Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Ocak 2024

02.02.2024

Türkiye'deki Gelişmeler

İhlal Bildirimleri

Dirk Rossmann Mağazacılık Limited Şirketi

Veri sorumlusu Dirk Rossmann Mağazacılık Limited Şirketi, kendisine ait internet sitesinde 27.12.2023 ile 09.01.2024 tarihleri arasında alışveriş yapan kullanıcıların verilerinin ele geçirildiğini Kişisel Verileri Koruma Kurulu’na bildirilmiştir. Yapılan bildirimde:

İhlalin, site panelini yöneten üçüncü taraf teknoloji firması yetkilisinin parolasının ele geçirilmesi sonucunda gerçekleştiği;
İhlalin, veri sorumlusu tarafından yapılan rutin güvenlik kontrolleri sırasında tespit edildiği;
İhlalden etkilenen kişi ve kayıt sayısının, kişisel veri kategorilerinin tespit edilemediği

belirtilmiştir.

Diğer Gelişmeler

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” yayınlanmıştır.

Kurum seçim faaliyetlerinde yer alan seçmen, aday, siyasi parti vb. paydaşların yükümlülüklerinin ve sahip oldukları haklarının hatırlatılması amacıyla ilgili rehberi yayımlamıştır. Rehberde ilgili kişilere hatırlatılan bazı hususlar aşağıdaki gibidir:

İlgili kişiler, 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 11. maddesinde düzenlenen haklarını kullanabileceklerdir.
Yüksek Seçim Kurulu (“YSK”), Kanun’un 28. maddesinde düzenlenen istisnalar kapsamında olup zararın giderilmesi talebi hariç olmak üzere diğer ilgili kişi haklarını düzenleyen hükümlerden muaftır.
Siyasi partiler ve bağımsız adaylar kendilerine yapılan başvurulara Kanun’a uygun olarak cevap vermekle yükümlüdür.

Kurum tarafından Türkiye Cumhuriyeti (“T.C.”) Kimlik Numaralarının İşlenmesi Hakkında Rehber (“Rehber”), yayımlanmıştır.

Rehberde, T.C. kimlik numaralarının işlenmesine dayanak olan ilgili mevzuat hakkında detaylı bilgiler verilmiştir.

Kurum rehberde, T.C. kimlik numaralarının özel nitelikli veri sayılmamasına rağmen mahiyetleri gereği kişisel verilerin korunması açısından önemli bir yere sahip olduğunu vurgulamıştır.

Kurum tarafından “Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması Hakkında Kişisel Verileri Koruma Kurulunun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı” yayımlanmıştır.

Kararda; köy kamu tüzel kişiliklerinin, Veri Sorumluları Siciline kayıt yükümlülüğünün istisnası dahilinde değerlendirilmesine karar verilmiştir.

Kurum tarafından Deepfake hakkında bilgi notu yayımlanmıştır.

Bilgi notunda Deepfake, insanların yüz, ses veya hareketlerini taklit etmek amacıyla yapay zeka teknikleriyle değiştirilmesi olarak tanımlanmıştır. Deepfake teknolojisi aracılığıyla kişisel verilerin manipüle edilerek kişilere karşı tehdit vb. amaçlarla kullanılması hakkında kamuoyu uyarılmıştır. Kurum, Deepfake’in özellikle sosyal medya platformlarında paylaşılan içeriklerle oluşturulduğunu vurgulayarak sosyal medya paylaşımlarına hassasiyetle yaklaşılması gerektiğini belirtmiştir.

Kurul tarafından “Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu yayımlanmıştır.

Yurt dışında ikamet eden Türkiye Cumhuriyeti vatandaşları, finansal verilerinin yurt dışı makamlara aktarımı konusunda T.C. Gelir İdaresi Başkanlığı’na ve ilgili bankalara başvuruda bulunmuştur.

