Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Eylül 2024

Bu makalede Hande Çağla Yılmaz ve Aslı Ceyda Akdoğan ortak yazar olarak yer almıştır.

TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Kentaş Gıda Pazarlama ve Dağıtım Tic. Ltd. Şti.

Veri sorumlusu Kentaş Gıda Pazarlama ve Dağıtım Tic. Ltd. Şti., fidye yazılım saldırısına maruz kalarak ve bünyesindeki dosyaların şifrelenmesi sebebiyle bazı kişisel verilere (“Kişisel Veri” veya “Veri”) ulaşılması suretiyle gerçekleşen veri ihlalini (“Veri İhlal” veya “İhlal”) Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde;

– İhlalin 12.09.2024 tarihinde gerçekleştiği,

– İhlalden muhasebe programına ait bilgilerin etkilendiği, dolayısıyla muhasebeyle ilgili fatura bilgileri ile veri sorumlusuna ait resmi defterlere, borç/alacak hesaplarına ve sistemde kayıtlı personel adres ve kimlik numaralarına ulaşıldığının tahmin edildiği,

– İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler ile potansiyel müşteriler olduğu,

– İhlalden etkilenen kişi sayısının tahmini 1000 kişi olduğu,

– İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, müşteri işlem, işlem güvenliği, finans, pazarlama olduğu bilgileri paylaşılmıştır.

Bkz. https://www.kvkk.gov.tr/Icerik/8012/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Kentas-Gida-Pazarlama-ve-Dagitim-Ticaret-Limited-Sirketi

İncirli Sağlık ve Sosyal Tesisler A.Ş.

Veri sorumlusu İncirli Sağlık ve Sosyal Tesisler A.Ş., bünyesindeki bilişim sistemine dışarıdan müdahale edilerek kayıtlı olan tüm uygulamalar dahil olmak üzere tüm verilerinin silinmesi, yok edilmesi ve yedeklerinin imha edilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

– İhlalin 14.08.2024 tarihinde başladığı,

– İhlalin 04.09.2024 tarihinde sona erdiği,

– İhlalden etkilenen kişi grubunun çalışanlar ve hastalar olduğu,

– İhlalden etkilenen kişi sayısının henüz tespit edilemediği,

– İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, fiziksel mekân güvenliği, sağlık bilgileri, cinsel hayat, biyometrik veri, genetik veri kategorileri olduğu,

– İhlalde nedeniyle tüm kayıtlar silinmiş olup, veri sorumlusunda şimdiye kadar çalışmış olan tüm personel ile ayakta ve yatan hasta sayısının bilinmesinin mümkün olmadığı ancak ihlalden etkilenen kişi sayısının tahmini 1000 ve üzeri olduğu,

– İlgili kişilerin veri sorumlusunun internet adresi ve çağrı merkezinden bilgi alabileceği bilgileri paylaşılmıştır.

Bkz. https://www.kvkk.gov.tr/Icerik/8009/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Incirli-Saglik-ve-Sosyal-Tesisler-A-S-

Diğer Gelişmeler

Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028) yayımlanmıştır.

Gerek özel, gerek kamu kurum ve kuruluşlarının iş hacminin önemli bir kısmını siber ortamlarda yürütülmesi, bireylerin ise gündelik hayatında, iş ve ilişkilerinde söz konusu ortamları sıklıkla kullanılması sebebiyle Ulaştırma ve Altyapı Bakanlığınca; kurum, kuruluş ve kullanıcıların varlıklarının korunması hedefiyle Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (“Strateji ve Eylem Planı”) (2024-2028) yayımlanmıştır. 

2013-2014 yılında ilk kez yayımlanan Strateji ve Eylem Planı’ndan bu yana, düzenli olarak yayımlanmış olup siber mevzuatınınn geliştirilmesi, kritik altyapıların güvenliğinin sağlanması, toplumda siber güvenlik farkındalığının oluşturulması, siber tehdit tespiti ve önlenmesi gibi önemli konulara değinilmiş ve kazanımlar elde edilmeye başlandığı yeni eylem planında ifade edilmiştir.

Yayımlanan Strateji ve Eylem Planı dört (4) bileşenden yola çıkılarak hazırlanmıştır, bunlar; insan, savunma, caydırıcılık ve iş birliği olarak belirtilmiştir. Ayrıca altı (6) ana amaç belirlenmiştir:

– Siber dayanıklılık,

– Proaktif savunma ve caydırıcılık,

– İnsan odaklı siber güvenlik yaklaşımı,

– Teknolojinin güvenli kullanımı ve siber güvenliğe katkısı,

– Siber tehditlerle mücadelede yerli ve milli teknolojiler ve

– Uluslararası alanda Türkiye markası.

