TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Hotiç Ayakkabı Sanayi ve Ticaret Anonim Şirketi

Veri sorumlusu Hotiç Ayakkabı Sanayi veTicaret Anonim Şirketi’nin e-posta gönderimleri için oluşturulan izin yönetimi platformu üzerindeki hesabına yetkisiz kişiler tarafında giriş yapılmaya çalışıldığı ve müşterilerin cep telefonu bilgilerine erişildiğinden bahisleveri sorumlusu Kişisel Verileri Koruma Kurulu’na (“Kurul”) ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• SMS ile e-posta gönderimleri içinoluşturulan izin yönetimi platformuna ilişkin bir veri işleyenden hizmet alındığı,
• İhlalin 23.06.2023 tarihinde gerçekleştiği,
• İlgili kişilere oltalama saldırısını hedefleyen içeriğin yer aldığı kısa mesaj gönderimlerinin gerçekleştirildiği,
• Veri sorumlusu çalışanlarının da bahse konu kısa mesaj gönderim gruplarında bulunması sebebiyle oltalama saldırısına yönelik kısa mesaj gönderiminin başlatılması ile olay anında durumdan haberdar olunduğu,
• İhlalden etkilenen kişi ve kayıtsayısının 1.926.889 olduğu,
• İhlalden etkilenen kişisel verilerin müşterilere ait cep telefonu bilgisi olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7704/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Hotic-Ayakkabi-San-ve-Tic-A-S-

Doğan Trend Otomotiv Ticaret Hizmet veTeknoloji Anonim Şirketi, Suzuki Motorlu Araçlar Pazarlama Anonim Şirketi

Yukarıda isimleri anılan veri sorumluları, Vodatech’in sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez hale geldiğinden bahisle, Kurul’a ihlal bildirimlerinde bulunmuştur. Yapılan bildirimlerde:

• İhlalden etkilenen ilgili kişi grubunun veri sorumlularının çalışanları ve müşterileri olduğu,
• İhlalden etkilenen verilerin; kimlik (adsoyad), iletişim (e-mail, telefon numarası), görsel ve işitsel kayıt (ses,e-mail yazışmaları) verileri olduğu,
• İhlalden etkilenen kişi ve kayıtsayısının henüz belirlenemediği

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7706/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Dogan-Trend-Otomotiv-Ticaret-Hizmet-ve-Teknoloji-AnonimSirketi https://www.kvkk.gov.tr/Icerik/7707/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Suzuki-Motorlu-Araclar-Pazarlama-A-S- 

Defacto Perakende Ticaret Anonim Şirketi

Veri sorumlusu Defacto Perakende TicaretAnonim Şirketi, müşterilerinin profil sayfalarında kendilerine ait olmayankişisel bilgileri gördüğünden bahisle Kurul ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• 14.09.2023 tarihinde ihlalin tespitedildiği,
• Veri sorumlusunun, müşteri içeriklerininson kullanıcıya eriştirilebilmesi için CDN tüketim trafiği sağlanması adınaveri işleyenden hizmet aldığı ve veri işleyenin sunduğu hizmetleriniyileştirilmesi adına yapılan bir dizi geliştirmeleri kapsayan yazılım versiyonunundevreye alınması sonrasında veri ihlalinin yaşandığı,
• İhlalden etkilenen kişisel verikategorilerinin kimlik, iletişim ve müşteri işlem verileri olduğu,
• Hesabım sayfasındaki Hesap Bilgileriekranını ziyaret eden toplamda 1337 müşteriden bir kısmı sadece kendi hesapbilgileri ekranını görüntülerken bir kısım müşterinin ise hesap bilgileriekranının ara yüzünde başka müşterilerin bilgisini görebildiği, ihlaldenetkilenen kişi sayısının 2686 olduğunun tahmin edildiği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7712/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Defacto-Perakende-Tic-AS

Elca Kozmetik Limited Şirketi

Veri sorumlusu Elca Kozmetik Limited Şirketi dahil olduğu Estee Lauder grup şirketlerinin global düzeyde kullandığı MOVEit isimli yazılımda bir veri sızıntısı sonucunda gerçekleştiğinden bahisle Kurul ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• 30.05.2023 tarihinde veri sızıntısının gerçekleştiği ve 20.09.2023 tarihinde tespit edildiği,
• İhlalden etkilenen kişisel verilerin ad,soyad, e-mail adresi, cep telefonu numarası veya sabit hat ve doğum tarihi olduğu,
• İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
• İhlalden etkilenen ilgili kişi sayısının yaklaşık 83.185 olduğu

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7716/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Elca-Kozmetik-Limited-Sirketi

