Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Haziran 2024
Contents
- TÜRKİYE’DEKİ GELİŞMELER
- İhlal Bildirimi
- Diğer Gelişmeler
- DÜNYADAKİ GELİŞMELER
- Güncel Kararlar
- Kamuoyu Duyuruları ve Haberler
Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.
TÜRKİYE’DEKİ GELİŞMELER
İhlal Bildirimi
Karakaya Kuruyemiş Gıda Tarım Ürünleri İnş. Taah. Turz. Teks. San. ve Tic. Ltd. Şti.
Veri sorumlusu Karakaya Kuruyemiş Gıda Tarım Ürünleri İnş. Taah. Turz. Teks. San. ve Tic. Ltd. Şti., bir siber saldırı sonucunda bünyesindeki bazı verilerin ( “Kişisel Veri” veya “Veri”) yer aldığı sunucuların kitlenmesi suretiyle gerçekleşen veri ihlalini (“Veri İhlali” veya “İhlal”) Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde;
• İhlalin 10.06.2024 tarihinde gerçekleştiği,
• İhlalin 11.06.2024 tarihinde tespit edildiği,
• İhlalden etkilenen kişi sayısının 200 olduğu,
• İhlalden etkilenen ilgili kişi gruplarının; kullanıcılar ve müşteriler olduğu,
• İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, müşteri işlem, işlem güvenliği, risk yönetimi, finans, pazarlama, görsel ve işitsel kayıtlar olduğu,
• İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; ırk ve etnik köken, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri olduğu belirtilmiştir.
Diğer Gelişmeler
8. Yargı Paketi Kapsamında Kişisel Verileri Koruma Kanunu’nunda (“KVVK”) gerçekleştirilen değişiklikler 01.06.2024 tarihi itibarıyla yürürlüğe girmiştir.
KVKK madde değişikliklerini de içeren 8. Yargı Paketi, 12.03.2024 tarihinde Resmi Gazete’de yayımlanmıştır. İşbu KVKK değişikliklerinin 01.06.2024 tarihi itibarıyla yürürlüğe girmesi öngörülmüştür. KVKK kapsamında aşağıdaki değişiklikler kabul edilmiştir:
• Özel nitelikli kişisel verilere ilişkin veri kategorisi ayrımı son bularak bundan böyle tüm özel nitelikli kişisel verilerin işlenmesi aynı işleme şartları ile mümkün olacaktır. Bu şartlar:
a) Açık Rıza,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişiler bakımından zorunluluk,
d) Alenileştirilmiş veriler,
e) Bir hakkın tesisi, kullanılması veya korunması için zorunluluk,
f) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
g) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlar tarafından zorunlu olması,
h) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumlar tarafından olarak belirlenmiştir.
• Yurt dışına kişisel veri aktarımı için aşamalı bir sistem öngörülmüştür. Açık rıza işleme şartı, istisnai durumlarda kullanılabilecektir. KVKK’nın 5. ve 6. maddelerinde yer alan kişisel veri işleme şartlarına uygun olmak koşuluyla yeni yurt dışına aktarım şartları ise şöyledir:
a) Aktarım yapılacak ülke, aktarım yapılacak ülke içindeki sektör hakkında veya uluslararası kuruluşlar ile Türkiye arasında Yeterlilik Kararı (Yeterlilik Kararı henüz açıklanmamıştır) bulunması,
b) Yeterlilik Kararı bulunmaması ancak aktarım yapılacak ülkede Uygun Güvencelerin bulunması halinde kişisel verilerin aşağıdaki mekanizmalar aracılığıyla yurt dışına aktarımı mümkün olmaktadır:
(i) Kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında milletlerarası sözleşme niteliğinde olmayan bir sözleşmenin varlığı,
(ii) Bağlayıcı Şirket Kuralları,
(iii) Standart Sözleşmeler,
(iv) Taahhütname,
Aktarım yapılacak ülkede Yeterlilik Kararı ve Uygun Güvencelerin bulunmaması halinde ise kişisel veriler Arizi Haller kapsamında yurt dışına aktarılabilecektir. İşbu arizi haller KVKK’da sınırlı sayıda sayılmış olup, bunun istisnai aktarımlar olarak anlaşılması gerekmektedir.
• Yurt dışına kişisel veri aktarımı amacıyla imzalanacak standart sözleşmelerin veri sorumlusu veya veri işleyen tarafından imza tarihinden 5 iş günü içerisinde Kurul’a bildirilmesi yükümlülüğü getirilmiştir. İşbu bildirimi yapmayan veri sorumluları ve veri işleyenler için 50.000 TL – 1.000.000 TL arasında idari para cezası düzenlenmiştir.
