Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Aralık 2024
Contents
- TÜRKİYE’DEKİ GELİŞMELER VERİ İHLALİ BİLDİRİMLERİ
- Anıl Özel Sağlık Hizmetleri Turizm Tic. Ltd. Şti. (“Özel Hisar Tıp Merkezi”) tarafından Kişisel Verileri Koruma Kurulu’na (“KVK Kurulu”) bildirilen veri ihlali, 12.12.2024 tarihinde Kişisel Verileri Koruma Kurumu’nun (KVK Kurumu”) internet sitesinde yayımlanmıştır.
- Karadeniz Holding A.Ş. tarafından KVK Kurumu’na bildirilen veri ihlali, 19.12.2024 tarihinde KVK Kurumu’nun internet sitesinde yayımlanmıştır.
- DUYURULAR VE HABERLER
- Rekabet Kurumu tarafından Meta Platforms Inc. (“Meta”) Threads uygulaması hakkındaki soruşturma, Meta tarafından sunulan taahhütler doğrultusunda sonlandırılmıştır.
- KVK Kurumu tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“KVKK”) 02.03.2024 tarihli değişiklikler kapsamında kabahatlerin zaman bakımından uygulanmasına ilişkin ilgili bilgi notu yayımlamıştır.
- Türk Dil Kurumu (“TDK”) tarafından 2024 yılının kelimesi/kavramı için gerçekleşen oylamada algoritma ve yapay zekâ kelimeleri de yer almıştır.
- Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Çerçeve Sözleşmesi’nin Türkçe broşürü yayımlanmıştır.
- DÜNYADAKİ GELİŞMELER DUYURULAR VE HABERLER
- Fransa Veri Koruma Otoritesi (“CNIL”) tarafından karanlık örüntü (dark pattern) içeren internet sitesi çerez kurgularına ilişkin resmi bir uyarı yayımlanmıştır.
- Avrupa Veri Koruma Kurulu ("EDPB”) tarafından yapay zekaya ilişkin görüş yayımlanmıştır.
- GÜNCEL KARARLAR
- İtalya Veri Koruma Otoritesi (“Garante”) tarafından OpenAI’a 15 Milyon € idari para cezası ve yapay zeka okuryazarlığı yükümlülüğü öngörülmüştür.
- İtalyan Veri Koruma Otoritesi tarafından 14 yaş altındaki çocukların fotoğraflarının sosyal medyada paylaşımı için her iki ebeveynin rızasının gerekli olduğunu vurgulayan bir karar verilmiştir.
TÜRKİYE’DEKİ GELİŞMELER
VERİ İHLALİ BİLDİRİMLERİ
Anıl Özel Sağlık Hizmetleri Turizm Tic. Ltd. Şti. (“Özel Hisar Tıp Merkezi”) tarafından Kişisel Verileri Koruma Kurulu’na (“KVK Kurulu”) bildirilen veri ihlali, 12.12.2024 tarihinde Kişisel Verileri Koruma Kurumu’nun (KVK Kurumu”) internet sitesinde yayımlanmıştır.
Veri sorumlusu Özel Hisar Tıp Merkezi bünyesindeki kişisel verilere, siber saldırı suretiyle gerçekleşen veri ihlali (“Veri İhlali” veya “İhlal”) KVK Kurulu’na bildirilmiştir. Bildirimde aşağıdaki hususlar belirtilmiştir;
• İhlalin 22.11.2024 ile 24.11.2024 tarihleri arasında gerçekleştiği,
• İhlalin 02.12.2024 tarihinde tespit edildiği,
• İhlale konu verilere halen erişilemediği,
• İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,
• İhlalden etkilenen kişi ve kayıt sayısının henüz bilinmediği,
• İhlalden sağlık bilgileri ve kimlik verilerinin etkilendiği ancak konuya ilişkin detaylı bilginin bulunmadığı,
• İlgili kişilerin, veri sorumlusunun internet sitesinden ve fiziksel deskler aracılığıyla veri ihlali hakkında bilgi alabilecekleri.
İlgili karara buradan ulaşabilirsiniz.
Karadeniz Holding A.Ş. tarafından KVK Kurumu’na bildirilen veri ihlali, 19.12.2024 tarihinde KVK Kurumu’nun internet sitesinde yayımlanmıştır.