Telcoset İleri Teknoloji Stratejik İşGeliştirme Danışmanlık Anonim Şirketi

Veri sorumlusu Telcoset İleri TeknolojiStratejik İş Geliştirme Danışmanlık Anonim Şirketi, fidye yazılımı saldırısına uğradığından ve bazı bilgilerin saldırganlar tarafından ele geçirildiği veinternette satıldığı veya satılmaya çalışıldığından bahisle Kurul ihlalbildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin 15.10.2022 tarihinde gerçekleştiği,
• Yedekler üzerinden sisteme tekrardan erişimin sağlanması ve herhangi bir veri sızıntısının yaşanmadığının düşünülmesi sebebiyle veri ihlal bildiriminde bulunulmadığı,
• Bazı bilgilerin ele geçirilmesi,internette satılması ve satılmaya çalışılmasına ilişkin olarak 18.09.2023tarihinde istihbarat alındığı,
• Yapılan incelmelerde söz konusu tarihlerde uğranılan siber saldırıya ilişkin verilerin dark web’de yeraldığının görüldüğü,
• İhlalden kişisel verilerden “kimlik,iletişim, özlük, hukuki işlem, işlem güvenliği, mesleki deneyim verileri” ileözel nitelikli kişisel verilerden “sağlık bilgisi ve ceza mahkumiyeti ve güvenlik tedbiri verilerinin” etkilendiği,
• İhlalden etkilenen ilgili kişigruplarının çalışanlar, tüzel kişi (müşteri, potansiyel müşteri ve tedarikçi)çalışanları, tedarikçiler, tedarikçi yetkilileri olduğu,
• İhlalden etkilenen kişi sayısına yönelik çalışmaların halen devam ettiği ancak tahmini kişi sayısının 1000’in üzerinde olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7717/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Telcoset-Ileri-Teknoloji-Stratejik-Is-Gelistirme-Danismanlik-A-S- 

Diğer Gelişmeler

Seçilmiş Güncel Gelişmeler 23, 24, 25 yayımlanmıştır.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 23, Seçilmiş Güncel Gelişmeler 24 ve Seçilmiş Güncel Gelişmeler 25” yayımlanmıştır.

Bkz.https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-23/ , https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-24/ , https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-25/ 

Google Reklamcılık ve Pazarlama Limited Şirketi’ne (“Google”) yurtdışına kişisel veri aktarımı yapılması hususunda Kurultarafından izin verilmiştir.

Veri sorumlusu sıfatıyla Googletarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütnamebaşvurusunu Kişisel Verilerin Korunması Kanunu-m.9/2-b bendi kapsamındadeğerlendiren Kurul, Google’ın yurtdışına veri aktarmasına 17.08.2023 tarihindeizin vermiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7700/Taahhutname-Basvurusu-Hakkinda-Duyuru  

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

İrlanda Veri Koruma Otoritesi (“DPC”), TikTok Limited’e 345.000.000 € para cezası vermiştir.

DPC tarafından 31 Temmuz 2020 ile 31 Aralık 2020 tarihleri arasında kişiselverilerin işlenmesine yönelik yürütülen soruşturmada DPC,

• veri sorumlusu TikTok Limited’in çocuk kullanıcıların profillerini varsayılan olarak herkesin erişime açık tuttuğunu bu sebeple veri sorumlusunun yalnızca gerekli kişisel verilerin işlenmesini sağlamak için uygun teknik ve organizasyonel önlemleri uygulamadığını,
• TikTok’ta bulunan 'Aile Eşleştirme' özelliğinin yetişkin kullanıcıların hesaplarıyla çocuk kullanıcıların hesaplarını ilişkilendirmesine neden olmasından ötürü,çocukların kişisel verileri için başka bir güvenlik riski oluşturduğunu,
• çocuk kullanıcılara ait kişisel verilerin aktarılacağı alıcı grupları hakkında vekişisel veri işlemenin kapsamı ve sonuçları hakkında açık ve anlaşılır aydınlatmanın yapılmadığını,
• TikTok’a kayıt sırasında ve videoları paylaşırken gizliliği ihlal eden seçeneklere yönlendiren ‘karanlık tasarım’ların kullanıldığını,

tespit etmiştir. Bu nedenle, DPC, TikTok Limited’e 345.000.000 € para cezası vermiş ve veri sorumlusunun kişisel veri işleme faaliyetlerini üç ay içinde Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyumlu hale getirmesini talep etmiştir.

Bkz. https://www.enforcementtracker.com/ETid-2032 

İzlanda Veri Koruma Otoritesi (“Persónuvernd”) İzlanda Üniversitesi'ne 10.300 € para cezası vermiştir.

