TÜRKİYE’DEKİ GELİŞMELER
İhlal Bildirimleri
v Destek Bilgisayar ve İletişim Hizmetleri Ticaret Anonim Şirketi
Destek Bilgisayar ve İletişim Hizmetleri Ticaret Anonim Şirketi, Kişisel Verileri Koruma Kurulu’na (“Kurul”) veri sorumlusu olarak kullanmakta olduğu sunucu, depolama üniteleri ve bazı kullanıcı makinelerindeki verinin şifrelendiği ve silindiği ile sistemde kayıtlı olan verilerin dışarı çıkarıldığı ve karşılığında fidye talep edildiğine ilişkin ihlal bildiriminde bulunmuştur. Yapılan bildirimde:
- Veri ihlalinin 23.03.2023 tarihinde başladığı ve aynı tarihte tespit edildiği,
- İhlalden etkilenen kişi sayının şifreleme ve blokajdan dolayı henüz tespit edilemediği,
- İhlalden etkilenen kişisel veri kategorilerinin finans, pazarlama, mesleki deneyim, görsel ve işitsel kayıtlar olduğu,
- İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu
belirtilmiştir.
v Getir Perakende Lojistik Anonim Şirketi - Bitaksi Mobil Teknoloji Anonim Şirketi
Getir Perakende Lojistik Anonim Şirketi (“Getir”) ve Bitaksi Mobil Teknoloji Anonim Şirketi (“Bitaksi”), kötü niyetli üçüncü kişilerin Getir ve Bitaksi kullanıcılara ait bazı kişisel verileri elinde bulundurulduğu ve darkwebde Getir hakkında kişisel verilerin ihlale uğradığı iddiaları üzerine ihlal bildiriminde bulunmuştur. Yapılan bildirimde:
· 11.03.2023 tarihinde Getir’in üst yönetimine ulaşan bir e-postada, kötü niyetli üçüncü bir şahsın Bitaksi kullanıcılarına ait bazı kişisel verileri elinde bulundurduğunu iddia ettiği ve örnek olarak bazı veri satırlarını paylaştığı,
· 23.03.2023 tarihinde bir Getir yetkilisine ve 25.03.2023 tarihinde Getir’in kurumsal e-posta adresine kötü niyetli üçüncü kişi tarafından iletilen iki ayrı e-postada, darkwebde Getir hakkında kişisel verilerin ihlale uğradığına dair iddialara yer verildiği ve Getir müşterilerine ait olduğu iddia edilen kişisel veri içeren bağlantıların (URL) paylaşıldığı,
· Darkwebde yer alan içeriklerin Getir bünyesindeki müdahale ekibi tarafından incelenmeye başlandığı; log kayıtlarının aktarıldığı yazılımların birinde yer alan verilerin, ilgili darkweb gönderilerinde yer alan verilerle örtüştüğünün tespit edildiği,
· Öte yandan, darkwebde paylaşılan verilerin Bitaksi sistemlerinde yer alan verilerle örtüşmediği ve Bitaksi kullanıcılarının kişisel verilerinin ihlal edilmediği,
· İhlalden etkilenen kişisel verilerin, Getir kullanıcıları için; kimlik (ad, soyad, TC kimlik numarası, cinsiyet), iletişim (GSM numarası, e-posta adresi, teslimat adresi) hesap (Getir müşteri numarası ve hesap oluşturma tarihi), müşteri işlem (Getir uygulamasından verilen son sipariş tarihi ve numarası, sipariş verilen Getir dikeyi [Getir, Getir Büyük, Getir Yemek vb.], sipariş içeriği, iptal edilen sipariş sayısı ve toplam sipariş sayısı), diğer (Getir uygulamasına son giriş yapılan tarih ve konum, Getir’e verilen iletişim izinleri) bilgiler olduğu, Getir bayilerine hizmet veren kuryeler için ise; kimlik (ad, soyad), iletişim (GSM numarası), görsel ve işitsel kayıtlar (profil fotoğrafı), diğer (anlık konum bilgisi ve Getir çalışan numarası) bilgiler olduğu,
İhlalden etkilenen tahmini kişi sayısının 5098 olduğu; ancak etkilenen her veri kategorisinin tüm ilgili kişiler için geçerli olmadığı belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7548/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Getir-Perakende-Lojistik-Anonim-Sirketi-Bitaksi-Mobil-Teknoloji-Anonim-Sirketi
v Bilgi Teknolojileri Pazarlama ve Ticaret Anonim Şirketi (“Sahibinden”)
Bilgi Teknolojileri Pazarlama ve Ticaret Anonim Şirketi (“Sahibinden”), siber saldırıya uğraması sonucu veri ihlali gerçekleştiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:
· İhlalden etkilenen kişisel verilerin internette paylaşıldığının 27.03.2023 tarihinde tespit edildiği, ancak ihlalin başlama tarihinin henüz tam olarak tespit edilemediği,
· Sahibinden mağaza verilerinin (e-posta adresi verileri dışında kalan veriler) Sahibinden’in internet sitesi ve mobil uygulamasındaki ara yüzlerin çalışması için gerekli web service içeriklerinin kopyalanması suretiyle elde edildiğinin anlaşıldığı,
· Kurumsal kullanıcılara ait e-posta adresi verilerinin kötü niyetli üçüncü kişilerce kullanıcılara şifre yenileme iletileri gönderilmesi suretiyle şifre yenileme servisinin sonuç çıktısından elde edildiğinin anlaşıldığı,
· İhlalden etkilenen kişisel verilerin genel kapsamda Sahibinden mağaza bilgileri ve kurumsal kullanıcılara ait e-posta adresi olmak üzere; kullanıcı ID, kullanıcı adı, soyadı, mağaza adı, telefon numarası, e-posta adresi, hesap kayıt tarihi, konum, kullanıcı tipi, mağaza numarası, paket kategorisi, paket statüsü, paket periyodu, mağaza ürün türü, kayıt periyodu, açılış tarihi, mağaza taahhüt başlangıç tarihi bilgileri olduğu,
· İhlalden veri sorumlusunun kurumsal kullanıcılarının etkilendiği, bu kapsamda şahıs şirketlerine ait verilerin de etkilendiği,
· İhlalden etkilenen tahmini ilgili kişi sayısının tahmini 71.422 olduğu
belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7549/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Sahibinden-Bilgi-Teknolojileri-Paz-ve-Tic-A-S-
v Beytıp Sağlık Hizmetleri Limited Şirketi
Beytıp Sağlık Hizmetleri Limited Şirketi, Kurul’a veri sorumlusu sıfatıyla tıp merkezi bünyesindeki çalışanlar, kullanıcılar ve hastalara ilişkin verilere erişilmesi gerekçesiyle ihlal bildiriminde bulunmuştur. Yapılan bildirimde:
· 18.02.2023 tarihinde tıp merkezi bünyesinde işlem gören hastalar ve yakınları ile ilgili tıbbi hususlardaki tüm işlemlere ilişkin kayıtların tutulduğu program ile programa giriş sağlanan bazı bilgisayarların açılamadığı, veri sorumlusu bilgisayarları ile bu bilgisayarların bağlı olduğu ağa ve bilişim sistemine kimliği belirsiz kişilerce izinsiz olarak girildiği, bahse konu programa erişimin şifrelendiği,
· İhlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans, pazarlama, görsel ve işitsel kayıtlar, ırk ve etnik köken ve sağlık bilgileri olduğu,
· İhlalden etkilenen kişi sayısının tam olarak bilinmediği; ancak tahmini olarak 5000 olduğu ve son bir yıla ait kayıtların etkilendiği,
· İhlalden etkilenen ilgili kişi grubunun çalışanlar, kullanıcılar ve hastalar olduğu
belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7556/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Beytip-Saglik-Hizmetleri-Ltd-Sti-
Diğer Gelişmeler
v Seçilmiş Güncel Gelişmeler 17 yayımlandı.
Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 17” yayımlandı.
Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-17/
v Kurul tarafından karar özetleri yayımlandı.
Kurul, 24 Nisan 2023 tarihinde 40 adet karar özeti yayımlamıştır.
v Otokoç Otomotiv Ticaret ve Sanayi Anonim Şirketi (“Otokoç”)’a yurtdışına kişisel veri aktarımı yapılması hususunda Kurul tarafından izin verilmiştir.
Veri sorumlusu sıfatıyla Otokoç tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusunu Kişisel Verilerin Korunması Kanunu-m.9/2-b bendi kapsamında değerlendiren Kurul, Otokoç’un yurtdışına veri aktarmasına 30.03.2023 tarihinde izin vermiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7546/-Taahhutname-Basvurusu-Hakkinda-Duyuru
DÜNYADAKİ GELİŞMELER
Güncel Kararlar
v İngiliz Veri Koruma Otoritesi (“ICO”), TikTok’a 12.700.000 £ para cezası vermiştir.