Veri sorumlusu Karadeniz Holding A.Ş. bünyesindeki kişisel verilere, siber saldırı suretiyle gerçekleştiği düşünülen ancak konuya ilişkin detaylı bilginin henüz tespit edilemediği veri ihlali KVK Kurulu’na bildirilmiştir. Bildirimde aşağıdaki hususlar belirtilmiştir;
• İhlalin 10.12.2024 tarihinde yaşanan internet kesintisi sonrası gerçekleştirilen rutin güvenlik kontrol neticesinde tespit edildiği,
• İhlalin başlama ve sona erme tarihlerinin belirsiz olduğu,
• İhlalden etkilenen kişisel veri kategorilerine ilişkin olarak henüz tespit yapılamadığı,
• İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği.
İlgili karara buradan ulaşabilirsiniz.
DUYURULAR VE HABERLER
Rekabet Kurumu tarafından Meta Platforms Inc. (“Meta”) Threads uygulaması hakkındaki soruşturma, Meta tarafından sunulan taahhütler doğrultusunda sonlandırılmıştır.
Rekabet Kurumu, Meta’nın sosyal medya platformu Threads’e yönelik olarak Nisan 2024’te başlattığı soruşturma neticesinde Meta’nın uzun yıllardır pazarda faaliyet göstermesi nedeniyle kapsamlı bir veri birikimine sahip olduğu, kullanıcı tabanının büyüklüğü ve çeşitliliğinin Meta hizmetlerini reklam verenler için cazip hale getirdiği, Meta’nın faaliyetlerinin pazara giriş engeli oluşturduğu ve ekosistem etkisiyle pazar gücünü artırdığı ve veri birleştirme davranışının rekabeti engellediği değerlendirilmiştir.
Bu itibarla, Meta tarafından Rekabet Kurumu’na taahhüt sunularak; Threads uygulamasının Türkiye’de yeniden kullanıma geçmesi halinde Instagram hesabı gerekmeksizin yalnızca Threads profili ile kullanılabileceği, kullanıcılar hesaplarını birleştirmeyi tercih etmedikçe Threads üzerinden elde edilen verilerin Instagram ile birleştirilmeyeceği belirtilmiştir. Rekabet Kurumu tarafından Meta’nın taahhütü; rekabet sorunlarını giderebilecek nitelikte ve etkili şekilde uygulanabilir ile kısa sürede yerine getirilebilir olması nedenleriyle söz konusu taahhütlerin Meta bakımından bağlayıcı hâle getirilerek yürütülmekte olan soruşturmanın sonlandırılmasına karar verilmiştir.
İlgili duyuruya buradan ulaşabilirsiniz.
KVK Kurumu tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“KVKK”) 02.03.2024 tarihli değişiklikler kapsamında kabahatlerin zaman bakımından uygulanmasına ilişkin ilgili bilgi notu yayımlamıştır.
KVK Kurumu tarafından yayımlanan bilgi notunda, KVKK değişiklikleri sonrasında kabahat niteliğindeki fiillerin gerçekleşme zamanı ile KVK Kurumu’na yapılan şikayet tarihi ve KVK Kurulu’nu tarafından verilecek karar tarihinin zaman bakımından farklı olması nedeniyle, KVKK’nın zaman bakımından uygulanması hususunda karışıklık olmaması amacıyla işbu bilgi notunun yayımlandığı belirtilmiştir.
5326 Sayılı Kabahatler Kanunu’nun (“Kabahatler Kanunu”) zaman bakımından uygulanmasında 5237 Sayılı Türk Ceza Kanunu (“TCK”) dikkate alındığından TCK’nın 7. maddesi uyarınca;
- Suçun işlendiği zaman yürürlükte bulunan kanuna göre suç sayılmayan bir fiilden dolayı kimseye ceza verilemeyeceği ve güvenlik tedbiri uygulanamayacağı,
- Suç işlendikten sonra yürürlüğe giren kanuna göre suç sayılmayan bir fiilden dolayı da kimsenin cezalandırılamayacağı ve hakkında güvenlik tedbiri uygulanamayacağı
- Suçun işlendiği zaman ile sonradan yürürlüğe giren hüküm arasında farklılık olması durumunda lehe hüküm uygulanacağı ve
- Suçun işlendiği zaman suç sayılan ancak sonradan suç olmaktan çıkarılmış fiiller için sonraki hükümlerin uygulanması
öngörülmüştür.
