Kişisel Verileri Koruma Hukuku Güncel Gelişmeler Nisan 2024
Contents
- TÜRKİYE'DEKİ GELİŞMELER
- İhlal Bildirimleri
- Diğer Gelişmeler
- DÜNYADAKİ GELİŞMELER
- Güncel Kararlar
- Kamuoyu Duyuruları ve Haberler
Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.
TÜRKİYE'DEKİ GELİŞMELER
İhlal Bildirimleri
Yamaha Motor Europe N.V.
Veri sorumlusu Yamaha Motor Europe N.V., Müşteri İlişkileri Yönetim (“CRM”) sistemindeki hatalı yapılandırmanın bağımsız bir siber güvenlik araştırmacısı tarafından bildirilmesi üzerine gerçekleşen ihlali Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde:
- İhlal kapsamında; CRM sisteminde kayıtlı herhangi bir kullanıcının, başka kullanıcının kişisel verilerine erişebildiğinin tespit edildiği,
- İhlalin 26.03.2024 tarihinde tespit edildiği,
- İhlalin 2019 yılında başlamış olabileceği,
- CRM sistemine 2021 yılı ve öncesinde eklenen tüm müşteri kayıtlarının ihlalden etkilenmiş olabileceği,
- Türkiye’den 35.988 ilgili kişinin ihlalden etkilenmiş olabileceği,
- İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
- İhlalden etkilenen kişisel verilerin; ad-soyad, cinsiyet, e-posta adresi, (dahili) müşteri numarası verileri ile az sayıda ilgili kişi için ise tüm bunlara ek olarak posta adresi ve telefon numarası olduğu belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7850/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yamaha-Motor-Europe-N-V-
TTZ Pazarlama Plastik San. Ltd. Şti.
Veri sorumlusu TTZ Pazarlama Plastik San. Ltd. Şti., verilerin şifrelenerek fidye talep edilen bir siber saldırı sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde:
- İhlalin 13.04.2024 tarihinde başladığı ancak 19.04.2024 tarihinde tespit edildiği,
- İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
- İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
- İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
- İhlal hakkında bilgi almak isteyen ilgili kişilerin e-posta aracılığıyla bilgi alabileceği belirtilmiştir.
Titiz Plastik Dış Tic. ve San. Ltd. Şti.
Veri sorumlusu Titiz Plastik Dış Tic. ve San. Ltd. Şti., verilerin şifrelenerek fidye talep edilen bir siber saldırı sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde:
- İhlalin 13.04.2024 tarihinde başladığı ancak 14.04.2024 tarihinde tespit edildiği,
- İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteriişlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
- İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
- İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
- İhlal hakkında bilgi almak isteyen ilgili kişilerin e-posta aracılığıyla bilgi alabileceği belirtilmiştir.
SporPark Ayakkabı Teks. ve Spor Malz. Tic.Ltd. Şti.
Veri sorumlusu SporPark Ayakkabı Teks. ve Spor Malz. Tic. Ltd. Şti., sistemlerinde kayıtlı bir kullanıcı adı ve şifresinin elde edilmesi suretiyle diğer kullanıcılara ait verilerin ele geçirilmesi sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde:
- İhlalin 01.11.2023 tarihinde başladığı ancak 21.04.2024 tarihinde tespit edildiği,
- İhlalden etkilenen veri kategorilerinin; kimlik, iletişim, lokasyon ve müşteri işlem verileri olduğu,
- İhlalden etkilenen ilgili kişi sayısının tespit edilemediği,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, üyeler ve müşteriler olduğu,
- İhlal hakkında bilgi almak isteyen ilgili kişilerin çağrı merkezi aracılığıyla bilgi alabileceği belirtilmiştir.
Modaselvim Tekstil San. ve Tic. A.Ş.
