Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Ocak 2024
Türkiye'deki Gelişmeler
İhlal Bildirimleri
Dirk Rossmann Mağazacılık Limited Şirketi
Veri sorumlusu Dirk Rossmann Mağazacılık Limited Şirketi, kendisine ait internet sitesinde 27.12.2023 ile 09.01.2024 tarihleri arasında alışveriş yapan kullanıcıların verilerinin ele geçirildiğini Kişisel Verileri Koruma Kurulu’na bildirilmiştir. Yapılan bildirimde:
- İhlalin, site panelini yöneten üçüncü taraf teknoloji firması yetkilisinin parolasının ele geçirilmesi sonucunda gerçekleştiği;
- İhlalin, veri sorumlusu tarafından yapılan rutin güvenlik kontrolleri sırasında tespit edildiği;
- İhlalden etkilenen kişi ve kayıt sayısının, kişisel veri kategorilerinin tespit edilemediği
belirtilmiştir.
Diğer Gelişmeler
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” yayınlanmıştır.
Kurum seçim faaliyetlerinde yer alan seçmen, aday, siyasi parti vb. paydaşların yükümlülüklerinin ve sahip oldukları haklarının hatırlatılması amacıyla ilgili rehberi yayımlamıştır. Rehberde ilgili kişilere hatırlatılan bazı hususlar aşağıdaki gibidir:
- İlgili kişiler, 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 11. maddesinde düzenlenen haklarını kullanabileceklerdir.
- Yüksek Seçim Kurulu (“YSK”), Kanun’un 28. maddesinde düzenlenen istisnalar kapsamında olup zararın giderilmesi talebi hariç olmak üzere diğer ilgili kişi haklarını düzenleyen hükümlerden muaftır.
- Siyasi partiler ve bağımsız adaylar kendilerine yapılan başvurulara Kanun’a uygun olarak cevap vermekle yükümlüdür.
Kurum tarafından Türkiye Cumhuriyeti (“T.C.”) Kimlik Numaralarının İşlenmesi Hakkında Rehber (“Rehber”),
yayımlanmıştır.
Rehberde, T.C. kimlik numaralarının işlenmesine dayanak olan ilgili mevzuat hakkında detaylı bilgiler verilmiştir.
Kurum rehberde, T.C. kimlik numaralarının özel nitelikli veri sayılmamasına rağmen mahiyetleri gereği kişisel verilerin korunması açısından önemli bir yere sahip olduğunu vurgulamıştır.
Kurum tarafından “Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması
Hakkında Kişisel Verileri Koruma Kurulunun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı” yayımlanmıştır.
Kararda; köy kamu tüzel kişiliklerinin, Veri Sorumluları Siciline kayıt yükümlülüğünün istisnası dahilinde değerlendirilmesine karar verilmiştir.
Kurum tarafından Deepfake hakkında bilgi notu yayımlanmıştır.
Bilgi notunda Deepfake, insanların yüz, ses veya hareketlerini taklit etmek amacıyla yapay zeka teknikleriyle değiştirilmesi olarak tanımlanmıştır. Deepfake teknolojisi aracılığıyla kişisel verilerin manipüle edilerek kişilere karşı tehdit vb. amaçlarla kullanılması hakkında kamuoyu uyarılmıştır. Kurum, Deepfake’in özellikle sosyal medya platformlarında paylaşılan içeriklerle oluşturulduğunu vurgulayarak sosyal medya paylaşımlarına hassasiyetle yaklaşılması gerektiğini belirtmiştir.
Kurul tarafından “Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt
Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu yayımlanmıştır.
Yurt dışında ikamet eden Türkiye Cumhuriyeti vatandaşları, finansal verilerinin yurt dışı makamlara aktarımı konusunda T.C. Gelir İdaresi Başkanlığı’na ve ilgili bankalara başvuruda bulunmuştur.
