gibi birçok hukuk alanına tesir edebilecek konularda da açıklamalar yapılmıştır 

Bkz. https://edps.europa.eu/system/files/2022-09/22-09-20_10-misunderstandings-on-machine-learning_en.pdf 


CNIL, dijital jetonlar (digital token) ile kimlik doğrulama rehberi yayımladı. Rehberde dijital jeton iyi uygulamalarına yer verilmiş ve bireysel uzaktan bağlantı jetonlarının veri güvenliğinin sağlamasında çift faktörlü kimlik doğrulama yapılması önerilerinde bulunulmuştur. Ek olarak, kişisel veri içermeyen doğrulama linklerinin kullanılmasının da faydalı olabileceğinin altı çizilmiştir.

Bkz. https://iapp.org/news/a/cnil-creates-guidance-for-authentication-by-digital-tokens/


Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunması kapsamında verilen karar özetlerinin derlendiği bilgi notunu güncelledi. En son Haziran 2022 itibariyle güncellenen bilgi notu, Eylül 2022 itibariyle, cinsel eğilimi gösteren veriler, GPS verileri, sağlık verileri, iletişimin izlenmesi ve gizli gözetim, çalışanların bilgisayar kullanımının izlenmesi, video alınarak izlenmesi gibi başlıklar altında kişisel verilerin toplanması; ceza süreçleri, sağlık ile ilgili, sosyal sigorta süreçleri, vergi, hizmet sağlayıcının kullanımına ilişkin başlıklar altında kişisel verilerin depolanması ve kullanılması; ve ayrıca kişisel verilerin ifşa edilmesi, veriye erişim hakkı ve kişisel verilerin imha edilmesi konularında verilen kararlar altında güncellenmiştir.

Bkz. https://www.echr.coe.int/documents/fs_data_eng.pdf

 

 

Yasal Uyarı | Çerez Politikası | Kullanım Koşulları | Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni | © 2024 DL Avukatlık Bürosu