TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Quick Sigorta Anonim Şirketi

Quick Sigorta Anonim Şirketi tarafından yönetilen hasar yönetimi programında yer alan maddi araç hasarlarına ilişkin görsellerin yer aldığı URL’nin yetkisiz kişiler tarafından ele geçirilmesi sebebi ile veri ihlali gerçekleşmiş ve ihlal, Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirilmiştir. Yapılan bildirimde;

· Yetkisiz kişiler tarafından çeşitli ihbar ID numaraları denenerek 18.08.2022 tarihi itibari ile görsellere erişildiği ve 21.08.2022 tarihinde veri çekme işlemlerine başlandığı,

· Programda çoğunlukla hasarlı araçlara ait görüntüler olduğu ancak hasar dosyalarının da ele geçirildiği ve bu sebeple, sürücülerin kimliklerini paylaşmış olması halinde T.C. kimlik belgesi üzerinde yer alan verilere, ehliyetlerini paylaşması halinde ehliyet üzerinde yer alan kan grubu dâhil diğer verilere ve trafik kaza tespit tutanağı üzerinde adres bilgisine ulaşıldığı,

· Henüz etkilenen ilgili kişi sayısının tespit edilemediği,

· İlgili kişi grubunun müşteri, potansiyel müşter ive trafik kazasına karışan taraflar olduğu, ihlal ile ilgili çalışmaların devam etmekte olduğu bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7474/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Quick-Sigorta-Anonim-Sirketi

Denizli Özel Egekent Hastanesi

Veri sorumlusu Denizli Özel Egekent Hastanesi,  fidye yazılımı saldırısı ile sistemlerine yetkisiz kişiler tarafından erişim sağlanması sebebi ile veri ihlalinin gerçekleştiğini Kurul’a bildirmiştir. Yapılan bildirimde;

· 10.10.2022 tarihi itibariyle sistemlere erişim sağlanamadığı,

· İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, aboneler, öğrenciler, müşteriler, hastalar, çocuklar, korunmaya muhtaç yetişkinler olduğu,

· İhlale konu olan kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güveliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama bilgileri ile görsel ve işitsel kayıtlar olduğu,

· İhlalden etkilenen tahmini kişi sayısının 295 olduğu bilgilerine yer verilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7476/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Denizli-Ozel-Egekent-Hastanesi

İnfomag Reklam ve Özel Dergi Yay. Hiz.Tic. A.Ş.

Veri sorumlusu İnfomag Reklam ve Özel Dergi. Yay. Hiz. Tic. A.Ş., web sitesine ait veri tabanında yer alan verilerin yetkisiz kişiler tarafından silinmesi suretiyle veri ihlalinin gerçekleştiğine dair Kurul’a veri ihlali bildirimi yapıldı. Veri ihlali bildiriminde özetle;  

·  Yetkisiz erişilen veri tabanı klasörüne fidye mesajı bırakıldığı,

· İhlalin 07.09.2022 tarihinde, web sunucusu tarafından iletilen uyarı mesajı ve web editörleri tarafından iletilen siteye erişimin kesildiğine dair mesajlar sonucunda tespit edildiği,

· İhlalden etkilenen ilgili kişi gruplarının kullanıcılar ve aboneler/üyeler olduğu,

· İhlalden etkilenen kişisel verilerin, ücretsi züyelik oluşturan kullanıcılara ait ad, soyad, e-posta bilgileri; ücretli abonelik yapan kullanıcıların da ad, soyad, e-posta, TC kimlik numarası, adres ve telefon bilgileri olduğu,

· İhlalden etkilenen kişi ve kayıt sayısının daha henüz belirsiz olduğu ifade edilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7480/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Infomag-Reklam-ve-Ozel-Dergi-Yay-Hiz-Tic-A-S

Diğer Gelişmeler

Kişisel Verileri Koruma Kurumu’nun (“KVK Kurum”) ev sahipliğinde, 44. Küresel Mahremiyet Asamblesi Konferansı gerçekleştirildi.

