Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Şubat 2024
Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.
Türkiye'deki Gelişmeler
İhlal Bildirimleri
Karel İletişim Hizmetleri Anonim Şirketi
Veri sorumlusu Karel İletişim Hizmetleri Anonim Şirketi, 03.02.2024 tarihinde fidye yazılım saldırısı gerçekleşmesiyle; aboneler/üyeler, müşteriler ve potansiyel müşterilere ilişkin kimlik (ad- soyad, T.C. kimlik numarası) ve iletişim (adres, telefon numarası, e-posta adresi) kişisel verilerinin ele geçirildiğini Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirilmiştir. Yapılan bildirimde:
- İhlalden etkilenen kişi sayısının tahminen 1254 olduğu,
- Muhasebe yazılım tabanında yer alan birkaç dokümanın saldırganlar tarafından şifrelenerek ele geçirildiği,
- İhlal hakkında bilgi almak isteyen ilgili kişilere yönelik olarak veri sorumlusuna ait e-posta adresi ve telefon numarası bilgileri
belirtilmiştir.
Public Library of Science (“PLOS”)
Veri sorumlusu Public Library of Science (“PLOS”), Ankara Şehir Hastanesi Enfeksiyon Hastalıkları ve Klinik Mikrobiyoloji bölümünden bir yazar tarafından PLOS’a gönderilen makalede yer alan kişisel verilerin anonimleştirilmeden çevrimiçi olarak internette yayımlandığını Kurul’a bildirilmiştir. Yapılan bildirimde:
- İhlalin 31.01.2024 tarihinde gerçekleştiği ancak 15.02.2024 tarihinde tespit edildiği,
- İhlalden etkilenen kişilerin tıbbi bir araştırma çalışmasının parçası olduğu,
- İhlalden “isim, yaş, cinsiyet” kişisel verisi ile özel nitelikli kişisel verilerden “tedavi yeri, tıbbi bilgileri, reçete edilen ilaçlar, alınan tıbbi prosedürler” kişisel verilerinin etkilendiği,
- İhlalden etkilenen kişi sayısının 893 olduğu
belirtilmiştir.
Diğer Gelişmeler
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu” yayımlanmıştır.
Kurum; 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 5. maddesinin 2. fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülme” kişisel veri işleme şartına ilişkin 12.02.2024 tarihinde bilgi notu yayımlamıştır. Bilgi notunda aşağıdaki hususlara değinilmiştir:
- Kanun veya ikincil düzenlemelerde kişisel veri işlenmesine ilişkin bir hüküm bulunması halinde KVKK’nın 5. maddesinin 2. fıkrasının (a) bendine dayanılacağı,
- İşbu kişisel veri işleme şartında yer alan “açıkça” ifadesine yönelik sadece lafzi yorum yapılmaması gerektiği,
- 4857 sayılı İş Kanunu’nun 8. maddesi uyarınca işverenin işçiye ücretini ödemesi için işçinin banka hesap numarası, medeni hal bilgisi, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası vb. kişisel verilerini işlemesinin işbu kişisel veri işleme şartına örnek olabileceği,
- Benzer bir kişisel veri işleme şartının Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) 6. maddesinin 1. fıkrasının (c) bendinde yer aldığı,
- GDPR’da “kanunlarda açıkça öngörülmesi” ile “hukuki yükümlülüğün yerine getirilmesi” kişisel veri işleme şartlarının KVKK’nın aksine tek bir maddede (GDPR’ın 6. maddesinin 1. fıkrasının (c) bendinde) “kanunlarda açıkça öngörülmesi” şeklinde düzenlendiği,
- GDPR kapsamında İrlanda Veri Koruma Otoritesi tarafından konuya ilişkin hazırlanan Rehber’de veri sorumlusunun işbu kişisel veri işleme şartına dayanabilmek için kişisel veri işlenmesinin “gerekli” olup olmadığına yönelik bir değerlendirmede bulunması gerektiğinin belirtildiği.
Konu hakkında hazırlamış olduğumuz bilgi notuna buradan ulaşabilirsiniz.