ICO, 13 yaşın altındaki bir milyondan fazla İngiliz çocuğun ebeveynlerinin izni olmaksızın TikTok kullandığını tespit etmiştir. TikTok, 13 yaşından küçük olan bu çocukların tespit edilmemesi ve platformdan çıkarılmaması bakımından ICO tarafından eleştirilmiştir. Bunlara ek olarak ICO, TikTok'un platform kullanıcılarına verilerin toplanması, kullanılması ve ifşası hakkında yeterli ve kolay anlaşılır bilgi sağlamadığını tespit etmiştir. Bu nedenle ICO, TikTok'un kullanıcılarının kişisel verilerini hukuka uygun, adil ve şeffaf bir şekilde işlemediği sonucuna varmış ve TikTok’a 12.700.000 £ para cezası vermiştir.
v İspanyol Veri Koruma Otoritesi (“AEPD”), Vodafone España, S.A.U.’ya 112.000 € para cezası vermiştir.
Bir kişi, şirket SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiği için Vodafone España, S.A.U. hakkında AEPD'ye şikayette bulunmuştur. AEPD soruşturması sırasında şirketin üçüncü şahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasının verildiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların veri sahibinin banka hesabına erişmesine ve yetkisiz işlemler yapmasına sebep olmuştur. Bu sebeple, AEPD, başlangıçta 140.000 € para cezası vermiş, gönüllü ödeme nedeniyle 112.000 €’ya düşürmüştür.
Bkz. https://www.enforcementtracker.com/ETid-1773
v İspanyol Veri Koruma Otoritesi (“AEPD”), Digi Spain Telecom, S.L.’e 70.000 € para cezası vermiştir.
Bir kişi, şirket SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiği için Digi Spain Telecom, S.L. hakkında AEPD'ye şikâyette bulunmuştur. AEPD soruşturması sırasında şirketin üçüncü şahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasının verildiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların veri sahibinin banka hesabına erişmesine ve yetkisiz işlemler yapmasına sebep olmuştur. Bu sebeple, AEPD, Digi Spain Telecom S.L.’e 70.000 € para cezası vermiştir.
Bkz. https://www.enforcementtracker.com/ETid-1790
v İsveç Veri Koruma Otoritesi (“IMY”), Skåne bölgesine 17.600 € para cezası vermiştir.
Bir bölge çalışanı, yaklaşık 2.000 kişinin sosyal güvenlik numaralarını ve hassas kişisel verilerini şifrelenmemiş şekilde içeren bir USB belleği kaybetmiştir. IMY, Skåne bölgesinin kişisel verileri korumak için yeterli teknik ve idari önlemleri almadığını tespit etmiştir. Bu nedenle, IMY Skåne bölgesine 17.600 € para cezası vermiştir.
Bkz. https://www.enforcementtracker.com/ETid-1787
v Rumen Veri Koruma Otoritesi (“ANSPDCP”), Regency Company SRL’ye 3.000 € para cezası vermiştir.
Regency Company SRL, kişilerin binaya girişini ve bina ile mülkün güvenliğini kontrol etmek amacıyla tesislerine kameralar yerleştirmiştir. Fiziksel mekan güvenliğinin sağlanması için yapılan bu izleme faaliyeti nedeniyle, çalışanlar da izleme faaliyetine maruz kalmıştır. ANSPDCP soruşturması sırasında bu gözetimin kısmen çalışanların rızası olmadan gerçekleştirildiğini ve kamera yerleştirilmesindeki amaçlara, çalışanların mahremiyetine daha az müdahale edilebilecek bir yöntemle de ulaşılabileceğini ifade etmiştir.
Bkz. https://www.enforcementtracker.com/ETid-1749
v İspanyol Veri Koruma Otoritesi (“AEPD”), Banco Bilbao Vizcaya Argentaria, S.A.'ye 84.000 € para cezası vermiştir.
Soruşturması sırasında AEPD, Banco Bilbao Vizcaya Argentaria, S.A.’nin eski bir müşterisinin var olduğu iddia edilen borçlarını herhangi bir yasal dayanak olmaksızın İspanyol Merkez Bankası'nın risk bilgi merkezine kaydettiğini tespit etmiştir. Aynı zamanda söz konusu eski müşterinin kişisel verilerine erişim talebini yeterince yerine getirilmediğini tespit etmiştir. Bu sebeple, AEPD başlangıçta 140.000 € para cezası vermiş, gönüllü ödeme ve sorumluluğun kabulü nedeniyle cezayı 84.000 €’ya düşürmüştür.