KVK Kurum’u, kişisel verilerin korunması ve mahremiyet alanında çalışmalar yapan vediğer veri koruma otoriteleri arasında işbirliği ve bilgi paylaşıma yönelik uluslararası bir organizasyon olan Küresel Mahremiyet Asamblesi’nin asli üyesidir. Bu yıl 44. düzenlenen Küresel Mahremiyet Asamblesi Konferansı’na KVK Kurum’u, İstanbul’da ev sahipliği yapmıştır. 25-26 Ekim 2022 tarihlerinde, açık oturum olarak düzenlenen konferansta, dünyanın birçok yerinden katılımcıların yer aldığı ve farklı mahremiyet konularının ele alındığı paneller düzenlenmiştir.

Bkz. https://gpaturkiye2022.org/ 

T.C. Radyo ve Televizyon Üst Kurulu ve Kurum işbirliğinde 1. Ulusal Görsel ve İşitsel Medyada Kişisel Verilerin Korunması Sempozyumu gerçekleştirildi.

Görsel ve işitsel medyada kişisel verilerin korunmasının kapsamlı bir şekilde ele alındığı bu sempozyumda, görsel ve işitsel medyada kişisel verilerin hukuka aykırı bir şekilde işlendiği ve bu kapsamda KVK Kurum’una iletilen şikâyetlerde artış olduğu belirtilmiştir. Sempozyum  gerçekleşmiştir: “Görsel-İşitsel Medya Politikasında Kişisel Verilerve Mahremiyet”, “Görsel-İşitsel Medyada Kişisel Verilerin İşlenmesi ve Korunması” ve son olarak Görsel-İşitsel Yayıncılığın Kişisel Verilerin Korunması Bağlamında Denetlenmesi”. Sosyal medyada mahremiyetin önemi ve kişisel veri güvenliği, ifade özgürlüğü, basın özgürlüğü ve kişisel verilerin korunması arasında ilişki, çocuğun kişisel sağlık verilerin işlenmesi, tüketicilerin profillemesi gibi konuların yanı sıra Metaverse’de XR teknolojisi ile gündüz kuşağı programları aracılığıyla kişisel verilerin işlenmesi gibi konu başlıkları da ele alınmıştır.

Bkz. https://www.rtuk.gov.tr/1-ulusal-gorsel-isitsel-medyada-kisisel-verilerin-korunmasi-sempozyumu-duzenlendi-/4368

Seçilmiş Güncel Gelişmeler 7 ve Seçilmiş Güncel Gelişmeler 8 yayımlandı.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 7” ve “Seçilmiş Güncel Gelişmeler 8” yayımlandı.

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-7/; https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-8/

AVRUPA BİRLİĞİ’NDEKİ GELİŞMELER

Güncel Kararlar

Birleşik Krallık Veri Koruma Otoritesi (“ICO”), bir inşaat şirketi olan veri sorumlusuna, kişisel verilerin korunmasına ilişkin yeterli güvenlik önlemleri almaması sebebi ile gerçekleşen siber saldırı neticesinde 4.400.000 £ idari para cezası uyguladı.

113.000 çalışana ait iletişim verileri, ulusal sigorta numaraları ve banka hesap bilgilerinin yanı sıra etnik köken, din, cinsel yönelim, engellilik bilgileri ve diğer sağlık verilerinin etkilendiği bir siber saldırı gerçekleşmiştir. ICO yaptığı inceleme neticesinde, veri sorumlusu inşaat şirketinin yazılım güncelleme, personel eğitimi gibi önemli güvenlik önlemlerini almadığını ve bu sebeple ilgili şirketin siber saldırılara açık bir pozisyonda olduğunu tespit etmiştir. ICO ilgili kararda, güvenlik önlemlerinin alınmamış olmasının kabul edilemez olduğu vurgulamış ve yaptırım olarak 4.400.000 £ idari para cezası vermiştir.   Ek olarak, KVK Kurumu’nun bu yıl ev sahipliği yaptığı 44. Küresel Mahremiyet Asamblesi Konferansı’nda da yer alan ICO Bilgi Komisyoneri John Edwards, karara ilişkin olarak işletmelerin karşılaştığı en büyük siber riskin, şirket dışı korsanlardan değil, işletmelerin yeterli güvenlik önlemleri almamasından kaynaklı olduğunu vurgulamıştır. Öte yandan işletmelerin şüpheli hareketleri düzenli olarak izlememesi, yazılımlarını güncellememesi, personel eğitimi vermemesi durumunda ICO’nun yine benzer cezaları verebileceğini ifade etmiştir.