Kurum tarafından Çevrimiçi Mahremiyet ve Çerezler temasıyla Ekim – Aralık 2023 bülteni yayımlanmıştır.
Kurum, 15.02.2024 tarihinde çevrimiçi mahremiyet ve çerezler hakkında bir bülten yayımlamıştır. Bültende aşağıdaki hususlara değinilmiştir:
- Çerezlerin ilk oluşturulma mantığının “takip mekanizması” oluşturmaktan ziyade kullanıcıların son isteklerinin hatırlanması olduğu,
- Çerezlerin çalışma prensibi (kullanıcı tarafından internet sitesine erişim için sunucuya istek gönderilmesi – sunucu tarafından veri paketi içeren çerezin kullanıcıya geri gönderilmesi – internet sayfasının yüklenerek çerezlerin kullanıcı cihazında depolanması),
- Çerezler 101, Günlük Dijital Deneyimimizde Çerezlerin rolü ve Çerezler Yoluyla Kişisel Verilerin İşlenmesi, Kişisel Verilerin Korunması Açısından Parmak İzi isimli makaleler,
- Çerezlere ilişkin kötü uygulama örneği,
- Kişisel verilerin korunmasına ilişkin olarak güncel gelişmeler.
Bkz. https://www.kvkk.gov.tr/Icerik/7826/KVKK-Bulten-in-Ucuncu-Sayisi-Yayimlandi
8. Yargı Paketi (Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi) Adalet Komisyonu’nda kabul edilmiştir.
8. Yargı Paketi, 16.02.2024 tarihinde Türkiye Büyük Millet Meclisi (“TBMM”) Başkanlığına sunulmuştur. 8. Yargı Paketi’nin 33, 34, 35 ve 36. maddeleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) değişiklik öngörmektedir. Bu sayede; 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha yakın bir veri koruma kanunu amaçlanmış olup; 8. Yargı Paketi, 21.02.2024 tarihi itibarıyla herhangi bir değişiklik yapılmaksızın TBMM Adalet Komisyonu’nda kabul edilmiştir. 8. Yargı Paketi kapsamında KVKK için aşağıdaki değişiklikler kabul edilmiştir:
- KVKK’ya ilişkin değişiklikler, 01.06.2024 tarihinden itibaren yürürlüğe girecektir.
- KVKK’nın özel nitelikli kişisel verilerin işlenmesine ilişkin 6. maddesinin 3. fıkrası yürürlükten kaldırılmış ve 2. fıkrası değiştirilerek özel nitelikli kişisel veri işlenmesi yasaklanarak işbu yasağın istisnaları (özel nitelikli kişisel veri işleme şartları) sayılmıştır. Bu kapsamda, özel nitelikli kişiler veriler bakımından sağlık ve cinsel hayata ilişkin kişisel veriler ayrı tutulmayarak tüm özel nitelikli kişisel verilerin işleme şartları ortaklaşa olarak artmıştır. Örneğin; bundan böyle eski KVKK hükmünden farklı olarak, istihdam ve iş sağlığı ve güvenliği için zorunlu hallerde özel nitelikli kişisel veriler işlenebilecektir.
- Kişisel verilerin yurt dışına aktarımını düzenleyen 9. madde değiştirilerek güvenli ülke listesi – taahhütname - açık rıza sistematiği terk edilmiş ve yeterlilik kararı – uygun güvenceler – arızi haller sistematiği benimsenmiştir. Bu kapsamda; sektörel açıdan yeterlilik kararı verilmesi, standart sözleşme vb. olanaklar getirilmiştir.
- Standart sözleşmeyi 5 iş günü içerisinde Kurul’a bildirmeyen veri sorumlusu veya veri işleyen için 50.000 TL – 1.000.000 TL arasında idari para cezası düzenlenmiştir.
- Kurul kararlarına itiraz için tek yetkili, İdare Mahkemesi olarak belirlenmiştir.
