TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Sitil Çizgi İnşaat Turizm ve Tekstil Anonim Şirketi

Veri sorumlusu Sitil Çizgi İnşaat Turizm ve Tekstil Anonim Şirketi’ne 05.12.2022 tarihi itibariyle fidye yazılımı saldırısı gerçekleşmesi sonucunda sunuculara erişilememiş ve bazı kişisel verilerin sızma ihtimali söz konusu olabileceği ifade edilmiştir. Bu doğrultuda, veri sorumlusu, veri ihlalini Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde:  

- Etkilenen kişi gruplarının çalışanlar ve müşteriler olduğu,

- Etkilenen kişi sayısının henüz tespit edilemediği,

- İhlale konu olan kişisel veri kategorilerinin kimlik, iletişim, özlük, müşteri işlem olduğu belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7511/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Sitil-Cizgi-Insaat-Turizm-ve-Tekstil-Anonim-Sirketi

Diğer Gelişmeler

Kişisel Verileri Koruma Dergisi’nin yeni sayısı yayımlanmıştır.

Kişisel Verileri Koruma Kurumu’nun yılda iki kezyayımladığı, bilimsel-akademik nitelikli hakemli dergisinde bu ay:

- İş İlişkilerinde Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebebi Olarak “Meşru Menfaat”

- Birleşme Devralma Süreçlerinde Due Dilligence Aşamasının Kişisel Verilerin Korunması Hukuku Paralelinde Değerlendirilmesi

- İş Görüşmeleri Sürecinde İşçi Adayının Kişisel Verilerinin Korunması

- Nesnelerin İnternetinin Kişisel Verilerin Korunması Kapsamında İncelenmesi

- Kişisel Verilerin Korunması Yönünde Algoritmik Karar Verme makalelerine yer verilmiştir.

Bkz. https://dergipark.org.tr/tr/pub/kvkd

20.12.2022 tarih ve 32049 sayılı Resmî Gazete’de yayımlanan, 28.06.2022 tarihli ve 2018/6161 başvuru numaralı Anayasa Mahkemesi kararı ile kişilerin, kişisel verilerine erişim talebinin reddedilmesinin özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlali olduğuna karar verildi.

Anayasa Mahkemesi kararına konu olan olayda, başvurucu, iletişim hizmetleri şirketinden kullandığı telefona internet kullanımına bağlı bazı kişisel verilerinin (IP bilgisi olup olmadığı, Hot Spot işleminin yapılıp yapılmadığı) işlenip işlenmediği bilgisini talep etmiş, ancak talebi şirket tarafından yerine getirilmemiştir. Başvurucu öncelikle tazminat talebi ile Tüketici Mahkemesi’ne davayı taşımış, dava ise Tüketici Mahkemesi’nin talebi reddi ile sonuçlanmıştır. Anayasa Mahkemesi, başvurucunun kişisel verilerine erişim hakkı olduğunu ve talebinin yerine getirilmemesinin özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkını ihlal ettiğine karar vermiştir.

Bkz. https://www.resmigazete.gov.tr/eskiler/2022/12/20221220-4.pdf

01.12.2022 tarihli Resmi Gazete ile 29.09.2022 tarihli ve 2018/16857 başvuru numaralı Anayasa Mahkemesi, aleni olmayan konuşmaların hukuka aykırı şekilde kayıt altına alınması durumunda özel hayat alanı ile kişisel verilerine saldırı teşkil eden yöntemin ölçülü olup olmadığı ile amaçlananın farklı yöntemlerle elde edilip edilemeyeceği hususlarında açık ve anayasal güvenceleri dikkate alan bir değerlendirmenin yapılmaması sebebi ile kişisel verileri korunmasını isteme hakkının ihlal edildiğine karar verdi.