Başvuruların temelindeki aktarım faaliyetinin kaynağının Türkiye’nin de bulunduğu Ekonomik Kalkınma ve İşbirliği Teşkilatı’na (OECD) üye ülkeler tarafından 2017 yılında imzalanan, 31.12.2019 tarihli ve 30995 sayılı Resmi Gazete’de yayımlanan “Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması” (“Anlaşma”) olduğu tespit edilmiştir. Anlaşma gereğince Gelir İdaresi Başkanlığı, otomatik bilgi değişimi için bilgileri toplamaya ve paylaşmaya yetkili makam olarak belirlenmiştir.

Kurul kararında:

Anayasa’nın 90. maddesinin “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir.” hükmü uyarınca Anlaşma’nın da kanun hükmünde olduğuna;
Kanun’un 9. maddesinin 6. fıkrasında kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olacağının belirtilmesi sebebiyle, Anlaşma kapsamında finansal verilerin kişilerin açık rızası aranmaksızın ya da Kurul iznine tabi olmaksızın kişisel verilerin yurt dışına aktarılabileceğini değerlendirmiş ve Kanun’a herhangi bir aykırılık olmadığına;

kanaat getirmiştir.

Kurum tarafından Celltrion Healthcare İlaç Sanayi ve Limited Şirketi’nin Taahhütname Başvurusu Hakkında Duyuru yayımlanmıştır.

Celltrion Healthcare İlaç Sanayi ve Limited Şirketi tarafından yurt dışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanun’un kişisel verilerin yurt dışına aktarılmasını düzenleyen hükmü kapsamında değerlendirilmiş ve 25.01.2024 tarihinde Kurul tarafından mezkûr veri aktarımına izin verilmiştir.

“Kanun Kapsamında 2024 Yılı İdari Para Cezası Tutarları” güncellenmiştir.

Güncellenmiş İdari Para Cezası tutarları aşağıdaki gibidir:

Aydınlatma Yükümlülüğüne Aykırılık hallerinde 47.303 – 946.308 TL
Veri Güvenliğine İlişkin Yükümlülüklere Aykırılık hallerinde 141.934 – 9.436.213 TL
Kurul Kararlarına Uymama hallerinde 236.557 – 9.436.213 TL
Sicile Kayıt ve Bildirim Yükümlülüğüne Aykırılık hallerinde 189.245 – 9.436.213 TL
Konu hakkında hazırlamış olduğumuz bilgi notuna buradan ulaşabilirsiniz.

Dünyadaki Gelişmeler

Güncel Kararlar

Fransız Veri Koruma Otoritesi (“CNIL”) tarafından Amazon France Logistique firmasına 32.000.000 € değerinde para cezası verilmiştir.

CNIL, veri sorumlusu Amazon France Logistique tarafından depo ve stok yönetimi faaliyetleri esnasında işçilerin takip edilmesi amacıyla toplanan ve işlenen verilerin meşru amaç şartına dayandırılamayacak derecede fazla olduğunu vurgulamıştır. Uygun kişisel veri işleme şartına dayanmayan veri işleme faaliyeti sebebiyle Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) aykırılık tespit etmiştir. Ayrıca çalışma programı ve video kayıt sistemleri için gerekli aydınlatmanın yapılmadığı ve GDPR nezdinde veri minimizasyonu ilkesine uyulmadığı saptanmıştır. Bu bilgiler ışığında CNIL, veri sorumlusuna 32.000.000 € idari para cezası verilmesini uygun görmüştür.

Bkz.https://edpb.europa.eu/news/national-news/2024/employee-monitoring-french-sa-fined-amazon-francelogistique-eu32-million_en

Birleşik Krallık Veri Koruma Otoritesi (“ICO”), finansal hizmetler veren LADH Limited firmasına 50.000 € değerinde para cezası vermiştir.