- Yurt dışına veri aktarımına ilişkin olarak yeni düzenlemeye adaptasyon için 1 Eylül 2024’e kadar süre tanınarak halihazırdaki KVKK’nın 9. maddesinin bu tarihe kadar yürürlükte kalması öngörülmüştür. İşbu yargı paketi ile KVKK’nın 18. maddesinde her ne kadar Kurul kararlarına itiraz için İdare Mahkemeleri yetkili mahkeme olarak belirlenmişse de 1 Haziran 2024 tarihinde halen Sulh Ceza Hakimliğinde görülmekte olan dosyalar bakımından dosyaların işbu hakimliklerde görülmeye devam etmesi öngörülmüştür.
Konu hakkında hazırlamış olduğumuz bilgi notumuza buradan ulaşabilirsiniz.
Dünyadaki Gelişmeler
Güncel Kararlar
Macaristan Veri Koruma Otoritesi (“NAIH”) tarafından veri sorumlusu Vakfa ortak veri sorumluluğu kapsamındaki yükümlülüklerini yerine getirmesi amacıyla talimatta bulunulmuştur.
Slovak Veri Koruma Otoritesi tarafından ilkokulda şarkı söyleyen ve müsamere gerçekleştiren çocuklara ilişkin görüntülerin yer aldığı Macar dilindeki iki internet sitesinin veri sorumlusu olan Vakfın faaliyetlerine itiraz edilmiştir. Slovak Veri Koruma Otoritesi, veri sorumlusu Vakfın GDPR’ın 5. (kişisel veri işlemeye ilişkin temel ilkeler) ve 6. (kişisel veri işleme şartları) maddelerini ihlal ettiğini iddia etmiştir. Bunun üzerine; NAIH söz konusu internet sitelerini inceleyerek ilkokul ile Vakıf arasında ortak veri sorumluluğu ilişkisi bulunduğunu, GDPR’ın 26. maddesinin 1. fıkrası kapsamında ortak veri sorumlularının yükümlülüklerini şeffaf bir şekilde belirlemesi ve GDPR’a uyum sağlamak amacıyla gerekli olan işbu yükümlülüklerini yerine getirmeleri gerektiğini belirtmiş; ancak incelemeler sonucunda, ilkokul ile Vakıf arasında ortak kişisel veri işleme süreçlerine ilişkin herhangi bir akdedilen işbirliği anlaşması olmadığını tespit etmiştir. Bu sebeple; NAIH, Vakfa, gelecekteki veri işleme süreçlerinde ortak veri sorumluluğuna ilişkin yükümlülüklere uyması üzere talimatlandırmada bulunmuştur.
NAIH tarafından bir havayolu şirketine, şikayetçinin doğrudan pazarlama amacıyla kullanılan e-posta adresinin silinmesine ilişkin talebine uymaması sebebiyle kınama cezası verilmiştir.
Veri sorumlusu hava yolu şirketi, ilgili kişi tarafından kendisine iletilen doğrudan pazarlama amacıyla kullanılan kişisel verisinin silinmesi talebine yönelik olarak müşteri hizmetleri aracılığıyla “kendilerine çok sayıda benzer talep gelmesi nedeniyle talep doğrultusunda önlem alınması için sekiz hafta daha süre” talep etmiştir. Şikayetçi; söz konusu süre uzatımını kabul etmeyerek silinme talebini yinelemiştir. Veri sorumlusu havayolu şirketi ise 28.09.2018 tarihinde ilgili kişiye e-posta adresinin haber bülteni veri tabanından silindiğini bildirmişse de ilgili kişiye 8.10.2018 tarihinde haber bülteni iletilmiştir. Bu kapsamda; NAIH, veri sorumlusu hava yolu şirketinin silinmeye yönelik gecikmeye geçerli bir mazaret sunamamasından ötürü GDPR’ın 12. maddesinin 3. fıkrasını, silme yükümlülüğünü gecikme ile yerine getirmesi nedeniyle silme hakkına ilişkin GDPR’ın 17. maddesinin 1. fıkrasının (b) bendini ve ilgili kişinin e-posta adresinin tüm bu sürece rağmen e-posta bülteninden silinmemesi sebebiyle GDPR’ın 25. maddesinin 1. fıkrasını ihlal ettiğine karar vererek veri sorumlusu hava yolu şirketine kınama cezası vermiştir.