Bu itibarla, KVK Kurumu tarafından aşağıdaki hususlar KVK Kurulu tarafından uygulanacak yaptırımlar ve son KVKK değişikliği bakımından belirtilmiştir:
- İhlal, KVKK değişikliğinden önce gerçekleşmişse: şikâyetin KVKK değişikliğinden önce veya sonra olması fark etmeksizin lehe kanun uygulanacaktır.
- İhlal, KVKK değişikliğinden önce başlamış ve halen devam ediyor ancak şikâyet KVKK değişikliğinden önce yapılmışsa: (i) eğer ihlal KVKK değişikliğinden önce sonlanmışsa lehe kanun (ii) eğer ihlal KVKK değişikliğinden sonra sonlanmış veya halen devam ediyorsa yeni hükümler uygulanacaktır.
- İhlal, KVKK değişikliğinden önce başlamış ve halen devam ediyor ancak şikâyet KVKK değişikliğinden sonra yapılmışsa: ihlalin KVKK değişikliğinden sonra kesilmesi halinde yeni hükümler uygulanacaktır.
- İhlal, KVKK değişikliğinden sonra başlamışsa: yeni hükümler uygulanacaktır.
İlgili bilgi notuna buradan ulaşabilirsiniz.
Türk Dil Kurumu (“TDK”) tarafından 2024 yılının kelimesi/kavramı için gerçekleşen oylamada algoritma ve yapay zekâ kelimeleri de yer almıştır.
TDK ve Ankara Üniversitesi, 2024 yılının kelimesini/kavramını seçmek için halk oylaması düzenlemiştir. 22 Aralık 2024 tarihinde sona eren oylamada bilişim hukuku alanında sıklıkla karşılaştığımız Algoritma ve Yapay Zekâ kelimeleri de yer almıştır.
İlgili TDK oylama sonucuna buradan ulaşabilirsiniz.
Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Çerçeve Sözleşmesi’nin Türkçe broşürü yayımlanmıştır.
Avrupa Konseyi tarafından hazırlanan Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Hakkında Çerçeve Sözleşme (“Çerçeve Sözleşme”), yapay zekâ alanında yasal olarak bağlayıcı ilk uluslararası anlaşma niteliğini taşımaktadır. Çerçeve Sözleşme, yapay zekâ sistemlerinin insan hakları, demokrasi ve hukukun üstünlüğü ile tamamen uyumlu bir şekilde geliştirilmesini ve kullanılmasını sağlarken, teknolojik ilerlemeyi ve yeniliği de teşvik etmeyi amaçlamaktadır.
Çerçeve Sözleşme’nin etkin bir şekilde uygulanmasının izlenmesi Taraflar Konferansı aracılığıyla gerçekleştirilecek olup bu mekanizma devletlerin uyumunu ve sözleşmenin uzun vadeli etkinliğini garanti altına almayı hedeflemektedir. Çerçeve Sözleşme 5 Eylül 2024 tarihi itibarıyla imzaya açılmıştır.
Çerçeve Sözleşme imza listesine buradan ve ilgili Türkçe broşüre buradan ulaşabilirsiniz.
DÜNYADAKİ GELİŞMELER
DUYURULAR VE HABERLER
Fransa Veri Koruma Otoritesi (“CNIL”) tarafından karanlık örüntü (dark pattern) içeren internet sitesi çerez kurgularına ilişkin resmi bir uyarı yayımlanmıştır.
CNIL tarafından, ulaşan şikayetler doğrultusunda; çerezleri reddetme seçeneğinin, kabul seçeneği kadar kolay sunulmadığını ve karanlık örüntü tasarımları ile kullanıcıların çerez kullanımına rıza vermeye yanıltıldığını ve bu durumun Fransız Veri Koruma Yasası’nın 82. maddesini ihlal ettiğini belirtilmiştir. Özellikle reddetme seçeneğinin çerez pop-up’ında fark edilmesi zor bir şekilde konumlandırıldığı, kabul seçeneğinin ise daha belirgin ve birden fazla kez sunulduğu gibi uygulamalar eleştirilerek zorunlu çerezler haricindeki çerezlerin yalnızca açık rızayla kullanılabileceği ve tasarımların yanıltıcı olmaması gerektiği vurgulanmıştır. CNIL, çerez pop-up kurgularındaki karanlık örüntü tasarımları nedeniyle internet sitesi yayıncılarına GDPR ve e-Privacy Direktif uyarınca bir ay içerisinde gerekli değişiklikleri gerçekleştirmeleri gerektiğini duyurmuştur.