Veri sorumlusu LADH Limited, 6 haftalık süreç içerisinde geçerli bir rızaya dayanmadan 31.000’den fazla mesaj göndermiştir. Ayrıca, gönderilen mesajların çoğunda alıcılara “mesaj almaktan vazgeçme” (opt-out) şansı da tanınmamıştır. Veri sorumlusu, mesaj gönderilen kişilerden sözlü rıza alındığını ileri sürse de bunu kanıtlayabilecek yazılı belgeleri sunamamıştır. ICO söz konusu veri işleme faaliyetinin durdurulması için firmaya uyarıda bulunmuş ve 50.000 € değerinde para cezası vermiştir.

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/01/ico-fines-financial-services-company50k-for-spam-text-messages/

Macaristan Veri Koruma Otoritesi (“NAIH”) tarafından havayolu firmasına 13.244 € değerinde para cezası verilmiştir.

NAIH kararına konu olan olayda bir ilgili kişi veri sorumlusu havayolu firması dahilindeki kişisel verilerinin silinmesi talebinde bulunmuştur. Veri sorumlusu, bu talebi yerine getirmiş fakat ilgili kişiyi bilgilendirmemiştir. İlgili kişinin verilerinin silinmesinden sonra ilgili kişi hakkında toplanan diğer verilere dair de bilgilendirme yapılmamış ve GDPR ile düzenlenen şeffaflık ilkesine aykırı hareket edilmiştir. Tüm bunlardan hareketle NAIH veri sorumlusuna 13.244 € değerinde para cezası verilmesini uygun görmüştür.

Bkz. https://edpb.europa.eu/news/national-news/2024/hungarian-sa-deletion-request-concerning-airlinecompany_en

ICO, HelloFresh firmasına 140.000 € değerinde para cezası vermiştir.

Veri sorumlusu HelloFresh, 7 aylık süreç içerisinde ilgili kişilere 79 milyon spam e-posta ve 1 milyon spam mesaj göndermiştir. Karara konu olan bu olayda, pazarlama amaçlı iletişime geçileceği konusunda açıklık içermeyen rıza alım sistemleri kullanılmış ve pazarlamaya yönelik iletişim onayı, yaş onaylama metninin içerisine sıkıştırılmıştır. İlgili kişiler, aboneliklerinin bitiminden 24 ay sonraya dek verilerinin işleneceği hakkında bilgilendirilmemişlerdir. Buna ek olarak rızasını geri alan ilgili kişilere söz konusu spam mesajlar gönderilmeye devam edilmiştir. ICO, bu bilgilere dayanarak veri sorumlusu hakkında 140.000 € değerinde para cezası vermiştir.

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/01/ico-fines-hellofresh-140-000-forspam-texts-and-emails/

Belçika Veri Koruma Otoritesi (“GBA”) tarafından Black Tiger Belgium firmasına toplamda 174.640 € para cezası verilmiştir.

Veri sorumlusu Black Tiger Belgium, ilgili kişilerin verilerini dolaylı yollardan toplayarak hukuka aykırı bir şekilde veri işleme faaliyetinde bulunmaktadır. Veri sorumlusu savunmasında meşru amaçları doğrultusunda veri işleme faaliyetinde bulunduğu savunmasını yapsa da, GBA dolaylı yollardan elde edilen verilerin 15 yıl boyunca tutulmasının meşru bir amaç dahilinde değerlendirilemeyeceğini vurgulamıştır. Ayrıca veri sorumlusu, veri işleme faaliyetleri sırasında oluşabilecek ayrımcılıklar ve oluşabilecek diğer riskler hakkında inceleme yapmamıştır. Veri envanteri doğru ve güncel olmayan veri sorumlusu, ilgili kişinin başvurusuna da usulüne uygun cevap vermemiştir. Bu sebeplerle GBA, veri sorumlusu hakkında 174.640 € para cezası verilmesini uygun görmüştür. Veri sorumlusunun, ayrıca verisini işlediği kişileri doğrudan bilgilendirerek, veri işleme faaliyetini reddetme fırsatını sunması gerektiğinden bu fırsat sunulana kadar veri sorumlusunun ilgili kişiler hakkındaki veri işleme faaliyetlerinin durdurulması gerektiğine karar verilmiştir.