Başvuruların temelindeki aktarım faaliyetinin kaynağının Türkiye’nin de bulunduğu Ekonomik Kalkınma ve İşbirliği Teşkilatı’na (OECD) üye ülkeler tarafından 2017 yılında imzalanan, 31.12.2019 tarihli ve 30995 sayılı Resmi Gazete’de yayımlanan “Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması” (“Anlaşma”) olduğu tespit edilmiştir. Anlaşma gereğince Gelir İdaresi Başkanlığı, otomatik bilgi değişimi için bilgileri toplamaya ve paylaşmaya yetkili makam olarak belirlenmiştir.
- Anayasa’nın 90. maddesinin “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir.” hükmü uyarınca Anlaşma’nın da kanun hükmünde olduğuna;
- Kanun’un 9. maddesinin 6. fıkrasında kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olacağının belirtilmesi sebebiyle, Anlaşma kapsamında finansal verilerin kişilerin açık rızası aranmaksızın ya da Kurul iznine tabi olmaksızın kişisel verilerin yurt dışına aktarılabileceğini değerlendirmiş ve Kanun’a herhangi bir aykırılık olmadığına;
kanaat getirmiştir.
Kurum tarafından Celltrion Healthcare İlaç Sanayi ve Limited Şirketi’nin Taahhütname Başvurusu Hakkında
Duyuru yayımlanmıştır.
Celltrion Healthcare İlaç Sanayi ve Limited Şirketi tarafından yurt dışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanun’un kişisel verilerin yurt dışına aktarılmasını düzenleyen hükmü kapsamında değerlendirilmiş ve 25.01.2024 tarihinde Kurul tarafından mezkûr veri aktarımına izin verilmiştir.
“Kanun Kapsamında 2024 Yılı İdari Para Cezası Tutarları” güncellenmiştir.
Güncellenmiş İdari Para Cezası tutarları aşağıdaki gibidir:
- Aydınlatma Yükümlülüğüne Aykırılık hallerinde 47.303 – 946.308 TL
- Veri Güvenliğine İlişkin Yükümlülüklere Aykırılık hallerinde 141.934 – 9.436.213 TL
- Kurul Kararlarına Uymama hallerinde 236.557 – 9.436.213 TL
- Sicile Kayıt ve Bildirim Yükümlülüğüne Aykırılık hallerinde 189.245 – 9.436.213 TL
- Konu hakkında hazırlamış olduğumuz bilgi notuna buradan ulaşabilirsiniz.
Dünyadaki Gelişmeler
Güncel Kararlar
Fransız Veri Koruma Otoritesi (“CNIL”) tarafından Amazon France Logistique firmasına 32.000.000 € değerinde para cezası verilmiştir.
CNIL, veri sorumlusu Amazon France Logistique tarafından depo ve stok yönetimi faaliyetleri esnasında işçilerin takip edilmesi amacıyla toplanan ve işlenen verilerin meşru amaç şartına dayandırılamayacak derecede fazla olduğunu vurgulamıştır. Uygun kişisel veri işleme şartına dayanmayan veri işleme faaliyeti sebebiyle Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) aykırılık tespit etmiştir. Ayrıca çalışma programı ve video kayıt sistemleri için gerekli aydınlatmanın yapılmadığı ve GDPR nezdinde veri minimizasyonu ilkesine uyulmadığı saptanmıştır. Bu bilgiler ışığında CNIL, veri sorumlusuna 32.000.000 € idari para cezası verilmesini uygun görmüştür.
Birleşik Krallık Veri Koruma Otoritesi (“ICO”), finansal hizmetler veren LADH Limited firmasına 50.000 € değerinde para cezası vermiştir.
Veri sorumlusu LADH Limited, 6 haftalık süreç içerisinde geçerli bir rızaya dayanmadan 31.000’den fazla mesaj göndermiştir. Ayrıca, gönderilen mesajların çoğunda alıcılara “mesaj almaktan vazgeçme” (opt-out) şansı da tanınmamıştır. Veri sorumlusu, mesaj gönderilen kişilerden sözlü rıza alındığını ileri sürse de bunu kanıtlayabilecek yazılı belgeleri sunamamıştır. ICO söz konusu veri işleme faaliyetinin durdurulması için firmaya uyarıda bulunmuş ve 50.000 € değerinde para cezası vermiştir.