Bkz. https://www.uab.gov.tr/uploads/pages/siber-guvenligin-yol-haritasi-yerli-ve-milli-tekno/ulusal-siber-guvenlik-stratejisi-2024-2028.pdf 

108 milyon vatandaşın kişisel verilerinin çalınmasına ilişkin haberler kapsamında Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Kamuoyu Duyurusu yayımlanmıştır.

Söz konusu kamuoyu duyurusu ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesi kapsamında, veri sorumlularının kişisel veriler bakımından uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorunda olduğu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde ise bu durumu en kısa sürede ilgililerine ve Kurul’a, Kurul’un gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka yöntemlerle ilan edebileceği ifade edilmiştir.

Ayrıca; veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin, en geç 72 saat içinde Kurul’a bildirimde bulunma yükümlülüğü bulunduğu tekrarlanmıştır.

Diğer taraftan Kurul’un, şikâyet üzerine veya veri ihlali iddiasını öğrenmesi durumunda, görev alanına giren konularda Kanun’un 15. maddesi gereğince gerekli incelemeyi resen yapabileceği ifade edilmiştir.

Tüm bu bilgiler doğrultusunda; muhtelif haber kaynaklarında ve sosyal medya platformlarında 108 milyon vatandaşın, özellikle pandemi döneminde, kişisel verilerinin çalındığına ilişkin haberler yer almakta olduğu ancak an itibarıyla Kurum’a intikal etmiş herhangi bir veri ihlalinin bulunmadığı belirtilmiştir.

Bununla birlikte, söz konusu kamuoyu duyurusunda; halihazırda Kurul tarafından alınmış resen inceleme kararı bulunmakta olduğu ve ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edildiği ifade edilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/8010/Kamuoyu-Duyurusu

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

İspanya Veri Koruma Otoritesi tarafından Afianza Asesores, S.L. aleyhine 145.000 € idari para cezası ödenmesine karar verilmiştir.

İspanya Veri Koruma Otoritesi kararında, Afianza Asesores, S.L.’nin bir hukuki danışmanlık firması olduğu ve içerisinde ceza davalarına ilişkin kişisel veri barındıran ve şifrelenmemiş bir taşınır belleğin çalındığına yer verilmiştir. İlgili kararda, veri sorumlusu olan Afianza Asesores, S.L. tarafından, bilgilerin 3. kişiler tarafından kullanılıp kullanılmadığının kesin olmadığını ve gerekli verilerin başkalarının eline geçmemesi için gerekli önlemler aldıkları öne sürülmüştür.

İspanya Veri Koruma Otoritesi tarafından, GDPR’ın (AB Veri Koruma Tüzüğü) 5/1-f maddesi uyarınca veri sorumlularının veri koruma sürecinin önem arz ettiğini, verilerin kullanılmasının değil, 3. şahısların eline şifresiz bir şekilde ulaşmasının ihlal olduğu belirtilmiştir.

Kararda ayrıca, GDPR madde 32 gereğince, veri sorumlusunun birçok önlem almış olduğu kabul edilmiş fakat yaptığı iş gereği diğer mesleklere nazaran daha fazla kişisel veri bulundurması sebebiyle, daha ciddi önlemler alınmış olması gerektiği vurgulanmıştır.

İspanya Veri Koruma Otoritesi tarafından başta öngörülen 160.000 € para cezası 145.000 €’ya indirilmiştir ve bu meblağ üzerinden idari para cezasına hükmedilmiştir.

Bkz. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202100318&mtc=today#Holding

Verileri izinsiz ve hukuka aykırı olarak başka bir şirkete satan gerçek kişiye 1.200 £ idari para cezası ve 300 £ giderlere hükmedilmiştir.

İngiltere’nin Hertfordshire kentinde Leaseline Vehicle Management şirketi için çalışan Alexander Doré, şirkette bulunan kişisel verileri, rakip firmalara sattığı iddia edilmiştir. Söz konusu ihlal 2022 yılı Kasım ayında ICO tarafından tespit edilmiş ve soruşturulmuştur. Alexander Doré’nin, 3.600’dan fazla kişisel veriyi şirketin sisteminden aldığı, verinin kendine ait olduğunu iddia ederek rakip firmalara sattığı tespit edilmiştir.

Alexander Doré, verileri yasadışı yollardan elde etme ve satma suçunu kabul etmiş ve aleyhine 1.200 £ idari para cezası ve 300 £ giderlere hükmedilmiştir.

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/09/guilty-car-salesman-fined-for-retaining-and-selling-data-to-competitors/

Fransız Veri Koruma Otoritesi tarafından CEGEDIM SANTÉ aleyhine 800.000 € idari para cezasına hükmedilmiştir.

