Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Şubat 2025

Bu makalede Hande Çağla Yılmaz ve Aslı Ceyda Akdoğan ortak yazar olarak yer almıştır.

TÜRKİYE’DEKİ GELİŞMELER

VERİ İHLALİ BİLDİRİMLERİ

Afyon Kocatepe Üniversitesi Rektörlüğü tarafından KVK Kurumu’na bildirilen veri ihlali 04.02.2025 tarihinde Kişisel Verileri Koruma Kurumu’nun (“KVK Kurumu”) internet sitesinde yayımlanmıştır.

Veri sorumlusu Afyon Kocatepe Üniversitesi tarafından Kişisel Verileri Koruma Kurulu’na (“KVK Kurulu”) veri ihlali (“Veri İhlali” veya “İhlal”) bildirilmiştir. Bildirimde aşağıdaki hususlar belirtilmiştir:

- İhlalin 20.01.2025 tarihinde başladığı,

- İhlalin yetkisiz üçüncü kişi tarafından uzaktan eğitim sistemi üzerinden yapılan duyuru ile haberdar olunduğu,

- İhlalin başlangıç tarihinde tespit edilerek sona erdirildiği,

- İhlalin "veri işleyene ait “system_admin” adlı kullanıcı hesabının parolası ile uzaktan eğitim sisteminde yer alan verilere yetkisiz erişim sağlanmasıyla gerçekleştiği,

- İhlalden etkilenen kişisel veri kategorilerinin; kimlik (T.C. kimlik numarası), kurum sicil numarası, iletişim (e-posta adresi) ve görsel - işitsel kayıtlar olduğu,

- İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, kullanıcılar, öğrenciler ve müşteriler olduğu,

- İhlalden 26.438 ilgili kişinin etkilendiği.

İlgili karara buradan ulaşabilirsiniz.

Organik Haberleşme Teknolojileri Bilişim San. Tic. Ltd. Şti. tarafından KVK Kurumu’na bildirilen veri ihlali 04.02.2025 tarihinde KVK Kurumu’nun internet sitesinde yayımlanmıştır.

Veri sorumlusu Organik Haberleşme Teknolojileri Bilişim San. Tic. Ltd. Şti. tarafından KVK Kurulu’na veri ihlali bildirilmiştir. Bildirimde aşağıdaki hususlar belirtilmiştir:

- İhlalin 01.02.2025 tarihinde başladığı,

- İhlalin başlangıç tarihinde sona erdiği,

- Veri sorumlusunun WhatsApp hattına bilinmeyen bir kişi tarafından, verilerin ele geçirildiği ve karşılığında para talep edildiğine dair bir mesaj gönderilmesiyle ihlalden haberdar olunduğu ve bu kapsamda veri sorumlusunun WhatsApp hattına veri sorumlusuna ait örnek verilerin paylaşıldığı,

- İhlalden etkilenen ilgili kişi gruplarının; aboneler ve üyeler olduğu,

- İhlalden etkilenen kişisel veri kategorilerinin; kimlik (kullanıcı adı, ad - soyad) ve iletişim bilgileri olduğu,

- İhlalden 1.090 ilgili kişinin etkilendiği,

İlgili karara buradan ulaşabilirsiniz.

Asilkar Hızlı Kargo Taşımacılık Tic. A.Ş. tarafından KVK Kurumu’na bildirilen veri ihlali 13.02.2025 tarihinde Kişisel Verileri Koruma Kurumu’nun (“KVK Kurumu”) internet sitesinde yayımlanmıştır.

Asilkar Hızlı Kargo Taşımacılık Tic. A.Ş. tarafından KVK Kurulu’na veri ihlali bildirilmiştir. Bildirimde aşağıdaki hususlar belirtilmiştir:

- İhlalin 30.01.2025 tarihinde başladığı,

- İhlalin 03.02.2025 tarihinde WhatsApp üzerinden gönderilen mesaj ile tespit edildiği,

- İhlalin yetkisiz kişi/kişiler tarafından sistem kullanıcılarının kullanıcı adı ve parola bilgilerinin ele geçirilerek ve hizmet alınan Ajannet Bilişim Hiz. San. Tic. Ltd. Şti. terminal sunucularına uzaktan bağlanılarak kullanıcı hesaplarına erişilerek gerçekleştiği,

- Ajannet Bilişim Hiz. San. Tic. Ltd. Şti. tarafından veri sorumlusuna, “Alınan dataların içerisinde kargo alıcı adı, soyadı, adresi ve gönderi içeriği bilgilerinin bulunabileceği tespit edilmiştir.” şeklinde bilgilendirme yapıldığı,

- İhlalden etkilenen ilgili kişi gruplarının; çalışanlar ve kullanıcılar olduğu,

- İhlalden 16 ilgili kişinin etkilendiği,

- İhlalden etkilenen çalışanlar/kullanıcıların ad ve soyad bilgisine yetkisiz erişim sağlandığı, ancak terminal sunucuya yetkisiz erişim gerçekleşmiş olmasına rağmen dosyalar içerisindeki verilere program üzerinden ek kullanıcı adı ve parola bilgisi olmadan erişilemediği,

- İlgili kişilerin, veri ihlali ile ilgili bilgi almak için veri sorumlusuna ulaşabilecekleri kanallar.