Veri sorumlusu Modaselvim Tekstil San. ve Tic. A.Ş., bünyesindeki çalışmakta olan bir yetkilinin kullanıcı bilgilerinin yetkisiz üçüncü kişiler tarafından ele geçirilmesi sonucunda sistemlere yetkisiz erişim sağlanması sonucunda gerçekleşen ihlali Kurul’a bildirmiştir. Yapılan bildirimde:
- İhlalden 20.04.2024 tarihinde şantaj e-postası ile haberdar olduklar ancak ihlalin başlangıç tarihinin tespit edilemediği,
- İhlalden etkilenen veri kategorilerinin; kimlik, iletişim verileri olduğu,
- İhlalden etkilenen ilgili kişi sayısı henüz tespit edilemese de çalışmalara devam edildiği,
- İhlalden etkilenen ilgili kişi gruplarının kullanıcılar, aboneler/üyeler ve müşteriler olduğu,
- İhlal hakkında bilgi almak isteyen ilgili kişilerin çağrı merkezi aracılığıyla bilgi alabileceği belirtilmiştir.
Diğer Gelişmeler
Reklam Kurulu tarafından internet sitesi üyelik süreçleri hakkında kararlar yayımlanmıştır.
Reklam Kurulu’nun 12.03.2024 tarihli ve 343 sayılı toplantısı ile yayımlanan basın bülteni 133 tane karar içermektedir. Bu kararlarda; bilişim ve teknoloji hukuku bakımından önem taşıyan hususlar bulunmaktadır. Önemli hususlar aşağıda özetlenmiştir:
- "Üye Ol" ve "Üye Olmadan Devam Et" seçeneklerinin aynı renk ve puntoda olması gerektiği,
- Tüketiciye ürün ve hizmet satışı sonrası, platform üzerinde iz bırakmama imkânının tanınması gerektiği/“Üye Olmadan DevamEt” seçeneğinin sunulması gerektiği,
- Üye olmadan devam edeceklere Üyelik Sözleşmesi,Üye Aydınlatma ve Üye Açık Rıza Metinleri vb. üyelere özgü dokümanların sunulmaması gerektiği,
- Üye olmadan devam edenlerin battaniye açık rıza ile davranışsal/hedefli reklamcılığa maruz bırakılmaması, bir başka deyişle gerekmesi halinde açık rıza alınması gerektiği,
- Ticari uygulamaların, tüketicilerin karar verme veya seçim yapma iradesini olumsuz yönde etkilememesi ve tüketicilerin açıkça bilgilendirilmesi, bir başka deyişle dark pattern kullanılmaması gerektiği,
- Herhangi bir açık rızanın sözleşme içerisine gizlenmemesi gerektiği,
- Ticari elektronik ileti açık rızasının herhangi bir sözleşme içerisine gizlenmemesi gerektiği,
- Herhangi bir sözleşme içerisine “…. konusunda verilerinizin işlenmesine açık rıza vermektesiniz/çerez politikamızı onaylıyorsunuz” minvalinde aydınlatma ve açık rıza unsurlarını sağlamayan ifadelerin yerleştirilmemesi gerektiği,
- Tüketicilerin karar verme veya seçim yapma iradesinin olumsuz etkilenmemesi gerektiği,
- Tüketicilerin açıkça bilgilendirilmesi gerektiği,
- “Üye Olmak İstiyorum” vb. ifadelerin opt-out olarak gelmemesi, tüketicilerin üye olmaya zorlanmaması ve manipüle edilmemesi gerektiği,
- Üye olurken cinsiyet bilgisinin girilmesinin 6502 sayılı Tüketicinin Korunması Hakkında Kanun’a aykırı olduğu,
- Üye olmak kadar üyelikten çıkmanında benzer bir kolaylıkta olması gerektiği belirtilmiş.
İlgili basın bültenine buradan ulaşabilirsiniz.
DÜNYADAKİ GELİŞMELER
Güncel Kararlar
Yunanistan Veri Koruma Otoritesi tarafından uygun bir veri koruma etki değerlendirmesi yürütmeyen Yunanistan Göç ve Sığınma Bakanlığına 175.000 € para cezası verilmiştir.
Birleşmiş Milletler’in Yunanistan Mültecileri Yüksek Komiserliği, veri sorumlusu YunanistanGöç ve Sığınma Bakanlığı’nın kullandığı gözetleme sistemleri ile hakkındaki mektubu Yunanistan Veri Koruma Otoritesi’ne iletilmiştir. Bunun üzerine; Yunanistan Veri Koruma Otoritesi tarafından Bakanlık tarafından yürütülen Kentauros Programı’nın kamera ve yapay zeka aracılığıyla davranışsal analitik gerçekleştiren bir dijital güvenlik sistemi içerdiğini, Centaur Programı’nın CCTV ve drone kullanımı içerdiği ve Uperia Programı’nın radyo frekansı ile tanımlama (RFID) ile parmak izi teknolojisini kullanarak konaklama yapılarına giriş ve çıkışı kontrol etmeyi amaçladığı belirtilmiştir.