Romanya Veri Koruma Otoritesi tarafından ilgili kişilerin rızası olmadan kişisel verilerin işlenmesi sebebiyle Account Exchange SRL'ye 2.000 € para cezası verilmiştir.
Romanya Veri Koruma Otoritesi, veri sorumlusu Account Exchange SRL’nin ilgili kişilerin ad-soyad kişisel verilerini sanal para biriminde cari hesap açmak amacıyla ancak bu kişilerin rızası olmaksızın işlemesi sebebiyle soruşturma yürütmüştür. Soruşturma neticesinde; veri sorumlusu Account Exchange SRL’nin ilgili kişilerin rızası olmaksızın kişisel verilerini işlemesi sebebeiyle veri sorumlusu olan Account Exchange SRL’ye 2.000 € para cezası verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-2209
Romanya Veri Koruma Otoritesi tarafından veri sorumlusuna veri ihlali öncesinde gerekli teknik ve organizasyonel önlemleri almaması sebebiyle 3.000 € para cezası verilmiştir.
Veri sorumlusu VESTA CEU ROMÂNIA SRL, Romanya Veri Koruma Otoritesi’ne bir veri ihlali bildirimde bulunmuştu. Bu kapsamda veri sorumlusu; isim, ikamet yeri, maaş, özgeçmiş ve pasaport kopyaları gibi kişisel verileri izinsiz olarak çalışanlara ifşa etmiş, çalışanlar daha sonra verilere dahili olarak erişmiş ve bunları yasa dışı bir şekilde üçüncü taraflara aktarmıştır. Romanya Veri Koruma Otoritesi’ne göre veri sorumlusu, kişisel verileri korumaya yönelik yeterli teknik ve idari tedbirleri uygulama konusunda başarısız olmuş ve bu da böyle bir olayın meydana gelmesine yol açmıştır. Bu sebeple 3.000 € para cezası uygulanmıştır.
Bkz. https://www.enforcementtracker.com/ETid-2208
Romanya Veri Koruma Otoritesi tarafından veri sorumlusu derneğe WhatsApp grubunda başkasının kişisel verilerini yasal dayanak olmaksızın yayınlaması sebebiyle 500 € para cezası verilmiştir.
Romanya Veri Koruma Otoritesi, bir WhatsApp grubundaki bir bireyin kişisel verilerini geçerli bir yasal dayanak olmaksızın yayınlanması ve ilgili kişinin haklarını kullanma talebine uygun şekilde yanıt verilmemesi nedeniyle bir derneğe 500 Euro para cezası vermiştir.
Bkz. https://www.enforcementtracker.com/ETid-2208
Kamuoyu Duyuruları ve Haberler
ICO, bakım hizmeti gören kişilerin bakım kayıtlarına ilişkin deneyimlerini paylaşmaları üzerine bir anket başlatmıştır.
ICO, 28.02.2024 tarihinde bir anketi kamuoyu ile paylaştığını duyurarak bakım hizmeti gören kişilerin bu hizmete yönelik deyimlerini paylaşmalarını rica etmiştir. Ayrıca; ICO, kişisel bilgi kayıtlarının bakım deneyimi olan kişiler için özellikle önemli olduğunu ve çoğunlukla çocukluk geçmişlerine ait hatırlayamadıkları unsurları açığa çıkardığını kabul vurgulamıştır. Veri koruma kanunu uyarınca herkesin kendi kişisel bilgileri üzerinde hakları varsa da bu bilgiler yönünden erişim hakkının kullanılmasının uzun ve stresli bir süreç olabileceği belirtilmiştir.
ICO tarafından çalışanların denetlenmesi kapsamında biyometrik veri işlenmesi hakkında duyuru yayımlamıştır.