• Kurul tarafından verilen kararlara (hem talimatlandırma hem idari para cezası) itiraz için, İdare Mahkemesi tek yetkili olarak belirlenmiştir.
• 01.06.2024 tarihinde halen Sulh Ceza Hakimliğinde görülmekte olan idari para cezası itiraz dosyaları ise dosyanın bulunduğu hakimlikte görülmeye devam edecektir. Dosyaların tevdiisi vb. süreçler olmayacaktır.
• KVKK değişiklikleri, 01.06.2024 tarihinde yürürlüğe girmişse de yurt dışına veri aktarımına ilişkin düzenlemeler için yürürlük tarihi ile 01.09.2024 arası geçiş süreci olarak belirlenmiştir. Bu ara dönemde 9. maddenin hem eski hem yeni hükümleri birlikte uygulanacaktır.
• Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Standart Sözleşme ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik henüz yayımlanmamıştır.
İlgili Resmi Gazete’ye buradan ve konu hakkındaki yazımıza buradan ulaşabilirsiniz.
Yapay Zeka Kanunu teklifi Türkiye Büyük Millet Meclisi’ne (“TBMM”) sunulmuştur.
Milletvekili Ömer Faruk Gergerlioğlu tarafından Yapay Zeka Kanun teklifi (“Kanun Teklifi”) TBMM’nin Sanayi, Ticaret, Enerji, Tabii Kaynaklar, Bilgi ve Teknoloji Komisyonu’na 25.06.2024 tarihinde sunulmuştur.
Kanun Teklifi gerekçesinde; yapay zeka teknolojilerinin hızla gelişmesi, hayatın birçok alanında yaygınlaşması, sağlık, eğitim, güvenlik ve ulaşım gibi kritik alanlarda devrim niteliğinde değişiklikler meydana getirmesi, ancak bu gelişmelerin yapay zeka teknolojilerinin kötü niyetli kullanımını artırarak bireylerin hak ve özgürlüklerini tehdit etmesine sebep olduğu, bu sebeple yasal çerçevenin belirlenmesi ve yapay zeka teknolojisinin adil ve etik bir çerçevede geliştirilmesi ve kullanılmasının sağlanmasının amaçlandığı ifade edilmiştir.
Kanun Teklifi toplamda sekiz maddeden oluşmaktadır. Madde başlıkları sırasıyla şöyledir: Amaç ve Kapsam, Tanımlar, Temel İlkeler, Risk Yönetimi ve Değerlendirme, Uygunluk ve Denetim, İhlal ve Yaptırımlar, Yürürlük, Yürütme.
Kanun Teklif’i içeriği, Avrupa Birliği (“AB”) Yapay Zeka Tüzüğü'nün çok daha kısa bir iktibası izlenimini uyandırmaktadır.
Kanun Teklifi’nden dikkat çekenler özetle aşağıdaki gibidir:
- Madde 2’de Yapay Zeka, daha önceki öneri ve düzenlemelerden farklı olarak “insan benzeri bilişsel işlevler” ifadesiyle tanımlanmıştır. Ancak insan benzeri bilişsel işlev göstermenin ne anlam ifade ettiği açıklanmadığı gibi insan benzeri işlev göstermeyen yapay zeka sistemlerinin kapsam dışında kalması söz konusu olmuştur.
- Ayrıca genel olarak, AB’de yer alan düzenlemelerde yapay zeka tanımındansa yapay zeka sistemleri tanımının yapılması tercih edilirken Kanun Teklifi’nde doğrudan yapay zeka tanımının yapıldığı görülmektedir.
- AB Yapay Zeka Tüzüğü’nde yer alan birçok paydaştan bahsedilmediği, tanımlarının yapılmadığı görülmektedir.
- AB Yapay Zeka Tüzüğü’nde yer alan “deployer” paydaşı çevirisi, Kanun Teklifi’nde “Dağıtıcı/Kullanıcı” olarak geçmektedir. Ancak söz konusu paydaşın kimi temsil ettiği, isminin ne olmadığı gerektiği hakkında akademide tartışmalar mevcuttur.