Fransız Veri Koruma Otoritesi tarafından 2021 yılında yürütülen bir soruşturmada; CEGEDIM SANTÉ şirketinin yazılım ürünlerinden birinin kullanımı yoluyla sağlık sektöründe çalışmalar yürüttüğü, istatistik üretmek amacıyla müşterilerine veriler aktardığı ve anonim olmayan sağlık verilerini izinsiz olarak işlediği tespit edilmiştir.

Ancak, Fransız Veri Koruma Kanunu’nun 66. maddesi uyarınca şirketin, işbu kişisel verileri işlemek için Fransız Veri Koruma Otoritesi’nden izin alması gerekmekte olup, ilgili şirket işbu yükümlülüğüne aykırı davranmıştır.

Ayrıca kararda, şirketin sağlık sigortası şirketi verilerine, doktorlar tarafından erişirken kurdukları sistem sebebiyle, erişilen dosyaların otomatik olarak indirildiği gözlemlenmiştir. Bu indirme sonucu, gözlemci olarak erişilen bilgilerin aynı zamanda indirilmiş ve dolayısıyla söz konusu verilerin izinsiz olarak işlendiği belirtilmiştir.

GDPR’ın 5/1 maddesi uyarınca, kişisel verileri hukuka uygun işlenmemesi sebebiyle CEGEDIM SANTÉ şirketine 800.000 € idari para cezasına hükmedilmiştir.

Bkz. https://www.edpb.europa.eu/news/national-news/2024/commercial-prospecting-french-sa-fined-cegedim-sante-eur-800-000_en

Yunanistan Veri Koruma Otoritesi tarafından Yunanistan İçişleri Bakanlığına yurt dışı seçmenlerinin kişisel veri dosyalarında gerçekleşen ihlal sebebiyle 400.000 € ve bu doğrultuda ismi açıklanmayan bir veri sorumlusuna 40.000 € idari para cezasına hükmedilmiştir.

Yunanistan Veri Koruma Otoritesi, Avrupa seçimleriyle ilgili istenmeyen siyasi iletişim hakkında bir veri sorumlusu tarafından şikâyet almıştır. Yunanistan Veri Koruma Otoritesi tarafından yapılan incelemeler sonucunda yurtdışı seçmenlerinin kişisel verilerini içeren bir dosyanın, Yunanistan İçişleri Bakanlığının dışına aktarıldığı tespit edilmiştir. Bu bilgiler arasında yurt dışında yaşayan Yunanlı seçmenlerin e-posta adresleri ve telefon numaraları yer almaktadır.

Kararda belirtildiği üzere, söz konusu dosya seçim sonrası analiz yapmak için kimliği belirlenmemiş bir potansiyel veri sorumlusuna aktarılmıştır.

Yapılan incelemeler sonucunda Yunanistan Veri Koruma Otoritesi, GDPR madde 5, 25, 30, 32 ve 33’lerinin ihlal edildiğini tespit etmiştir ve bu ihlallerin oylama süreciyle ilgili olmadığını belirtmiştir. Aynı zamanda Yunanistan İçişleri Bakanlığının süreçlerini GDPR’a uygun hale getirmesi gerektiği talimatı verilmiştir. Yunanistan Veri Koruma Otoritesi tarafından, Yunanistan İçişleri Bakanlığına 400.000 €, ismi açıklanmayan veri sorumlusuna 40.000 € idari para cezasına ve elde edilen verilerin silinmesine hükmedilmiştir.

Bkz. https://www.edpb.europa.eu/news/national-news/2024/hellenic-sa-imposition-fine-and-order-comply-following-leak-expats-personal_en

Hollanda Veri Koruma Otoritesi tarafından Clearview AI Inc. şirketine yüz tanıma için hukuka uygun olmayan şekilde veri toplamaları nedeniyle 30.500.000 € idari para cezasına hükmedilmiştir.

Hollanda Veri Koruma Otoritesi tarafından Clearview AI Inc. şirketinin “Kolluk kuvvetleri ve resmi kamu personeli için Clearview” (Clearview for law-enforcement and public defenders) servisinin, Hollanda sınırları içerisinde olan kişilerin, hukuki sebepleri olmamasına rağmen kişisel verilerini işlediğini, bu durumun GDPR 6(1), 5(1) ihlaline sebebiyet verdikleri tespit edilmiştir.

Aynı zamanda, söz konusu servis ile özel nitelikli kişisel veriler kategorisinde yer alan biyometrik verileri işleyerek GDPR 9(1) maddesi ihlal edilmekte olduğu; bu verileri toplarken ilgili kişileri yeterince bilgilendirmemesi sebebiyle GDPR Madde 12(1)’e de aykırı hareket edildiği vurgulanmıştır.