Veri sorumlusu İzlanda Üniversitesi, üniversite binalarına güvenliği sağlamak amacıyla güvenlik kameraları yerleştirmiştir. Fakat veri sorumlusu, video güvenlik kameralarının varlığı, kişisel verileri işleme amacı, niteliği ve kapsamı hakkında ilgili kişileri aydınlatmamıştır. Bu sebeple, Persónuvernd veri sorumlusuna 10.300 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2029 

Fransız Veri Otoristesi (“CNIL”), Saf Logistics’e 200.000 € para cezası vermiştir.

Veri sorumlusu Sap Logistics’in çalışanlarının özel hayatlarına ilişkin veri topladığını iddia edilmiştir. CNIL ise yürüttüğü soruşturmada veri sorumlusunun aile üyeleri hakkında kimlik, iletişim bilgileri, çalışılan pozisyon, işveren ve medeni durumları da dahil olmak üzere pek çok kişisel veri topladığını tespit etmiştir. CNIL, bu durumu veri ihlali olarak değerlendirmiştir. Toplanan kişisel veriler çalışanlardan doldurulması istenen formlardan elde edilmiştirve bu formlarda kan grubu, etnik köken, adli sicil kayıtları ve siyasi eğilimlere ilişkin sorular da mevcuttur. CNIL, veri sorumlusunun özel niteliklikişisel veri kategorisine giren bu verileri işlemek için yasal dayanağının olmadığını da tespit etmiştir. Bunun yanında, veri sorumlusundan Çince yazılmış formun tercümesinin talep edilmesine rağmen veri sorumlusu formu eksik bir şekilde CNIL’e sunmuştur. Bu sebeplerle, CNIL veri sorumlusuna 200.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2044 

İspanyol Veri Koruma Otoritesi (“AEPD”), Digi Spain Telecom, S.L.’e 70.000 € para cezası vermiştir.

Bir kişi, şirket SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiğiiçin Digi Spain Telecom, S.L. hakkında AEPD'ye şikâyette bulunmuştur. AEPD soruşturması sırasında şirketin üçüncü şahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasının verildiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların veri sahibinin banka hesabına erişmesine sebep olmuştur. Bu sebeple, AEPD, veri sorumlusuna 70.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2042 

AEPD, güvenlik kamerası sistemi kullanan birçok veri sorumlusuna para cezası vermiştir.

AEPD, güvenlik kamerası sistemi kullanan yedi gerçek ve tüzel kişi veri sorumlusunun yasal dayanağı olmadığını tespit etmiştir. Söz konusu veri sorumlularınınilgili kişilerin rızalarını almadığı ve güvenlik kamerasını kişisel veri işleme amacıyla bağlantılı, sınırlı ve ölçülü olmadan işlediği tespit edilmiştir. Busebeple AEPD, her birine ihlal boyutuna göre para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2040 https://www.enforcementtracker.com/ETid-2025 https://www.enforcementtracker.com/ETid-2024 https://www.enforcementtracker.com/ETid-2027https://www.enforcementtracker.com/ETid-2035 https://www.enforcementtracker.com/ETid-2034https://www.enforcementtracker.com/ETid-2043

Rumen VeriKoruma Otoritesi (“ANSPDCP”), Restart Energy One S.A.'ya 25.000 Euro paracezası vermiştir.

ANSPDCP, veri sorumlusunun internet sitesinde 750’den fazla ilgili kişinin adı, soyadı,adresi, telefon numaraları, e-posta adresleri, sözleşme numarası ve sözleşme tarihlerinden oluşan kişisel verilerinin 2,5 yıl boyunca herkesin erişimine açık olarak bulunduğu tespit etmiştir. ANSPDCP, veri sorumlusunun kişisel veri muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını tespit etmiştir.

Bkz. https://www.enforcementtracker.com/ETid-2045

Kamuoyu Duyuruları ve Haberler

Suudi Arabistan’da kişisel verilerin korunmasına yönelik bir kanun yürürlüğe girmiştir.

Kişisel verilerin korunmasına yönelik söz konusu kanun 16.09.2021 tarihinde Krallığın kararıyla kabul edilmiş ve 14.09.2023 tarihinde yürürlüğe girmiştir. Suudi Arabistan’da ilgili kişilerin kişisel verilerini koruyan ilk düzenleme olduğuiçin bu düzenleme önem arz etmektedir. Söz konusu kanunda ilgili kişilerin verilerinin toplanmasına, işlenmesine ilişkin hükümler düzenlenmiştir. Aynı zamanda kanunda ihlallere karşı cezalar da öngörülmüştür.