Tüm bu bilgiler doğrultusunda; Yunanistan Veri Koruma Otoritesi, söz konusu programların mahremiyet ve veri koruma bakımından değerlendirilmesi amacıyla Bakanlık aleyhine re’sen bir soruşturma başlatmıştır. Bu kapsamda; söz konusu teknolojilerin kullanımından önce kapsamlı bir veri koruma etki değerlendirmesi yapılmamasının AB Genel Veri Koruma Tüzüğü’nün (“GDPR”) 25. (Tasarım ve Varsayılan Olarak Mahremiyet)ve 35. (Veri Koruma Etki Analizi) maddelerinin ihlali anlamına geldiğini tespit ederek Bakanlık aleyhine 175.000 € para cezası ve söz konusu uyumsuzlukların üç ay içerisinde giderilmesi için talimatlandırma verilmiştir.
Bkz. https://www.dataguidance.com/news/greece-hdpa-fines-ministry-immigration-and-asylum
İspanya Veri Koruma Otoritesi tarafından CaixaBank Payments & Consumer EFC, EP, S.A.U.,’ya (“CaixaBank”) ilgili kişilere sunulan formdaki verileri uygun hukuki sebep olmaksızın Sosyal Güvenlik Genel Hazinesi'ne aktarması sebebiyle 2.000.000 € para cezası verilmiştir.
İspanya Veri Koruma Otoritesi, farklı bir isme düzenlenmiş telefon faturasını teslim alan kişinin şikayeti üzerine Vodafone Espana S.A.U. hakkında soruşturma başlatmıştır. Soruşturma neticesinde, veri sorumlusunun doğrulama yapmaksızın iletişim bilgisi kaydettiği tespit edilmiştir. Bu sebeple, İspanya Veri Koruma Otoritesi tarafından veri sorumlusu aleyhine 140.000 € para cezası verilmişse de veri sorumlusunun gönüllü olarak ödemesi nedeniyle ceza, 112.000 € olarak düşürülmüştür.
Bkz. https://www.dataguidance.com/news/spain-aepd-imposes-140000-fine-vodafone-espa%C3%B1a
İspanya Veri Koruma Otoritesi tarafından VodafoneEspana S.A.U.'ya farklı bir ilgili kişi adına düzenlenmiş telefon faturasınınyanlış ilgili kişiye iletilmesi sebebiyle 140.000 € para cezası verilmiştir.
İspanya Veri Koruma Otoritesi, farklı bir isme düzenlenmiş telefon faturasını teslim alan kişinin şikayeti üzerine Vodafone Espana S.A.U. hakkında soruşturma başlatmıştır. Soruşturma neticesinde, veri sorumlusunun doğrulama yapmaksızın iletişim bilgisi kaydettiği tespit edilmiştir. Bu sebeple, İspanya Veri Koruma Otoritesi tarafından veri sorumlusu aleyhine 140.000 € para cezası verilmişse de veri sorumlusunun gönüllü olarak ödemesi nedeniyle ceza, 112.000 € olarak düşürülmüştür.
Bkz. https://www.dataguidance.com/news/spain-aepd-imposes-140000-fine-vodafone-espa%C3%B1a
İspanya Veri Koruma Otoritesi tarafından Prestamer S.L.’ye e-posta gönderimi sırasında BCC kullanılmaması sebebiyle 3.000€ para cezası verilmiştir.
Veri sorumlusu Prestamer S.L. tarafından gönderilen e-postaya eklenen kullanıcıların e-posta bilgileri, e-postanın BCC bölümüne eklenmemeleri sebebiyle e-postayı teslimalan herkes tarafından görünür olmuştur. Şikayet üzerine başlatılan soruşturmada İspanya Veri Koruma Otoritesi tarafından 3.000 € para cezası verilmişse de veri sorumlusunun gönüllü olarak ödemesi nedeniyle 1.800 € olarak düşürülmüştür.
Bkz. https://www.enforcementtracker.com/ETid-2285
Çekya Veri Koruma Otoritesi tarafından bir antivirüs yazılım programı şirketi olan Avast Software S.R.O. (“Avast”) aleyhine 13.900.000 € para cezası verilmiştir.