Bkz. https://www.enforcementtracker.com/ETid-1751
v Macar Veri Koruma Otoritesi (“NAIH”), ismi belirtilmeyen bir şirkete 13.300 € para cezası vermiştir.
Bir müşteri, şirketin satış temsilcisiyle yaptıkları bir konuşmanın kaydının alınması üzerine kendilerine bilgi verilmeden kişisel verilerinin kaydedilmesi sebebiyle NAIH’a şikâyette bulunmuştur. NAIH, söz konusu durumu GDPR kapsamında bulunan bilgilendirme yükümlülüğünün bir ihlali olarak değerlendirmiştir. Bu kapsamda ilgili veri sorumlusu şirkete NAIH tarafından 13.300 € para cezası verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-1769
v İspanyol Veri Koruma Otoritesi (“AEPD”), KFC Restaurants Spain, S.L.’ye 25.000 € para cezası vermiştir.
AEPD, soruşturması sırasında, veri sorumlusunun bir veri koruma görevlisi atamadığını ve GDPR madde 13 kapsamında ilgili kişilere bilgilendirme yapılırken temin edilmesi gereken tüm bilgilerin internet sitesinde yer almadığını tespit etmiştir. Sayılan sebeplerle, KFC Restaurants Spain, S.L.’ye AEPD tarafından 25.000 € para cezası verilmiştir.
Bkz. https://www.enforcementtracker.com/ETid-1785
v Portekiz merkezli sivil topluk kuruluşu lus Omnibus, TikTok'a 1.12 milyar € değerinde tazminat talep ettiği iki dava açmıştır.
Ius Omnibus, kişisel verilerin ihlal edilmesi gerekçesiyle iki dava açmıştır. Bu davalar 13 yaşından küçüklerin ebeveynlerinin izni olmaksızın TikTok kullanmasına ilişkin olup toplam tazminat değeri 1.12 milyar € değerindedir.
Bkz. https://www.euractiv.com/section/politics/news/tiktok-faces-e1-12-billion-lawsuits-in-portugal/
v Avusturya Veri Koruma Otoritesi (“DSB”), Der Standard adlı gazetenin “ Öde ya da Kabul Et” adlı sisteminin GDPR’a uygun olmadığını açıkladı.
Der Standart, kullanıcıların çerezler vasıtasıyla kişisel verilerinin işlenmesi için doğrudan “Kabul Et/Reddet” seçeneklerini sunmak yerine “Öde ya da Kabul Et” sistemini benimsemiştir. Bu yolla kullanıcılar ya kişisel verilerinin işlenmesine izin vermiş ya da gazeteden aylık abonelik satın almış olmaktadırlar. DBS, bir gazetenin web sitesindeki "Öde ya da Kabul Et" çerez başlığının, rızanın ayrıntılı olması ilkesi ışığında GDPR'a uygun olmadığını açıklamıştır.
Bkz. https://noyb.eu/en/pay-or-okay-beginning-end
v Avrupa Birliği (“AB”) üyesi ülkeler, ChatGPT benzeri yapay zekâ uygulamaları hakkında yasal düzenleme getirilmesi hakkında görüşmeler yapmaktadır.
İtalyan Veri Koruma Otoritesi’nin (“Garante”) ChatGPT ve benzeri yapay zekâ uygulamalarını GDPR’a uyumlu hale getirilene kadar geçici olarak engellemesi, AEPD ve Fransız Veri Koruma Otoritesi’nin (“CNIL”) konu hakkında endişelerini ifade etmeleri üzerine AB’de ChatGPT benzeri yapay zeka uygulamaları hakkında yasal düzenlemeler yapılması gündeme gelmiştir. En son 2 yıl önce Avrupa Komisyonu tarafından önerilen mevzuat düzenlemesi Avrupa Parlamentosu’nda tartışılmaktadır. Eğer söz konusu düzenleme onaylanırsa düzenlemenin 2025 yılında yürürlüğe girmesi beklenmektedir.
Bkz. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870847 , https://www.dw.com/en/eu-chatgpt-spurs-debate-about-ai-regulation/a-65330099
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.