ICO duyurusunda; biyometrik verilerin kişiye özel olduğunu ve bu sebeple yanlışlıkla işlenmesi veya olası bir veri ihlali durumunda ilgili kişilerin zarar görme riskinin çok yüksek olduğunu belirtmiştir. Bir şifreyi bir ihlal durumunda sıfırlamak mümkün iken bir yüz tanıma verisini veya parmak izi verisini sıfırlamak mümkün olmamaktadır. Bu sebeple; personelin işe katılımını denetlemek amacıyla işverenlerin bu yöndeki uygulamaları, personelin gizliliğinin önünde tuttuğunu belirtmiştir. Bu kapsamda; ICO tarafından yayımlanan yeni biyometrik veri rehberinin ve diğer bu konuyla ilgili rehberlerin incelenmesi gerektiği ifade edilmiştir.
noyb tarafından Bavyara Veri Koruma Otoritesi’ne yapılan şikayet başvurusu kapsamında kredi referans kurumu olan CRIF ile Acxiom arasında yasadışı bir şekilde kişisel verilerin ticarete konu edildiği tespit edilmiştir.
Şikayette; kredi referans kurumu CRIF, Acxiom'dan sürekli olarak milyonlarca Alman'ın adı, adresi ve doğum tarihi gibi kişisel verilerini satın aldığı ve bun bilgileri kişilerin kredi itibarını değerlendirmek için kullandığı ifade edilmiştir. Taraflar arasındaki veri ticareti etkilenenlerin izni veya bildirimi olmadan gizlice gerçekleşmekte olup hatta ilgili kişilere veri işleme süreçleri hakkında yanlış bilgi aktarılmaktadır. Her iki şirketin de GDPR’ı ihlal ettiği gerekçesiyle gerçekleştirilen başvuruda Bavyara Veri Koruma Otoritesi CRIF ile Acxiom arasında veri alışverişini GDPR’a aykırı bulmuştur.
Bkz. https://noyb.eu/en/data-trading-between-credit-agency-and-address-trader-illegal
Meta tarafından sunulan “Öde ya da Tamam” yaklaşımına yönelik olarak EDPB tarafından görüş yayımlanması bekleniyor.
Kasım 2023'te Meta, "Öde ya da Tamam" yaklaşımını benimsenmiştir. O tarihten bu yana kullanıcılar ya yıllık 251,88 Euro tutarında bir 'gizlilik ücreti' ödemek ya da takip edilmeyi kabul etmek zorunda kalmıştır. Hollanda, Norveç ve Hamburg veri koruma otoriteleri bu nedenle bu konuyla ilgili bağlayıcı bir EDPB görüşü talep etmiştir. 'Öde ya da Tamam' meşrulaştırılırsa, tüm endüstri sektörlerindeki şirketler Meta'nın yolunu takip edebilecek, bu da Avrupa'nın verilerinin kullanımına yönelik verilen rızanın geçerliliğinin sorgulanmasına sebebiyet verebilecektir. noyb şimdi EDPB'yi veri koruma temel hakkını koruyan bir görüş yayınlamaya çağırmak için diğer 27 sivil toplum kuruluşu (Wikimedia Europe, Bits of Freedom ve Norveç Tüketici Konseyi dahil) ile güçlerini birleştirmiş olup EDPB’nin konu hakkındaki görüşü beklenmektedir.
Bkz. https://noyb.eu/en/28-ngos-urge-eu-dpas-reject-pay-or-okay-meta
Fransa Veri Koruma Otoritesi (“CNIL”) tarafından Avrupa Veri Koruma Kurulu’ndan (“EDPB”) GDPR’ın 4. maddesinin 16. fıkrasının (a) bendi için görüş talebine karşılık EDPB görüşü yayımlanmıştır.