İlgili uyarıya buradan ulaşabilirsiniz.
Avrupa Veri Koruma Kurulu ("EDPB”) tarafından yapay zekaya ilişkin görüş yayımlanmıştır.
EDPB, tarafından yayımlanan görüşte yapay zeka modelleri GDPR kapsamında ele alınmıştır. Bu kapsamda; anonimleştirme süreçleri, yapay zeka sistemleri için veri toplama süreçlerinin internet ve açık kaynak veri setleri üzerinden gerçekleştirilmesi, yapay zeka sistemleri için kişisel veri işlerken bunun hukuki sebepleri vb. konular değerlendirilmiştir.
EDPB görüşünde değinilmeyen bir husus olarak EDPB tarafından yapay zeka modellerine aktarılan verilerden olan özel nitelikli kişisel veriler ile yapay zeka sistemlerinden veri silinmesi taleplerinin sistemlerin yapısı gereği mümkün olmamasına ilişkin hususlar ise görüşe dahil edilmemiştir.
İlgili görüşe buradan ulaşabilirsiniz.
GÜNCEL KARARLAR
İtalya Veri Koruma Otoritesi (“Garante”) tarafından OpenAI’a 15 Milyon € idari para cezası ve yapay zeka okuryazarlığı yükümlülüğü öngörülmüştür.
Garante’nin OpenAI hakkında yürüttüğü soruşturma tamamlanarak ve şirkete 15.000.000 € ceza verilmiştir. Ayrıca, OpenAI’nin altı aylık bir kurumsal iletişim kampanyası yürütmesi zorunlu tutulmuştur. Bu kampanya; radyo, televizyon, gazete ve internet üzerinden yürütülecek ve kamuoyunun aşaqğıdaki konularda bilgilendirilmesi öngörülmüştür:
• ChatGPT’nin nasıl çalıştığı, kullanıcı ve kullanıcı olmayan kişilerin verilerinin yapay zekâ eğitiminde nasıl toplandığı.
• İlgili kişilerin itiraz, düzeltme ve silme gibi haklarını nasıl kullanabilecekleri.
Soruşturma sırasında, OpenAI’nin kullanıcı verilerini yasal dayanak olmadan topladığı ve şeffaflık ilkesini ihlal ettiği tespit edilmiştir. Ayrıca, 13 yaş altı kullanıcıların yaş doğrulama mekanizmaları olmadan uygunsuz içeriklere maruz kalma riskiyle karşı karşıya bırakıldığı belirtilmiştir.
İlgili karara buradan ulaşabilirsiniz.
İtalyan Veri Koruma Otoritesi tarafından 14 yaş altındaki çocukların fotoğraflarının sosyal medyada paylaşımı için her iki ebeveynin rızasının gerekli olduğunu vurgulayan bir karar verilmiştir.
İtalyan Veri Koruma Otoritesi, 14 yaş altı çocukların sosyal medyada paylaşılacak fotoğrafları için her iki ebeveynin önceden rızasının alınması gerektiğini bir kez daha kararında vurgulamıştır. Bu karar, bir annenin eski eşinin Facebook profilinde 14 yaşından küçük oğullarının fotoğrafını paylaşması nedeniyle yaptığı şikayetin ardından verilmiştir. Anne, paylaşımın çocuğun mahremiyetini ve itibarını zedelediğini belirterek fotoğrafın kaldırılmasını talep etmişse de, bu talep baba tarafından reddedilmiştir.
Garante, 14 yaş altındaki çocukların sosyal medyada paylaşılacak fotoğrafları için her iki ebeveynin rızasının şart olduğunu ve ebeveynlerin ortak velayete sahip olmalarının bu gerekliliği değiştirmediğini belirtmiştir. Baba tarafından yapılan paylaşımın, kişisel veri işlemede hukuka uygunluk ilkesini ihlal ettiği gerekçesiyle yasa dışı bulunduğu tespit edilmiştir. Otorite, babayı uyararak fotoğrafın kaldırılmasını ve gelecekte benzer paylaşımların yapılmamasına hükmederek ayrıca, babanın 30 gün içinde otoritenin taleplerini yerine getirmek için aldığı önlemleri bildirmesi gerektiği ifade edilmiştir.
İlgili bilgilendirme yazısına buradan ulaşabilirsiniz.