İlgili karara buradan ulaşabilirsiniz.

DUYURULAR VE HABERLER

KVK Kurumu tarafından standart sözleşmelerde dikkat edilmesi gereken hususlara ilişkin kamuoyu duyurusu yayımlanmıştır.

KVK Kurum tarafından “Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlar” başlıklı kamuoyu duyurusu yayımlanmıştır. Duyuruda; standart sözleşmelerin hazırlanması ve KVK Kurumu’na bildirilmesi süreçleri kapsamında dikkat edilmesi gereken hususlar detaylandırılmıştır. Bu kapsamda aşağıdaki hususlara yer verilmiştir:

- Standart sözleşmenin, veri aktarım tarafları veya yetkili kişiler tarafından imzalanmasının zorunlu olduğu,

- İmzaların 6098 sayılı Türk Borçlar Kanunu’na uygun şekilde atılması gerektiği,

- Standart sözleşmenin yabancı dilde düzenlenmesi hâlinde Türkçe metin üzerinde de imzaların bulunması gerektiği,

- Standart sözleşmeyi imzalayan kişilerin yetkili olduğuna dair belgelerin KVK Kurum’na sunulması gerektiği,

- İmzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak, KEP adresi veya Standart Sözleşme Bildirim Modülü aracılığıyla KVK Kurumu’na bildirilmesi gerektiği,

- Sözleşme metninde yer alan taraf bilgilerinin eksiksiz ve belgelerle uyumlu olması gerektiği,

- Yabancı ülke makamlarından alınan belgeler için apostil veya konsolosluk tasdiki gerekebileceği,

- Standart sözleşme metnindeki taraf isimlerinde eksiklik olmaması ve sözleşme metninde yer alan taraf isimleri ile tevsik edici belgelerde yer alan taraf isimleri arasında farklılık olmaması gerektiği,

- Standart sözleşme metinlerinde, seçimlik ve alternatif maddeler dışında değişiklik yapılmaması gerektiği,

- Aktarım taraflarının her ikisinin de imza tarihlerini standart sözleşme metni üzerinde belirtmeleri gerektiği,

- Ülkemizin de tarafı olduğu Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi çerçevesinde bu Sözleşmeye taraf devletlerde düzenlenmiş resmî belgelerdeki imza, unvan, mühür veya damgaların tasdik işleminden bağışık tutulduğu; bu itibarla, apostil şerhinin varlığı yeterli olacağı,

- KVK Kurumu’naa sunulacak tevsik edici belgeler ile yabancı dildeki her belgenin, noter onaylı Türkçe çevirisi ile birlikte sunulması gerektiği,

- Standart sözleşmede, aktarım taraflarının imzaları daha ileri bir tarihte tamamlanmış olmasına rağmen sözleşmenin geçmişe dönük olarak yürürlüğe gireceğine dair ‘yürürlük tarihi:…’ vb. ibarelere yer verilmemesi gerektiği.

İlgili kamuoyu duyurusuna buradan ulaşabilirsiniz.

KVK Kurumu tarafından Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber yayımlanmıştır

KVK Kurum tarafından “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” başlıklı Rehber yayımlanmıştır. Rehber’de; özel nitelikli kişisel veri kategorilerine ilişkin örnekler, işleme şartlarına ilişkin örnekler ve 1 Haziran 2024 tarihli KVKK değişikliklerine uyum kapsamında bilgiler yer almaktadır. Bu kapsamda aşağıdaki hususlara yer verilmiştir:

- 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında özel nitelikli kişisel verilerin sınırlı sayma yoluyla belirlendiği ve kıyas yoluyla genişletilemeyeceği; bu itibarla, kimlik kartında uyruk bilgisine yer verilmesi nedeniyle bir veri sorumlusu tarafından “yabancı uyruklu”, “T.C. vatandaşı değil”, “diğer” gibi verilerin işlenmesi durumunda özel nitelikli kişisel veri işlenmiş olmayacağı,

- Bir kişinin üye olduğu siyasi parti, apolitik olması ve kişinin sosyo-politik davranış ve tutumlarına ilişkin bilgileri özel nitelikli kişisel verilerden olan siyasi düşüncesi verisi olacağı,

- İşveren tarafından işçinin ibadet ettiği görüntülerin dava dosyasında sunulması halinde, işveren tarafından özel nitelikli kişisel veri işlenmiş olacağı,