Söz konusu kararda, Clearview AI Inc.’in iki ilgili kişinin veri erişim taleplerini yanıtsız bıraktığı ve Hollanda içerisinde bulunan ilgili kişilerin verilerine, hakları doğrultusunda erişimlerine kolaylık sağlanmadığı belirtilmiştir. Ayrıca, GDPR kapsamında yükümlü olmasına rağmen, Clearview AI Inc.’in Avrupa Birliği’nde bir temsilci belirlemediği ifade edilmiştir.

Bu ihlaller sonucunda Hollanda Veri Koruma Otoritesi tarafından, Clearview AI Inc. aleyhine 30.500.000 € idari para cezasına hükmedilmiştir.

Bkz. https://www.edpb.europa.eu/news/national-news/2024/dutch-supervisory-authority-imposes-fine-clearview-because-illegal-data_en

Kamuoyu Duyuruları ve Haberler

Ekonomik İşbirliği ve Kalkınma Örgütü (“OECD”) tarafından, çevrimiçi alışverişlerde kullanılan altı “karanlık örüntü” (dark pattern) yöntemiyle ilgili bir yazı yayınlamıştır.

Karanlık Örüntü olarak bilinen manipülatif tasarım uygulamaları, tüketici davranışlarını etkileyerek istenmeyen satın almalara yol açabilmektedir. 10 Temmuz 2024 tarihinde, Amerika Birleşik Devletleri Federal Ticaret Komisyonu başkanlığındaki Uluslararası Tüketici Koruma ve Uygulama Ağı (ICPEN) tarafından karanlık örüntüyle ilgili istatistik yayımlanmıştır. Bu istatistikte, incelenen internet sitelerinin %76’sından fazlasının en az bir karanlık örüntü, yaklaşık %67’si ise birden fazla olası karanlık örüntü kullandığı ifade edilmiştir. Bu doğrultuda karanlık örüntülere karşı internet sitelerinde dikkat edilmesi gereken 6 hususa söz konusu OECD yazısında dikkat çekilmek istenmiştir:

1.Geri Sayım

İnternet sitelerinde geri sayımla birlikte verilen indirim haberleri, tüketicinin kaçırma korkusu ile hareket edip istenmeyen alışverişler yapmasına sebebiyet verebilmektedir.

2.Gizli Bilgi

Abonelik özellikleri ya da toplam maliyet gibi detaylar, uzun hüküm ve koşullar arasına saklanarak ve tüketicinin gözünden kaçabilmektedir. Bu yöntem, uzun yazıları okumayan tüketiciden faydalanarak beklenmedik ücretlere veya taahhütlere yol açılabilmektedir.

3.Israrlı Uyarılar

Çevrimiçi alışverişler sırasında tüketicilerin karşısına çıkan ısrarlı uyarılar ve belirli bir aksiyonu yerine getirmesini teşvik eden bildirimler, tüketicilerin direncini düşürerek almayacakları ürünlere yönlendirebilmektedir.

4.Abonelik Tuzakları

Ücretsiz deneme, tüketici için genellikle ücretli abonelik ile sonlanabilmektedir. Deneme sürecinin bitiminden sonra, karmaşık iptal süreci nedeniyle senelik aboneliklerle tüketiciler karşılaşılabilmektedir.

5.Zorla Kayıt ve Gizlilik İhlalleri

Yeni bir hizmetten faydalanmak için kayıt zorunluluğu getirilebilmekte ve bu kayıt yapılırken varsayılan veri ayarları üçüncü kişilerle paylaşıma izin verir şekilde ayarlanabilmektedir. Bu yöntemle, tüketicinin olabildiğince verisi toplanmak amaçlanmaktadır.

6.İptal Engelleri

Bir hizmete kaydolmak çok kolay iken, iptal süreci genellikle bir o kadar zor hale getirilmektedir. Bu sayede kişinin hizmetten çıkması zorlaştırmak amaçlanmaktadır.

Karanlık örüntü evensel olarak kullanılan bir yöntem olarak belirdiği ve bu sebeple tüketicilerin çevrimiçi alışverişlerinde bu durumlara dikkat etmelerinin önem taşıdığı OECD’nin yazısında belirtilmiştir.

Bkz. https://www.oecd.org/en/blogs/2024/09/six-dark-patterns-used-to-manipulate-you-when-shopping-online.html

Avrupa Veri Koruma Kurulu (EDPB), Dijital Piyasalar Yasası (Dijital Markets Act veya “DMA”) ve GDPR’ı geliştirmek üzere Avrupa Komisyonu ile birlikte çalışacağını ve bu kapsamda bir rehber yayımlanacağını duyurmuştur.

EDPB ve Avrupa Komisyonu, GDPR ile DMA kapsamında bir rehber yayımlayacaklarını duyurmuştur.

Bkz. https://www.edpb.europa.eu/news/news/2024/edpb-work-together-european-commission-develop-guidance-interplay-gdpr-and-dma_en