İlgili başvuru, başvurucunun aleni olmayan bir konuşmasının hukuka aykırı şekilde kayıt altına alınmasının ve söz konusukonuşmanın devam eden bir davada delil olarak sunulmasının kişisel verilerin korunmasını isteme hakkını ihlal ettiğine ilişkindir. Yargıtay içtihadında, kişinin başka türlü delil elde etme yönteminin bulunmaması sebebi ile birkişinin ses kaydını alması halinde kişisel verilerin korunmasını isteme hakkının ihlalinin oluşmayacağı değerlendirilmektir. Anayasa Mahkemesi ise, kararında her somut olayda özel hayat alanı ile kişisel verilere aykırılık teşkil eden yöntemin ölçülü olup olmadığı ile amaçlananın farklı yöntemlerle elde edilip edilemeyeceği hususlarında açık ve anayasal güvenceleri dikkate alan bir değerlendirmenin yapılması gerektiğini vurgulamış ve somut olayda yeterli değerlendirilmenin yapılmadığını tespit etmiştir. Öte yandan, Anayasa'nın 20. maddesinde güvence altına alınan hak kapsamında devletin pozitif bir yükümlülük larak yetki alanında bulunan tüm bireylerin haklarını kamusal makamların yanısıra diğer bireylerin eylemlerinden kaynaklanabilecek müdahalelere karşı korumak adına yargısal tedbirler alma yükümlülüğü olduğunu ifade etmiştir. Sonuç olarak, devletin pozitif yükümlülüğünün yerine getirilmediği ve bu sebeple de kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir. Bkz. https://kararlarbilgibankasi.anayasa.gov.tr/BB/2018/16857

Seçilmiş Güncel Gelişmeler 12 yayımlandı.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği  “Seçilmiş Güncel Gelişmeler 12” yayımlandı. Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-12/

AVRUPA BİRLİĞİ’NDEKİ GELİŞMELER

Güncel Kararlar

Fransız Veri Koruma Otoritesi (“CNIL”) Microsoft IrelandOperations Limited’e (”Microsoft”) kullanıcıların çerezleri kolay bir şekilde reddetmesine imkân sağlayacak bir sistem oluşturmaması sebebiile 60 milyon €para cezası uyguladı.

CNIL, Microsoft’a ait bing.com arama uygulamasının çerezyerleştirme koşullarına ilişkin gelen şikâyet üzerine soruşturma gerçekleştirdi. Yapılan soruşturma neticesinde, kullanıcıların terminaline izinleri olmaksızın tanımlama bilgilerinin yerleştirildiği ve bu tanımlama bilgilerinin de reklam amaçlı kullanıldığı tespit edildi. Öte yandan çerez kullanımına onayverilmesi tek tıklama ile gerçekleştirilirken, çerez kullanımının reddedilmesine ilişkin çift tıklama gibi daha zorlaştırıcı bir mekanizmanın oluşturulduğu gözlemlendi. Bu doğrultuda, kullanıcıların çerez kullanımını reddetmesini zorlaştıran bu mekanizmanın Avrupa Veri Koruma Tüzüğü’ne (“GDPR”) uygun olmadığı belirtildi. CNIL, olaydan etkilenen ilgili kişilerin sayısını ve Microsoft’un bu sistem sayesinde elde ettiği reklam gelirlerini de göz önünde bulundurarak 60 milyon € idari para cezası uyguladı. Bkz. https://www.cnil.fr/en/cookies-microsoft-ireland-operations-limited-fined-60-million-euros

İngiltere Veri Koruma Otoritesi(“ICO”) beş işletmeye hukuka aykırı olarak pazarlama amacıyla yaklaşık yarım milyon arama gerçekleştirdikleri gerekçesiyle toplam 435 bin € idari paracezası uyguladı.

ICO, Telefon Tercih Hizmetleri’nin (“TPS”) kayıtlı kişilere, pazarlama amacıyla hukuka aykırı olarak yarım milyon arama gerçekleştirdiğini tespit etti. Ayrıca, söz konusu aramaların özellikle savunmasız 60 yaş üstü yaşlı kişilere yönelik olduğu anlaşıldı. ICO tarafından şirketlerin kişileri arayarak baskıcı ve yanlış veya yanıltıcı beyanlar ilebanka bilgilerini vermeye zorlamasının doğru olmadığını ve bu doğrultuda harekete geçtiklerini ifade edildi. Bu kapsamda ICO, Allapplianceservices UKLtd’ye 85 bin £; Boiler CoverBreakdown Limited ‘e 120 bin £; Boiler BreakdownLimited ‘e 140 bin £; RepairPlans UK Limited’e 70 bin £; Utility GuardLimited’e 20 bin £ idari para cezası uyguladı. Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/12/five-businesses-fined-a-total-of-435-000-for-making-nearly-half-a-million-unlawful-marketing-calls/

İtalya Veri Koruma Otoritesi (“Garante”), sosyal ağ platformu Clubhouse’unsahibi Alpha Exploration’a GDPR’nin birçok maddesini ihlal etmesi sebebi ile 2milyon € idari para cezası verdi.