Bkz. https://edpb.europa.eu/news/national-news/2024/belgian-sa-sanctions-black-tiger-belgium-lack-transparencyand-unlawful_en

Hollanda Veri Koruma Otoritesi (“AP”) International Card Services B.V. firmasına 150.000 € para cezası vermiştir.

AP, veri sorumlusu International Card Services B.V.’nin ilgili kişilerin özel nitelikli verilerini işlemeye başlamadan önce Veri Koruma Etki Analizi yapmamasını ilgili hukuka aykırı bulmuştur. 1.5 milyon insanın verisinin işlendiğini de göz önünde bulundurarak veri sorumlusuna 150.000 € değerinde para cezasını verilmiştir.

Bkz. https://www.enforcementtracker.com/ETid-2183

Kamuoyu Duyuruları ve Haberler

ICO, Üretken Yapay Zeka (Generative AI) hakkında üreticiler ve kullanıcılardan görüş almaya başlamıştır.

ICO, üretken yapay zekaların ekonomik hayata önemini vurgulayarak, üretken yapay zekaların üretim ve tüketim aşamalarında yer alan kişilerden görüşlerini istemektedir. Üretken yapay zekaların, sorumlu bir şekilde üretildiğinde topluma katkılı olacağını düşünen ICO, 1 Mart 2024’e kadar görüş almaya devam edecektir.

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/01/information-commissioner-s-officelaunches-consultation-series-on-generative-ai/

Yapay Zekâ Yasası’nın (AI Act) Nihai Taslağı sızdırıldı.

Euractiv’in Teknoloji Editörü olarak görev yapan Luca Bertuzzi ve Avrupa Birliği Komisyonu Kıdemli Politika Danışmanı Laura Caroli tarafından Yapay Zekâ Yasası’nın nihai taslağı paylaşıldı. Yasa, Avrupa Birliği Resmi Gazete’de yayımlanmasından itibaren 20 gün içerisinde yürürlüğe girip, aşamalı olarak uygulanmaya başlayacaktır. Genel hükümler ve yasaklı yapay zekâ teknolojileri ile ilgili hükümler yürürlüğe girişten 6 ay içerisinde, yüksek riskli yapay zekâ teknolojileri ile ilgili hükümler ise yürürlüğe girişten 36 ay içerisinde uygulanmaya başlayacaktır.

Avrupa Veri Koruma Kurulu tarafından (“EDPB”) “Veri İşleme Güvenliği ve İhlal Bildirimlerine” ilişkin içtihat derlemesi yayımlanmıştır.

Derlemede veri güvenliği ve ihlal bildirimlerine ilişkin 90 adet karar incelenmiştir. Veri güvenliği hususunda verilen kararlarda en çok dikkat edilen nokta alınan teknik ve idari tedbirlerin riski bertaraf etmekteki yetkinliğidir. Bu sırada ilgili kişinin verisinin korunması üzerindeki hakları ile firmaların ticari çıkarları arasında denge kurulması gerektiği vurgulanmıştır. Bu sebeple, ticari çıkarlar gereği her zaman en üst seviyede ve ekonomik çıkarlar dahilinde önlemler alınması gerekmektedir.

İhlal bildirimlerine ilişkin kararlar ise bildirimde gecikme ve genel nitelikte bildirim yapma üzerine yoğunlaşmıştır. Ayrıca, veri sorumlularının ihlali bildirmediği takdirde veri ihlalinin otoriteler tarafından öğrenilmesinden çekinerek veri ihlal bildiriminde bulmaya gönüllü oldukları saptanmıştır.