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/10/biggest-cyber-risk-is-complacency-not-hackers/

ICO, katalog perakendecisi olan veri sorumlusu hakkında açık rızası olmaksızın profilleme yapması ve istenmeyen doğrudan pazarlama aramaları gerçekleştirmesi sebebiyle toplam 1.480.000 £ idari para cezası uygulanmasına karar verdi.

Katalog perakendecisi Easylife, açık rızaları bulunmaksızın ilgili kişiler üzerinde profilleme işlemi gerçekleştirerek yaklaşık olarak 145.000 müşterinin sağlık durumunu tahmin eden ve bu doğrultuda müşterilere sağlık durumlarına uygun olarak ürünler tavsiye eden bir uygulama kullanmaktaydı. Bu sebeple ICO tarafından, kişisel veri koruma mevzuatına aykırı olarak gerçekleştirilen profilleme işlemi için 1.350.000 £ idari para cezası uygulanmasına karar verildi. Öte yandan, Easylife tarafından son bir yıl içerisinde Elektronik İletişim Tüzüğü’ne (Electronic Communications Regulation) aykırı bir şekilde 1,3 milyondan fazla doğrudan pazarlama araması yapıldığı tespit edilerek 130.000 £ idari para cezası verildi. Böylelikle Easylife’a toplam 1.480.000 £ idari para cezası yaptırımı uygulandı.

Bkz. https://ico.org.uk/action-weve-taken/enforcement/easylife-limited-en/

Fransız Veri Koruma Otoritesi (“CNIL”) yüz tanıma yazılımı satan Clearview AI’ya 20.000.000 € idari para cezası verdi.  

10 milyardan fazla yüz görüntüsünün yer aldığı veritabanına sahip ClearviewAI,  bu veri tabanın kullanıldığı yazılımları Amerika Birleşik Devletleri’ne (“ABD”) satmaktaydı. Bu sebeple, noyb veAvrupa Birliği (“AB”) dijital haklar organizasyonları tarafından başlatılan şikâyet sürecinde, İtalya, Yunanistan, Fransa, Avusturya ve Birleşik Krallık’ında bulunduğu beş ülkenin veri koruma otoritesine, Clearview AI hakkında şikâyet başvuruları yapıldı. Diğer veri koruma otoritelerinin kararlarından sonra CNILda   Clearview AI’ya 20.000.000 € idari para cezası uygulamasına karar verdi. Öte yandan CNIL, Clearview AI’ın hukuki dayanak olmaksızın Fransız vatandaşlarının verilerini toplamaması/kullanmamasıve şu ana kadar topladığı verileri de silmesi gerektiğini belirtti. 

Bkz. https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai

İtalya Veri Koruma Otoritesi, e-posta gönderirken alıcıların adreslerini “Bcc” yerine “Cc” alanına eklemesi sebebiyle gerçekleşen veri ihlali neticesinde şirkete 45.000,00€ idari para cezası uyguladı.

Bir kampanyanın parçası olarak, veri sorumlusu şirkettarafından alıcıların adreslerine “Bcc” yerine “Cc” alanında yer verilerek e-posta gönderilmesi sebebi ile veri ihlali gerçekleştirilmiştir. Bu doğrultuda, İtalya Veri Koruma Otoritesi, veri sorumlusu şirketin, yaklaşık 2.000 İtalyan diyabet hastasıyla ilgili e-posta adresleri ve sağlık verilerini hukuka aykırı bir şekilde ve yeterli teknik ve idari önlemler almaksızın üçüncü kişiler ile paylaşılması sebebiyle 45.000,00 € idari para cezası uygulanmasına karar verdi.