Garante, sosyal ağ platformu olan Clubhouse’un GDPR’yeaykırışekilde kişisel verileri işlemesi sebebi ile basında çıkan haberlerinardından re’sen soruşturma başlattı. Bu doğrultuda, Garante, AlphaExploration tarafından yasal dayanak olmaksızın kişisel veri işlendiğini, bilgilendirme yükümlülüğünün yerine getirilmediğini, veri koruma etki değerlendirilmesini gerçekleştirilmediğini tespit etti. Garante, AlphaExploration’un çok sayıda ilgili kişinin etkilenebileceği küresel çapta hizmet veren bir sosyal medya platformu olması ve ihlallerin ciddiyetini de dikkate alarak 2 milyon € idari para cezası uyguladı. Bkz. https://www.dataguidance.com/news/italy-garante-fines-alpha-exploration-2m-multiple-gdpr

Garante, parfüm zinciri olan DouglasItalia’ya, müşteri verilerini açık rıza alınmaksızın işlemesi ve GDPR’nin çeşitli hükümlerine uygun davranmaması sebebi ile 1.4 milyon € idari para cezası uyguladı.

Garante’nin yürüttüğü soruşturma neticesinde, DouglesItalia’nın ilgili kişileri gizlilik ve çerez politikalarına rıza vermesini zorunlu kıldığı, ilgili kişinin açık rızası olmaksızın sadakat kart uygulaması gerçekleştirdiği, aydınlatma metnine uygun bir şekilde veri işleme süreçlerinin yürütülmediği, şeffaf ve erişilebilir veri işleme süreçlerinin uygulanmadığı, blog aracılığı ile işlenen verilerin işlenme amaçları ve saklama sürelerine ilişkin herhangi bir açıklama sağlayamadığı tespit edildi. Sonuç olarak, DouglasItalia’nın, Garante tarafından tespit edilen yükümlülüklerin yerine getirilmesi konusunda talimatlandırılmasına, on yıldan uzun süredir saklanan müşteri verilerinin 15 gün içerisinde imha edilmesine ve 1.4 milyon idari para cezası uygulanmasına karar verildi.  Bkz. https://www.dataguidance.com/news/italy-garante-fines-douglas-italia-14m-various-gdpr

Portekiz Veri Koruma Otoritesi (“CNPD”), 2021 yılında gerçekleştirilen nüfus sayımı sürecinde GDPR’ye aykırı bir şekilde vatandaşların kişisel verilerin işlenmesi sebebi ile Uluslararası İstatistik Enstitüsü’ne (“INE”) 4.3 milyon € idari para cezasına hükmetti.

CNPD, 2021 yılında INE tarafından gerçekleştirilen nüfus sayımı sürecinde ilgili kişilerin doldurulmasının zorunlu tutulduğu aksi halde yaptırımı olan ankete ilişkin birden fazla şikâyet alması sebebi ileinceleme başlattı. Ankete ilişkin yapılan şikâyetler ise aynı konutta yaşayan aile bireylerine ait kimlik, din, sağlık bilgilerinin hukuka aykırı olarak işlenmesi ve yeterli korumanın olmadığı ülkelere veri aktarılması noktasında toplandığı görüldü. INE’nin, söz konusu bu anket çalışması ile 6 milyondan fazla vatandaşın kişisel verilerini içeren yaklaşık 2,5 milyon formu, dünyada 200’den fazla veri merkezi olan ABD’de yerleşik Cloudflare Inc aracılığı ileişlediği tespit edildi. CNPD’nin yürüttüğü incelemede ön bulgular neticesinde, CNPD tarafından GDPR’ye aykırı şekilde yurtdışına veri aktarımın gerçekleştiği anlaşıldı ve veri akışının 12 saat içinde askıya alınmasınailişkin talimat verildi. Tedbir niteliğindeki bu düzeltici önlemin akabinde CNPD, nihai olarak GDPR’ninbeş maddesinin ihlal edildiğine karar verdi: i) özelnitelikli kişisel verilerin işlenmesinde yasal dayanağın olmaması ii) ilgili kişilerin bilgilendirilmemesinden kaynaklı şeffaf veri işleme süreçlerinin yürütülmemesi iii) veri koruma etki değerlendirilmesi yapılmaması iv) veri işleyen ile standart bir sözleşme akdedilerek veri işleme risklerini hafifletilmesi amacıyla GDPR’nin genel ilkelerine ve kurallarına uyum için yeterli önlemlerin alınmaması (örneğin, standart sözleşme içerisinde uyuşmazlıklarda yetkili mahkemelerin Kaliforniya mahkemeleri olduğubelirtilmiştir) ve GDPR’nin 28. maddesinin 3. fıkrası kapsamında veri işleyenin seçimine ilişkin gerekli özeni gösterilmemesi v) yurtdışı veri aktarımına ilişkin yükümlülüklerin yerine getirilmemesi. Tüm bu açıklamaların sonucunda ise CNPD, INE’ye 4.3. milyon € idari para cezası uyguladı. Bkz. https://edpb.europa.eu/news/national-news/2022/portuguese-supervisory-authority-fines-portuguese-national-statistics_en