Bkz. https://cdn.saudigazette.com.sa/article/635910/SAUDI-ARABIA/Personal-Data-Protection-Law-and-its-executive-regulations-come-into-force 

İngiltere Veri Koruma Otoritesi (“ICO”), Birleşik Krallık hükümetinin Amerika Birleşik Devletleri’ne (“ABD”)  veri aktarımı için aldığı karara ilişkin görüş yayımlamıştır.

Birleşik Krallık hükümeti, Avrupa Birliği-ABD Veri Gizliliği Çerçevesi’ne benzer nitelikte olan ve the “UK Extention” olarak da bilinen Birleşik Krallık ve ABDarasında kişisel veri aktarımına ilişkin köprünün (UK-US Data Bridge) kurulacağını duyurmuştur. Birleşik Krallık hükümeti, kişisel verilerin Birleşik Krallık'tan ABD'ye aktarılmasına ilişkin uyumluluk sorunlarını çözmeyi planlamaktadır. ICO, UK Extention’ın yeterli düzeyde veri koruması sağladığı kanısında olmakla birlikte belirlenen korumaların düzgün bir şekilde uygulanmaması halinde ilgili kişiler hakkında potansiyel risk oluşturabilecek alanın olduğunu gözlemlemiştir.

Bu hususlar:

• UK Extention’da yer alan özel nitelikli kişisel veri tanımı ve GDPR’da belirtilen özel nitelikli kişisel veri tanımı birbiri ile aynı değildir. Bu durum veri aktarımı sırasında özel nitelikli kişisel verilerin korunamamasına sebep olabilir.
• GDPR’da düzenlenen unutulma hakkına benzeyen bir hak içermemektedir. Bu nedenle, UKExtention’da ilgili kişilerin kendi kişisel verileri üzerindeki kontrolünün sınırlı olduğu söylenebilir.
• İlgili kişiler açık rızalarını koşulsuz olarak geri alamamaktadır.
• GDPR’da düzenlenen ve ilgili kişilere otomatik işlemeye dayalı bir karara tabi olmama imkanı veren bir düzenleme bulunmamaktadır.
• ICO, kişisel veri ihlallerinin önüne geçmek için yukarıda belirtilen hususlara dikkat edilmesi gerektiğini belirtmiştir. Birleşik Krallık ve ABD arasında veri aktarımına 12.10.2023 tarihinde başlanacağı ifade edilmiştir.

Bkz. https://ico.org.uk/about-the-ico/what-we-do/information-commissioners-opinions-on-adequacy/the-uk-government-s-assessment-of-adequacy-for-the-uk-extension-to-the-eu-us-data-privacy-framework/

Polonya Veri Koruma Otoritesi (“UODO”), OpenAI hakkında soruşturma başlatmıştır.

Veri sorumlusu OpenAI hakkında ilgili kişiler, kişisel verilerinin hukuka aykırı, güvenilmez ve şeffaf olmayan bir şekilde işlendiğinden bahisle UODO’ya şikayette bulunmuşlardır. Bu sebeple UODO ise OpenAI ve ChatGPT hakkında soruşturma başlatmıştır. Soruşturma henüz neticelenmese de UODO yetkilileri ChatGPT’nin incelendiği kadarıyla GDPR’a yönelik pek çok ihlalin yer aldığını belirtmişlerdir.

Bkz. https://techcrunch-com.cdn.ampproject.org/c/s/techcrunch.com/2023/09/21/poland-chatgpt-gdpr-complaint-probe/amp/

Avrupa Veri Yönetişimi Yasası (“DGA”) uygulanmaya başlanmıştır.

Avrupa Veri Yönetişimi Yasası, 23 Haziran 2022 tarihinde yürürlüğe girmiş ve 15 ay sonra uygulanmaya başlanacağı Avrupa Komisyonu (“Komisyon”) tarafından açıklanmıştır. Bu itibarla DGA, 24 Eylül 2023 tarihinde artık yürürlüğe girmiştir. DGA içeriği kişisel olmayan verileri kapsamaktadır. DGA kapsamında üçüncü bir ülkeden kişisel olmayan verilere ilişkin bir erişim talebi söz konusu olduğunda, Komisyon’un, kamu tarafından korunan verilerin yeniden kullanımı ve aktarımı için ek yeterlilik kararları alabileceği düzenlenmiştir. Düzenlemenin asıl amacının Avrupa Birliği’nde veri paylaşımının hızlandırılması ve veri paylaşımına duyulan güvenin artırılmasını, verilerin kullanılabilirliğini artırmaya yönelik mekanizmaların güçlendirilmesi, verilerin yeniden kullanılmasının önündeki teknik engellerin üstesinden gelinmesi olduğu Komisyon tarafından belirtilmiştir.

Bkz. https://digital-strategy.ec.europa.eu/en/policies/data-governance-act