- Madde 3’te temel ilkeler; güvenlik, şeffaflık, adillik, hesap verilebilirlik ve gizlilik olarak belirlenmiştir. Belirlenen ilkeler, AB Genel Veri Koruma Tüzüğü’nde (“GDPR”) yer alan ilkeleri hatırlatmaktadır. Ancak hem GDPR’da hem AB Yapay Zeka Tüzüğü’nde çok daha kapsamlı ilkeler yer almaktadır. Ör; dürüstlük ve adillik (fairness), ayrımcılık yapmama, insan gözlemi (human oversight), veri yönetişimi, sosyal ve çevresel iyi olma hali (social and enviromental well-being), tasarımda gizlilik (privacy by design), tasarım öncesi gizlilik (privacy by default) vb.
- Madde 4’te, AB Yapay Zeka Tüzüğü’nde yapay zeka sistemleri arasında yer alan risk kategorizasyonunun Kanun Teklifi’nde yapılmadığı görülmektedir.
- Madde 5’te denetim için yetkilinin denetim makamları olduğu belirtilmişse de denetimin makamının kim veya kimler olduğu açıklanmamıştır. Madde 8’de ise Kanun Teklifi’ni Cumhurbaşkanı’nın yürüteceği ifade edilmiştir.
- Madde 6’da Kanun Teklifi’ne aykırı davranan yapay zeka operatörleri hakkında aşağıdaki yaptırımların uygulanacağı belirtilmiştir:
(i) Yasaklanan yapay zeka uygulamaları için 35 milyon TL veya yıllık cironun %7’si kadar para cezası
(ii) Yükümlülük ihlali için 15 milyon TL veya yıllık cironun %3’ü kadar para cezası
(iii) Yanlış bilgi sağlanması halinde 7.5 milyon TL veya yıllık cironun %1,5’ine kadar para cezası
- Ancak yasaklanan yapay zeka sistemlerinin ne olduğu, yanlış bilgi sağlanmasının hangi hallerde olduğu, yükümlülük ihlali ile kast edilen yükümlülüklerin neler olduğu detaylandırılmamıştır.
DÜNYADAKİ GELİŞMELER
Güncel Kararlar
Hollanda Veri Koruma Otoritesi tarafından Ambitious People Group B.V.’ye 6.000 € para cezası verilmiştir.
İş bulma şirketi olan veri sorumlusu Ambitious People Group B.V.'ye üç farklı ilgili kişi tarafından kişisel verilerin silinmesi talebi iletilmiştir. Hollanda Veri Koruma Otoritesi, veri sorumlusunun ilgili kişi taleplerine rağmen kişisel verileri silmemesi ve verilerinin silinmesine talep eden kişilere mevuzt iş pozisyonları için ulaşmaya devam etmesi sebebiyle veri sorumlusuna 6.000 € para cezası vermiştir. Hollanda Veri Koruma Otoritesi, kararında unutulma hakkına atıfta bulunmuştur. Bu hak özetle şu şekilde açıklanmıştır: “İnsanların unutulma hakkı bulunmaktadır. Bu, çoğu durumda bir kuruluşun toplamış olduğu kişisel verileri, talep edilmesi halinde silmesi gerektiği anlamına gelmektedir. Böylece, insanların mahremiyeti korunmuş olacaktır.” Ayrıca kuruluşların, gereğinden fazla kişisel veri toplamamak ve saklamamak için ellerinden geleni yapması gerektiği, bir başka deyişle GDPR kapsamındaki veri minimizasyonu ilkesine uymaları gerektiği belirtilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-2351
İspanyol Veri Koruma Otoritesi tarafından Naturgy Iberia, S.A.'ya 100.000 € para cezası verilmiştir.
Naturgy Iberia, S.A.’nın bir müşterisi, tarafı olduğu elektrik tedarik sözleşmesinde rızası olmadan değişiklik yapıldığını iddia ederek İspanyol Veri Koruma Otoritesi’ne şikayette bulunmuştur. İspanyol Veri Koruma Otoritesi tarafından gerçekleştirilen incelemeler sonucunda veri sorumlusunun kimlik doğrulaması yapmaksızın şikayetçi ilgili kişi gibi davranan kötü niyetli bir kişinin beyanıyla sözleşmede değişiklik yaptığını tespit etmiştir. Bu sebeple, İspanyol Veri Koruma Otoritesi tarafından, enerji şirketi olan veri sorumlusu Naturgy Iberia, S.A.'ya 100.000 € para cezası verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-2367
İspanyol Veri Koruma Otoritesi tarafından Allianz Compañía De Seguros y Reaseguros, S.A.'ya 160.000 € para cezası verilmiştir.