Bkz. https://edpb.europa.eu/system/files/2024-01/one_stop_shop_case_digest_security_data_breach_en.pdf

noyb, kişisel verilerinin ücretsiz olarak elde edilmesinin hukuki hakkı olan ilgili kişileri yanıltarak ücretli hizmet satımında bulunan KSV1870 hakkında Avusturya Veri Koruma Otoritesi’ne (“DSB”) şikayette bulunmuştur.

Avusturya’ya vize için başvurmak isteyen kişilerin, borçları ve diğer maddi durumları hakkında rapor alınması gerekmektedir. Bu rapor KSV1870 gibi firmalar tarafından verilmektedir. İstenen rapor hukuki yükümlülükler gereği tamamen ücretsiz olarak temin edilebilmektedir. KSV1870 ise, bu raporun ücretsiz olarak temin edilemeyeceği konusunda ilgili kişiyi yanıltarak 43 € değerindeki InfoPass hizmetini satmaktadır. Ayrıca KSV1870’in, ücretli hizmetini kullanan kişilere bu verileri 3 gün içerisinde verirken; hukuki hakkını ücretsiz kullanan kişilere ise 25-30 gün içerisinde verildiği tespit edilmiştir. Bu da ayrıca GDPR’ın ilgili kişinin bilgi talebini zamanında karşılamamak olarak değerlendirilebilecektir. Tüm bu bilgiler ışığında noyb, KSV1870 hakkında DSB’ye şikayette bulunmuştur.

Bkz. https://noyb.eu/en/creditors-association-earns-millions-actually-cost-free-gdpr-rights

This website is available “as is.” Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

Yatırım Fonlarına İlişkin Güncel Değişiklikler

Recent Amendments on Investment Funds

SPK’dan e-Başvuru Zorunluluğu

Türk Ticaret Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun Teklifi

Anonim Şirketlerde Esas Sermaye ve Kayıtlı Sermaye Sistemine Genel Bir Bakış

Bazı Menkul Satış Sözleşmelerinde Dövizle Ödeme Yasağı Kalktı

Two-minute Recap of Competition Law Matters Around the Globe – April 2024

The Constitutional Court Decision on Legal Professional Privilege

Two-minute Recap of Recent Developments in Turkish Competition Law - March 2024

2023 Construction Law Wrap Up

Türkiye’s Green Transition Journey and Effects on Construction Sector

“Reasonable” Remedy Period

Data Protection & Privacy 2024 - Part 3

Data Protection & Privacy 2024 - Part 2

Data Protection & Privacy 2024 - Part 1

Riddle of Applicable Application Fee in Enforcing Foreign Judgments

Anayasa Mahkemesi’nden 6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu’nun Bazı Hükümlerinin İptaline İlişkin Yeni Karar

New Decision by the Constitutional Court on the Annulment of Certain Provisions of the Mediation in Civil Disputes Law No. 6325

2024 Yılı İtibarıyla Perakende Ticaret Mevzuatında Neler Değişti?

Sadakat Programlarına İndirimli Satış Reklamı Yasağı!

Obligations under the Distance Contracts Regulation are Postponed

24/7/2019 Tarihli ve 30841 Sayılı Resmi Gazete'de Yayımlanan, "8730 Sayılı Farklılaştırılmış Akaryakıtlara İlişkin Kurul Kararında Değişiklik Yapılmasına İlişkin Kurul Kararı" Kabul Edilerek, 04.05.2024 Tarihli 32536 Sayılı Resmi Gazete'de Yayımlanmıştır.