- Danıştay’ın 12. Dairesinin 20.04.2022 tarihli ve E. 2021/7000, K. 2022/2247 sayılı kararındaki bahsi geçen “kot pantolon giydiği ve sakal tıraşı olmadığı” ifadesinin kılık ve kıyafete ilişkin özel nitelikli kişisel veri olduğu,

- İşveren tarafından çalışanın sendikaya üye olduğu bilgisinin işlenmesi halinde özel nitelikli kişisel veri işlenmiş olacağı,

- Kimlik, ehliyet vb. belgelerde yer alan kan grubu bilgisinin sağlık verisi niteliğini haiz olduğu,

- Cinsel aktivite ya da ilişkilerine yönelik olarak elde edilen bilgilerin cinsel hayata ilişkin veri niteliğini haiz olduğu,

- Adli sicil kaydında yer alan hapis cezasına ilişkin mahkûmiyet kararı, koşullu salıverilme kararı, adli para cezasına ilişkin mahkûmiyet hükmü, sürücü belgesinin geri alınması gibi kararların veri sorumlusu tarafından işlenmesi durumunda özel nitelikli kişisel veri işleme faaliyetinden söz edilebileceği.

Rehber’de ayrıca veri sorumlularınca KVKK değişikliğine uyum süreci için izlenmesi gereken aksiyonlar aşağıdaki şekilde sıralanmıştır:

- Kişisel veri işleme envanterinin güncellenmesi,

- Açık rıza süreçlerinin gözden geçirilmesi,

- Aydınlatma metinlerinin güncellenmesi,

- Saklama ve imha politikalarının yeniden düzenlenmesi,

- Veri güvenliği tedbirlerinin artırılması.

İlgili Rehber’e buradan ulaşabilirsiniz.

DÜNYADAKİ GELİŞMELER

DUYURULAR VE HABERLER

EDPB tarafından CSC 2022-2024 Faaliyet Raporu ve 2025-2026 Çalışma Programı yayımlanmıştır.

Avrupa Veri Koruma Kurulu (“EDPB”), Koordineli Denetim Komitesi’nin (“CSC”) son iki yıla ilişkin faaliyet raporunu ve 2025-2026 çalışma programını yayımlamıştır. CSC, Schengen Bilgi Sistemi (“SIS”) ve Vize Bilgi Sistemi (“VIS”) gibi büyük ölçekli AB bilgi teknolojisi sistemlerinin denetimini üstlenmiş ve veri sorumluları için İç Pazar Bilgi Sistemi'nde (“IMI”) şeffaflık yükümlülüklerine ilişkin tavsiyeler yayımlamıştır.

2025-2026 döneminde CSC, Adalet ve İçişleri (“JHA”) birlikte çalışabilirlik çerçevesinde veri sorumluluğu tahsisine ve Europol, Eurojust ile Avrupa Savcılık Ofisi'ne (“EPPO”) yönelik şikayetlerin ele alınmasında iş birliğini artırmaya odaklanacağını belirtmiştir. Ayrıca, AB kurumları arasındaki veri akışlarını izleyerek koordineli denetim faaliyetlerini sürdüreceği belirtilmiştir.

Faaliyet Raporu ve Çalışma Programı’na buradan ulaşabilirsiniz.

GÜNCEL KARARLAR

EDPB tarafından Yaş Doğrulama, Yapay Zekâ Denetimi ve WADA’ya Yönelik Tavsiyeler üzerine bildiri yayımlamıştır.

EDPB, Şubat 2025 genel kurul toplantısında yaş doğrulama, yapay zekâ denetimi ve 2027 Dünya Anti-Doping Ajansı (“WADA”) Dünya Anti-Doping Kodu hakkında önemli tavsiyeler benimsemiştir.

Yaş doğrulama ile ilgili bildiride, çocukların yaşlarına uygun olmayan içeriklere erişimin engellemesi için 10 temel ilke belirlenmiş olup, doğrulama yöntemlerinin kişisel veri koruma ilkelerine uygun olması gerektiği vurgulanmıştır.

Toplantıda ayrıca, ChatGPT görev gücünün kapsamı genişletilerek yapay zekâ denetimlerine odaklanan bir görev gücü oluşturulmasına karar verilmiş ve acil konular için hızlı müdahale ekibi kurulacağı açıklanmıştır.

EDPB, 2027 WADA Dünya Anti-Doping Kodu’na ilişkin yayımladığı tavsiyelerde, sporcuların hassas kişisel verilerinin korunması gerektiğini vurgulamış ve Ulusal Anti-Doping Kuruluşlarının (“NADO”) GDPR standartlarına uyum sağlaması gerektiğini belirtmiştir.

İlgili bildirilere buradan ulaşabilirsiniz.