Bkz. https://edpb.europa.eu/news/national-news/2022/italian-sa-fines-us-company-offering-diabetes-app_en

Kamuoyu Duyuruları

ICO tarafından gerçekleştirilen kamuoyu duyuruları:

- Gelişmekte olan biyometrik teknolojilerin kullanımına ilişkin olarak iki rapor yayımlandı.

Bkz. https://ico.org.uk/about-the-ico/research-and-reports/biometrics-technologies/

- Çalışan sağlık verilerinin işverenler tarafından nasıl işlenmesi gerektiğine ilişkin rehber taslağı yayımlandı.

Bkz. https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-on-draft-employment-practices-guidance-information-about-workers-health/

- Pazarlama amacıyla gerçekleştirilene-posta gönderimine ilişkin bir rehber yayımlandı.

Bkz. https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-direct-marketing-using-electronic-mail/#top

- Pazarlama amacıyla gerçekleştirilen canlı aramaların hukuka uygunluğunun sağlanmasına yönelik bir rehber yayımlandı.

Bkz. https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-direct-marketing-using-live-calls/

- Genel Veri Koruma Tüzüğü’nde (“GDPR”) düzenlenen araştırma hükümlerine ilişkin olarak araştırmacılara, istatikçilere ve arşivcilere yönelik bir rehber yayımlandı.

Bkz. https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/research-provisions/

- İstihdam uygulamaları kapsamında işçilerin işyerinde izlenmesine ilişkin taslak rehber yayımlandı.

Bkz. https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-on-the-draft-employment-practices/

Avrupa Veri Koruma Kurulu (“EDPB”), GDPR kapsamında veri ihlal bildirimlerine ilişkin olarak güncellenen rehberi kamuoyu görüşüne açtı.

İlgili rehberde, GDPR kapsamında veri ihlal bildirim yöntemlerinden veri koruma otoritelerine bildirim ve ilgili kişi ile iletişim yollarına, sınır ötesi ihlallere ve AB dışı kuruluşlardaki veri ihlalleri bildirim gerekliliklerine yer verilmiştir. Rehber, Madde 29 Çalışma Grubu tarafından 2018 yılında çıkarılan WP250 sayılı Kişisel Veri İhlali Bildirimi Rehberi’nin[1] tekrarı niteliğindedir. EDPB tarafından söz konusu rehberin 73. paragrafında sarı ile işaretlenen AB dışı kuruluşlarda gerçekleşen veri ihlalleri ile ilgili olarak bildirim gerekliliğine ilişkin görüş talep edilmiştir. Görüşler, 29 Kasım 2022’ye kadar alınacaktır.

Bkz.  https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-92022-personal-data-breach_en

CNIL ile Güney Kore Veri Koruma Otoritesi (“PIPC”) arasında işbirliği yapılacağı konusunda anlaşıldı.  

44. Küresel Mahremiyet Asamblesi Konferansı esnasında, PIPC’den Kurul Başkanı Dr. Haksoo KO ile CNIL’dan Kurul Başkanı Marie - LaureDENIS’in görüşmeleri neticesinde iki veri koruma otoritesi arasında veri koruma konularında işbirliği yapılacağı konusunda anlaşıldı. Böylelikle taraflar, birlikte yeni teknolojiler ve veri koruma hususları, en iyi uygulama örnekleri ve deneyimlerinin paylaşılması, ortaklaşa eğitimlerin düzenlenmesi, iki otoritea rasında temsilci değişimleri gibi konularda işbirliği içerisinde olacaklarını beyan ettiler.

Bkz. https://www.cnil.fr/en/declaration-cooperation-between-south-korean-data-protection-authority-pipc-and-french-data