Kamuoyu Duyuruları

Avrupa Veri Koruma Denetçisi (“EDPS”), Euro cinsinden anında kredi transferleri düzenlemelerine ilişkin görüşünü yayımladı.

EDPS, Euro cinsinden anında kredi transferlerine ilişkin(AB)260/2012 ve (AB) 2021/1230 sayılı Tüzükler’de değişiklik öngören Avrupa Parlamentosu ve Konsey Tüzüğü Önerisi’ne ilişkin görüşünü paylaştı. Bu doğrultuda, anlık kredi transferlerinin etkili ve doğru bir şekilde kullanımını arttırmayı amaçlayan ilgili Tüzük için bireyin yanlış tanımlanmasından kaynaklı yüksek oranda reddedilen anlık ödemelerin engellenmesi açısından faydalı olabileceğibelirtildi. Bkz. https://edps.europa.eu/press-publications/press-news/press-releases/2022/secure-instant-payments-individuals-eu_en

ICO, bazı teknolojik gelişmeler nedeniyle iki ila beş yıliçerisinde mahremiyete ilişkin ortaya çıkabilecek sorunları ele aldığı raporunu (“Tech Horizon Raporu”) yayımladı.

ICO, ICO25 stratejisi kapsamında, teknolojik gelişmeleri desteklemeyi, işletmelerin yüklerini azaltmayı ve aynı zamanda ortaya çıkabilecek zararları önlemeyi amaçladıklarını belirtmiştir. Bu doğrultuda, Tech Horizon Raporu ile önümüzdeki iki ila beş yıl içerisinde mahremiyete yönelik olarak tüketici sağlığı teknolojileri, yeni nesil nesnelerin interneti (internet of things), çevreleyici teknolojiler vemerkezi olmayan finans olmak üzere dört temel teknolojinin sonuçları değerlendirilmiştir. Bkz. https://ico.org.uk/media/about-the-ico/documents/4023338/ico-future-tech-report-20221214.pdf

ICO, Doğrudan Pazarlama Rehberi’ni (“Rehber”) yayımladı.

ICO, doğrudan pazarlama süreçleri yürüten işletmelerin hukukauygun bir şekilde büyümesini, hedeflerini gerçekleştirilmesini, müşteri deneyimlerini geliştirmesini sağlamak amacıyla oluşturulan Doğrudan Pazarlama Rehberi’ni yayımladı. Rehber’de işletmelerin doğrudan pazarlama süreçlerinde yasal uyumluluğunu sağlanabileceği dört temel adım detaylı olarak ele alındı. Bu doğrultuda, işletmelerin i) gerçekleştirilen faaliyetlerinitanımlaması, ii) tasarım yoluyla veri koruma yaklaşımı belirlemesi, iii) şeffaf bir şekildeverilerin nasıl toplandığına ilişkin olarak kişilerinbilgilendirmesi, iv) kişilerin doğrudan pazarlama faaliyetine itiraz etme vedoğrudan pazarlama faaliyetinden vazgeçme hakkına saygı göstermesi gerekliliğibelirtildi. Bkz. https://ico.org.uk/for-organisations/direct-marketing-guidance-and-resources/direct-marketing-guidance/

Avrupa Birliği Veri Koruma Otoritesi (“EDPB”), PNR verilerinin terör ve ciddi suçların önlenmesi, tespiti, soruşturulması ve kovuşturulması amacıyla kullanılmasına ilişkin kararını verdi.