Veri sorumlusu, antivirüs yazılımının yaklaşık 100 milyon kullanıcısının kişisel verilerini ABD'li şirket Jumpshot'a açıklamıştır. Veri sorumlusu Avast, benzersiz bir kimlikle bağlantılı olarak kullanıcılara takma ad vermişse de kullanıcılarının internet arama geçmişi de dahil olmak üzere birçok verisini Jumpshot'a uygun tedbirleri almadan aktarmıştır. Belirtmek gerekir ki, Jumpshot şirketi kendisini, tüketicilerin çevrimiçi davranışlarına ilişkin içgörü sağlayan ve atomik düzeyde kullanıcı yolculuğu takibi sunan bir şirket olarak tanıtmaktadır.
Avast, aktarımı gerçekleşen söz konusu verilerin yalnızca istatiksel amaçlar için anonimleştirilerek aktarıldığını beyan etse de aslında durum bu şekilde gerçekleşmemiş, Avast kullanıcılarına verilerin anonimleştirildiği hakkında yanlış bilgi vermiştir. Bunun üzerine; Çekya Veri Koruma Otoritesi, Avast tarafından kişisel verilerin izinsiz işlenmesi nedeniyle Avast aleyhine 13.900.000 € para cezasına karar vermiştir.
Bkz. https://www.enforcementtracker.com/ETid-2298
Kamuoyu Duyuruları ve Haberler
Avrupa Parlamentosu Araştırma Servisi tarafından, yapay zekâ ve siber güvenlik hakkında bir çalışma yayımlanmıştır.
Avrupa Parlamentosu Araştırma Servisi, yapay zekâ ve siber güvenlik hakkında bir çalışma yayımlamıştır. Bu kapsamda aşağıdaki hususlar açıklanmıştır:
- Yapay zekanın siber güvenliği (standardizasyonu kapsar),
- Yapay zekanın siber güvenliği artırmak için kullanılması,
- Yapay zekanın yeni tehdit oluşturma potansiyeli.
Bkz. https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/762292/EPRS_ATA(2024)762292_EN.pdf
Avrupa Parlamentosu Araştırma Servisi tarafından, çocukları sanal evrenlerden (metaverse) korumak üzere bir çalışma yayımlanmıştır.
Avrupa Parlamentosu tarafından, sanal evrenler ve çocuklar hakkında yayımlanan çalışmada; bileşenleridaha ucuz hale geldikçe VR, AR ve MR teknolojilerinin yaygınlaşmasıyla kablosuz deneyim ve ultra gerçekçi görüntüler sağlayan yapay zeka teknolojilerinin daha çok kullanılmaya başlandığı vurgulanmıştır. Bu teknolojilerin; sosyal etkileşim, kültürel etkinlikler, çocuk ruh ve fiziksel sağlığı vb. alanlarda fayda sağlayabileceği ancak, mahremiyet, veri koruma ve haksız ticari uygulamalar bakımından riskler barındırdığı ifade edilmiştir. Bu kapsamda; özel sektörün çabasının da çocukların sanal evrenlerden korunması bakımından önemli olduğu belirtilmiştir.
Bkz. https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/762294/EPRS_ATA(2024)762294_EN.pdf
Birleşik Krallık Veri Koruma Otoritesi (“ICO”) tarafından çevrimiçi ortamda çocukların korunması hakkında yazı yayımlanmıştır.
ICO tarafından hazırlanan yazıda; çocukların aşağıdaki konular bakımından savunmaz olabileceği belirtilmiştir:
- Yabancılar tarafından uygunsuz bir şekilde tanımlanmak veya hedef alınmak,
- Konumlarının takip edilmesi,
- Zararlı iletişimler.
Yukarıdaki sakıncalar sebebiyle Age Appropriate Design Code’un 2024-2025 senesinde aşağıdaki alanlara yoğunlaşacağı vurgulanmıştır:
- Varsayılan gizlilik ve coğrafi konum ayarları,
- 13 yaşın altındaki çocukların bilgilerinin kullanılması,
- Hedefli reklamlar için çocukların profilini çıkarmak,
- Tavsiye sistemlerinde çocukların bilgilerinin kullanılması.