Kamu İhale Sözleşmelerinde Düşük Karbon Emisyonuna Sahip Yeşil Çimento Kullanımının Yaygınlaştırılmasına İlişkin Tebliğ Yayımlandı

Communiqué on the Promotion of the Use of Green Cement with Low Carbon Emission in Public Procurement Contracts has been Published

Avrupa İnsan Hakları Mahkemesi’nin İklim Değişikliğine İlişkin Verein Klimaseniorinnen Schweiz ve Diğerleri v. İsviçre Kararı

Kurumsal Sürdürülebilirlik Özen Yükümlülüğü Direktifi (CSDDD) Onaylandı

Corporate Sustainability Due Diligence Directive (CSDDD) Approved

Ödeme ve Elektronik Para Kuruluşlarının Asgari Özkaynak Miktarlarında Değişiklikler

Amendments Regarding Minimum Equity Amounts for Payment and Electronic Money Institutions

Dijital Türk Lirası’nda Faz-2 Çalışmalarına Başlandı

Technology Disruption in the Insurance Industry

Cyber Insurance

İklim Değişikliğinin Sigorta Sektörü Üzerindeki Etkisi

Tasarım Başvurusunda Dikkat Edilmesi Gerekenler

Türkiye's Geopolitical and Strategic Importance Regarding Counterfeiting Activities

Design Registration Application in Turkey: Things to Consider

The Legal Framework: Employee's Right to Strike and Employer's Defensive Lockout

İşçinin Ölümü Halinde Kıdem Tazminatı ve Ölüm Tazminatı Taleplerinin Karşılaştırmalı Olarak Değerlendirilmesi

Non-competition Obligation - Intervention of the Judge

Sağlık ve Yaşam Bilimleri Bülteni - Nisan 2024

Healthcare & Life Sciences Newsletter - April 2024

Türkiye İlaç ve Tıbbi Cihaz Kurumu Tıbbi Cihaz Sektör Belgesi Yayınlandı

Reklam Kurulu’ndan İnternet Alışveriş Sitelerinin Üyeliklerine Dair Kararlar

Decisions from the Advertising Board on the Memberships of Internet Shopping Sites

Reklamlarda Sosyal Sorumluluk Bilincinin Kapsamı Nasıl Değerlendirilir?

Convertible Investments in Türkiye

Türkiye’de Pay Opsiyon Planları ve Birleşme Devralmalara Etkileri

Employee Stock Option Plans and Effects on M&A Practices in Türkiye

Yayımlanan Yönetmelik ile Konutların Turizm Amaçlı Kiralanması

Konutların Turizm Amaçlı Kiralanması

Konut Kira Bedeli Artışlarında Azami Sınır

Anonim Şirketlerde Önemli Miktardaki Varlığın Satışı ve İlgili Tartışmalı Konular

Sale of Significant Assets in Joint Stock Companies and Related Contentious Issues

Adi Konkordatoda Alacaklılar Toplantısı

Türkiye’de Çalışan Pay Opsiyon Planları ve Yatırım Sürecindeki Etkileri

Yatırım ve Pay Devri İşlemlerinde Ara Dönem ve Kapanış Şartları

What is Convertible Debt as a Method of Quick Access to Finance?

Anayasa Mahkemesi’nden Ek Vergi Düzenlemesine İlişkin Önemli Karar

Important Decision From the Constitutional Court on One-Time Additional Tax

Damga Vergisi Kanun Genel Tebliği (Seri No: 69) Hakkında Bilgi Notu

The AI Act: The World's First Comprehensive Laws to Regulate AI

AB’den Devrim Niteliğinde Düzenleme: Yapay Zekâ Yasası Onaylandı

Revolutionary Regulation from EU: AI Act is Approved

Regulation on Preventing Collision at Sea

Türkiye’de Deniz Kirliliği Cezalarına İlişkin Yeni Düzenleme

Current Pollution Administrative Fines

Şirket Yöneticilerinin Cezai Sorumluluğu

An Overview of Occupational Fraud 2024: A Report to the Nations by ACFE

Güneş Balçıkla Sıvanmaz!

Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Ocak 2024

Popular Articles on Data Protection & Privacy

Latest Insights from DL Attorneys at Law

Subscribe to our newsletter