Görüş talep edilen GDPR maddesi “tanımlar” bölümüne ilişkin olup 4. maddede yer alan Ana Kuruluş (main establishment) kavramı hakkında görüş talep edilmiştir. Görüş talebi özetle; veri sorumlusunun ana kuruluşunun belirlenmesinde kriter olarak one-stop-shop mekanizmasının uygulanılabilirliği ve veri sorumlusunun Avrupa Birliği içerisindeki merkezi yönetim yerinin önemi hakkındadır. EDPB görüş olarak; veri sorumlusunun merkezi yönetim yerinin Avrupa Birliği içerisinde olmasının ana kuruluş olarak değerlendirilebileceğini, one-stop-shop mekanizmasının ise ancak veri sorumlusunun kuruluşlarından Avrupa Birliği içerisinde olanın kişisel veri işlemeye ilişkin kararlar alması halinde uygulanabileceği görüşünü vermiştir.
EDPB tarafından Çocukların Cinsel İstismarının Önlenmesi ve Bununla Mücadele Edilmesi Hakkında Tüzük Taslağına yönelik bildiri yayımlanmıştır.
EDPB tarafından söz konusu tüzük taslağına yönelik olarak uçtan uça şifrelenmiş mesajlaşmaların tespit edilmesine yönelik yasaklamalara destek vererek çocuklara yönelik yaş doğrulama sistemlerinin servis sağlayıcıları tarafından kullanılmasının önemi vurgulanmıştır. Uçtan uça şifrelemenin, mahremiyeti artırmak yönünde önemi tekrarlanarak bu sayede iletişimlerin alıcı ve gönderen haricinde kimseler tarafından görüntülenemesi anlamına geldiği hatırlatılmıştır. Bu şifreleme yönteminin engellenmesi veya buna yönelik caydırıcı hükümlerin düzenlenmesinin ise elektronik haberleşme servisleri kapsamında şifrelenmiş hizmetlerin azalmasına bu durumun ise dijital servislere duyulan güveni azaltarak ilgili kişilerin temel haklarına ihlal teşkil edebileceği ifade edilmiştir.
Birleşik Krallık Veri Koruma Otoritesi (“ICO”) tarafından tüm mobil uygulama üreticilerine mahremiyeti önceliklendirmeleri yönünde duyuru yayımlanmıştır.
ICO tarafından mobil uygulama üreticilerinin mahremiyeti önceliklendirmeleri yönünde tavsiyelerde bulunulmuştur. Bu kapsamda; şeffaf olmaları, geçerli rıza temin etmeleri, kişisel veri işlerken veri işleme şartlarını uygun olarak belirlemeleri ve hesap verilebilir olmaları tavsiye edilmiştir.
ICO tarafından göçmenlere yönelik kişisel veri işlenen süreçlerde devletin gerekli ve açık önlemleri alması gerektiği ve kırılgan grupta olması muhtemel kişilerin göç sistemlerinde haklarında işlenen bilgilere erişmeleri için açık sistemler kurulması hakkında duyuru yayımlanmıştır.
ICO duyurusunda; göçmen olan ilgili kişilerin potansiyel savunmasızlıkları hatırlatılarak işbu durumun temel hak ve özgürlükler üzerindeki etkisinin dikkate alınması gerektiği vurgulanmıştır. Bu sebeple; alınacak önlemlerin her bir durum özelinde belirlenmesi gerektiği ve göç alanında çalışanlara bu yöndeki değişiklikler hakkında bilgilendirmede bulunulması ve gerekli eğitimlerin verilmesinin önemli olduğu belirtilmiştir.
ICO tarafından platformların çevrimiçi içerikleri yönetirken bilgi teknolojileri haklarına saygı göstermeleri gerektiği hakkında duyuru yayımlanmıştır.
ICO duyurusunda; çevrimiçi içerikler tasarlanırken veri koruma süreçlerine ilişkin olarak kişisel verilerin nasıl kullanıldığı hakkında doğru bilgi sağlamanın önemi hatırlatılmıştır. Yanlış bilgi kullanımının kullanıcının yanlış şekilde (illegal bir şekilde) tanımlanmasına sebep açabileceği veya kullanıcıların sebepsiz yere çevrimiçi platformlardaki kullanımının sonlandırılmasına sebebiyet verebileceği tekrarlanmıştır.