Macaristan Veri Koruma Otoritesi (“NAIH”) tarafından havayolu firmasına 13.244 € değerinde para cezası verilmiştir.
NAIH kararına konu olan olayda bir ilgili kişi veri sorumlusu havayolu firması dahilindeki kişisel verilerinin silinmesi talebinde bulunmuştur. Veri sorumlusu, bu talebi yerine getirmiş fakat ilgili kişiyi bilgilendirmemiştir. İlgili kişinin verilerinin silinmesinden sonra ilgili kişi hakkında toplanan diğer verilere dair de bilgilendirme yapılmamış ve GDPR ile düzenlenen şeffaflık ilkesine aykırı hareket edilmiştir. Tüm bunlardan hareketle NAIH veri sorumlusuna 13.244 € değerinde para cezası verilmesini uygun görmüştür.
ICO, HelloFresh firmasına 140.000 € değerinde para cezası vermiştir.
Veri sorumlusu HelloFresh, 7 aylık süreç içerisinde ilgili kişilere 79 milyon spam e-posta ve 1 milyon spam mesaj göndermiştir. Karara konu olan bu olayda, pazarlama amaçlı iletişime geçileceği konusunda açıklık içermeyen rıza alım sistemleri kullanılmış ve pazarlamaya yönelik iletişim onayı, yaş onaylama metninin içerisine sıkıştırılmıştır. İlgili kişiler, aboneliklerinin bitiminden 24 ay sonraya dek verilerinin işleneceği hakkında bilgilendirilmemişlerdir. Buna ek olarak rızasını geri alan ilgili kişilere söz konusu spam mesajlar gönderilmeye devam edilmiştir. ICO, bu bilgilere dayanarak veri sorumlusu hakkında 140.000 € değerinde para cezası vermiştir.
Belçika Veri Koruma Otoritesi (“GBA”) tarafından Black Tiger Belgium firmasına toplamda 174.640 € para cezası verilmiştir.
Veri sorumlusu Black Tiger Belgium, ilgili kişilerin verilerini dolaylı yollardan toplayarak hukuka aykırı bir şekilde veri işleme faaliyetinde bulunmaktadır. Veri sorumlusu savunmasında meşru amaçları doğrultusunda veri işleme faaliyetinde bulunduğu savunmasını yapsa da, GBA dolaylı yollardan elde edilen verilerin 15 yıl boyunca tutulmasının meşru bir amaç dahilinde değerlendirilemeyeceğini vurgulamıştır. Ayrıca veri sorumlusu, veri işleme faaliyetleri sırasında oluşabilecek ayrımcılıklar ve oluşabilecek diğer riskler hakkında inceleme yapmamıştır. Veri envanteri doğru ve güncel olmayan veri sorumlusu, ilgili kişinin başvurusuna da usulüne uygun cevap vermemiştir. Bu sebeplerle GBA, veri sorumlusu hakkında 174.640 € para cezası verilmesini uygun görmüştür. Veri sorumlusunun, ayrıca verisini işlediği kişileri doğrudan bilgilendirerek, veri işleme faaliyetini reddetme fırsatını sunması gerektiğinden bu fırsat sunulana kadar veri sorumlusunun ilgili kişiler hakkındaki veri işleme faaliyetlerinin durdurulması gerektiğine karar verilmiştir.
Hollanda Veri Koruma Otoritesi (“AP”) International Card Services B.V. firmasına 150.000 € para cezası vermiştir.
AP, veri sorumlusu International Card Services B.V.’nin ilgili kişilerin özel nitelikli verilerini işlemeye başlamadan önce Veri Koruma Etki Analizi yapmamasını ilgili hukuka aykırı bulmuştur. 1.5 milyon insanın verisinin işlendiğini de göz önünde bulundurarak veri sorumlusuna 150.000 € değerinde para cezasını verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-2183
Kamuoyu Duyuruları ve Haberler
ICO, Üretken Yapay Zeka (Generative AI) hakkında üreticiler ve kullanıcılardan görüş almaya başlamıştır.