Sigorta şirketi olan veri sorumlusu Allianz Compañía De Seguros y Reaseguros, S.A. hakkında bir ilgili kişi tarafından İspanyol Veri Koruma Otoritesine şikayette bulunulmuştur. Bunun üzerine başlatılan incelemede veri sorumlusunun, şikayetçi ilgili kişinin rızası olmaksızın eski iş ortağına ilgili kişinin sigorta belgelerine erişim sağladığı tespit edilmiştir. Bunun üzerine İspanyol Veri Koruma Otoritesi tarafından Allianz Compañía De Seguros y Reaseguros, S.A.'ya 200.000 € para cezası verilmişse de cezanın derhal ödenmesi sebebiyle ceza, 160.000 €‘ya indirilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-2378
İsveç Veri Koruma Otoritesi tarafından, Avanza Bank AB'ye 1,3 milyon € para cezası verilmiştir
Veri sorumlusu Avanza Bank AB tarafından, internet sitesi ve mobil uygulamasında Meta, Inc. tarafından sağlanan pikseller olarak adlandırılan teknolojilerin kullanıldığı İsveç Veri Koruma Otoritesi tarafından tespit edilmiştir. İsveç Veri Koruma Otoritesi, bu durumun müşterilerin elindeki menkul kıymetler ve hesap numaraları hakkındaki bilgilerin Meta'ya aktarıldığı anlamına geldiğini belirtmiştir. Bu kişisel veri aktarımlarının, yanlış ayarlar uygulanması nedeniyle 15.11.2019’dan 02.06.2021 tarihine kadar gerçekleştiği tespit edilmiştir. Veri sorumlusu bunun farkına vardıktan sonra piksel teknolojisini devre dışı bıraktıysa da İsveç Veri Koruma Otoritesi tarafından veri sorumlusuna 1,3 milyon € para cezası verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-2377
Kamuoyu Duyuruları ve Haberler
Avrupa İnsan Hakları Mahkemesi (“AİHM”) tarafından kitlesel gözetleme hakkındaki başlıca karar özetlerinin yer aldığı bilgi notunun güncellenmiş versiyonu yayımlanmıştır.
AİHM tarafından yayımlanan bilgi notunda kitlesel gözetleme hakkında aşağıdaki hususlar dikkat çekmektedir:
- AİHM, kitlesel gözetlemeyi incelerken Avrupa İnsan Hakları Sözleşmesi’nin (“AİHS”) özel hayata, aile hayatına, konuta ve yazışmaya saygı hakkı başlıklı 8. maddesine atıfta bulunmuştur.
- Kararların 1978 – 2024 senelerine ait olduğu görülmektedir.
- Kitlesel gözetleme hakkında incelemesi devam eden iki dosya olduğu belirtilmiştir.
- AİHM’in 2024 senesindeki tek kararının özeti ise aşağıda verilmiştir
(Bkz. https://hudoc.echr.coe.int/fre-press#{%22itemid%22:[%22003-7957259-11092429%22]}):
Bu başvuru, beş Polonya vatandaşı tarafından gerçekleştirilmiştir. Başvuruda; Polonya makamları tarafından yerel mevzuat uyarınca hem operasyonel kontrol hem de istihbarat amacıyla uygulanan gizli gözetim rejiminde telekomünikasyon, posta ve dijital iletişim verilerinin ulusal makamlar tarafından gelecekte kullanılmak üzere saklandığı belirtilmiştir. Başvurucular aynı zamanda, bu gizli gözetleme faaliyetine karşı herhangi bir iç hukuk başvuru mekanizmalarının olmadığı ve uğranan hak ihlallerinin telafi imkanın olmadığını vurgulamıştır.
AİHM, Polonya mevzuatı uyarınca öngörülen gizli gözetleme faaliyetinin yeterli güvenceleri sağlamadığına karar vermiştir. AİHM’e göre, Polonya yerel mevzuatı, bireyleri aşırı gözetlemeye ve özel hayata aşırı müdaha edilmesine karşı yeterli güvenceleri içermemekte ve bu güvencesizlik yargısal koruma mekanizmalarından da muaf tutulmuştur. Ayrıca, bu gözetleme faaliyetinin demokratik toplumun gereklilikleri ile uyuşmadığına karar vererek gizli gözetleme faaliyetinin AİHS’in 8. maddesi uyarınca ihlal oluşturduğuna hükmetmiştir.
Bkz. https://www.echr.coe.int/documents/d/echr/FS_Mass_surveillance_ENG