EDBP, PNR verilerinin terör ve ciddi suçların önlenmesi,tespiti, soruşturulması ve kovuşturulması için kullanılmasına ilişkin 21.06.2022 tarihinde Belçika Anayasa Mahkemesi'nden talep üzerine, AB Adalet Divanı, tarafından sunulan Avrupa Parlamentosu ve Konseyi'nin 27.04.2016tarihli (AB)2016/681 sayılı Direktifi’ne (“PNR Direktifi”) ilişkin kararını verdi. EDPB, PNR Direktifi’nin, kişisel verilerin işlenmesinde kısıtlayıcı şekilde ele alınması gerektiğini vurguladı. Özellikle, kişisel verilerin PNR Direktifi’nde belirtilen amaçlarla sınırlı olarak işlenmesine, sadece hava yolutaşıması ile nesnel bağlantısı olan terör suçları ve ciddi suçlar bakımından uygulanmasına ve diğer suçların hariç tutulmasına, AB iç uçuşlar ve diğer ulaşım araçları ile ilgili olarak sınırlandırılmasına ve beş yıllık saklama sürelerinin tüm yolcular bakımından ayrım gözetmeksizin uygulanmamasına dikkat edilmesi gerektiği belirtilmiştir. Bkz. https://edpb.europa.eu/system/files/2022-12/edpb_statement_20221213_on_the_pnr_judgement_en.pdf

OECD ülkeleri, Özel Sektör Kuruluşları Tarafından Tutulan Kişisel Verilere Devletin Erişimine İlişkin OECD Deklarasyonu yayımlandı.

OECD ülkeleri arasında Özel Sektör Kuruluşları TarafındanTutulan Kişisel Verilere Devletin Erişimine İlişkin OECD Deklarasyonu ile ulusal güvenliğin sağlanması ve kolluk süreçlerinde kişisel verilerin paylaşılmasında kişi mahremiyeti ve diğer temel hak ve özgürlüklerin korunması bağlamında ortak bir yaklaşım benimsenmesi hedeflendi. Böylelikle, ulusal güvenlik ve kolluk süreçlerinde ülkelerin mevcut yasal düzenlemelere uygun bir şekilde kişisel verilere erişimlerinde ve dijital dönüşüm kapsamında sınır ötesi veri aktarımlarında güvenin sağlanmasına yönelik detaylı açıklamalara ve uygulanacak ilkelere yer verildi. Bkz. https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0487#adherents

Avrupa İnsan Hakları Mahkemesi (“AİHM”), kişisel verilerin korunması kapsamında verilen karar özetlerinin derlendiği bilgi notunu güncellenmiş versiyonunu yayımladı.

AİHM, belirli aralıklarla kişisel verilerin korunması kapsamında verilen karar özetlerini derleyerek kişisel verilerin toplanması (cinsel tercihleri, DNA bilgisi ve parmak izi, GPS, sağlık verisi gibiverikategorileri ve telefon takibi ve gözetim araçları gibi toplanmayöntemlerigibi alt başlıklar halinde ele alınmıştır.), kişisel verilerin erişilmesi, kişisel verilerin silinmesi veya imha edilmesi ana başlıkları altında yayımlamaktadır. Yine bu başlıklar altında derlediği karar özetlerini Aralık2022 itibari ile yayımlamıştır. Bkz. https://echr.coe.int/Documents/FS_Data_ENG.pdf

AİHM, “İşyerinde Gözetim” başlıklı bilgi notunu yayımladı. 

AHİM, işyerinde işçinin telefon ve internet kullanımının izlenmesi, iş bilgisayarında saklanan kişisel dosyaların açılması,video gözetimi ve GPS sistemleri ile izlenmesi başlıkları altında çeşitli kararların yer aldığı bilgi notunu güncelleyerek yayımlamıştır. Bkz. https://www.echr.coe.int/Documents/FS_Workplace_surveillance_ENG.pdf