ICO, üretken yapay zekaların ekonomik hayata önemini vurgulayarak, üretken yapay zekaların üretim ve tüketim aşamalarında yer alan kişilerden görüşlerini istemektedir. Üretken yapay zekaların, sorumlu bir şekilde üretildiğinde topluma katkılı olacağını düşünen ICO, 1 Mart 2024’e kadar görüş almaya devam edecektir.
Yapay Zekâ Yasası’nın (AI Act) Nihai Taslağı sızdırıldı.
Euractiv’in Teknoloji Editörü olarak görev yapan Luca Bertuzzi ve Avrupa Birliği Komisyonu Kıdemli Politika Danışmanı Laura Caroli tarafından Yapay Zekâ Yasası’nın nihai taslağı paylaşıldı. Yasa, Avrupa Birliği Resmi Gazete’de yayımlanmasından itibaren 20 gün içerisinde yürürlüğe girip, aşamalı olarak uygulanmaya başlayacaktır. Genel hükümler ve yasaklı yapay zekâ teknolojileri ile ilgili hükümler yürürlüğe girişten 6 ay içerisinde, yüksek riskli yapay zekâ teknolojileri ile ilgili hükümler ise yürürlüğe girişten 36 ay içerisinde uygulanmaya başlayacaktır.
Avrupa Veri Koruma Kurulu tarafından (“EDPB”) “Veri İşleme Güvenliği ve İhlal Bildirimlerine” ilişkin içtihat derlemesi yayımlanmıştır.
Derlemede veri güvenliği ve ihlal bildirimlerine ilişkin 90 adet karar incelenmiştir. Veri güvenliği hususunda verilen kararlarda en çok dikkat edilen nokta alınan teknik ve idari tedbirlerin riski bertaraf etmekteki yetkinliğidir. Bu sırada ilgili kişinin verisinin korunması üzerindeki hakları ile firmaların ticari çıkarları arasında denge kurulması gerektiği vurgulanmıştır. Bu sebeple, ticari çıkarlar gereği her zaman en üst seviyede ve ekonomik çıkarlar dahilinde önlemler alınması gerekmektedir.
İhlal bildirimlerine ilişkin kararlar ise bildirimde gecikme ve genel nitelikte bildirim yapma üzerine yoğunlaşmıştır. Ayrıca, veri sorumlularının ihlali bildirmediği takdirde veri ihlalinin otoriteler tarafından öğrenilmesinden çekinerek veri ihlal bildiriminde bulmaya gönüllü oldukları saptanmıştır.
Bkz. https://edpb.europa.eu/system/files/2024-01/one_stop_shop_case_digest_security_data_breach_en.pdf
noyb, kişisel verilerinin ücretsiz olarak elde edilmesinin hukuki hakkı olan ilgili kişileri yanıltarak ücretli hizmet satımında bulunan KSV1870 hakkında Avusturya Veri Koruma Otoritesi’ne (“DSB”) şikayette bulunmuştur.
Avusturya’ya vize için başvurmak isteyen kişilerin, borçları ve diğer maddi durumları hakkında rapor alınması gerekmektedir. Bu rapor KSV1870 gibi firmalar tarafından verilmektedir. İstenen rapor hukuki yükümlülükler gereği tamamen ücretsiz olarak temin edilebilmektedir. KSV1870 ise, bu raporun ücretsiz olarak temin edilemeyeceği konusunda ilgili kişiyi yanıltarak 43 € değerindeki InfoPass hizmetini satmaktadır. Ayrıca KSV1870’in, ücretli hizmetini kullanan kişilere bu verileri 3 gün içerisinde verirken; hukuki hakkını ücretsiz kullanan kişilere ise 25-30 gün içerisinde verildiği tespit edilmiştir. Bu da ayrıca GDPR’ın ilgili kişinin bilgi talebini zamanında karşılamamak olarak değerlendirilebilecektir. Tüm bu bilgiler ışığında noyb, KSV1870 hakkında DSB’ye şikayette bulunmuştur.
Bkz. https://noyb.eu/en/creditors-association-earns-millions-actually-cost-free-gdpr-rights