Türkiye’deki Güncel Gelişmeler
İhlal Bildirimleri
- Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri Anonim Şirketi
Veri sorumlusu sıfatını haiz Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; veri ihlalinin, veri sorumlusu dosya sunucularına yapılan fidye yazılımı saldırısısonucu gerçekleştiği, ihlalin 16.07.2022 tarihinde başladığı ve dosyalarınçalındığı ve fidye istendiğine ilişkin metin dosyalarının bilgi sistemleri sorumlusu tarafından fark edilmesi üzerine 09.08.2022 tarihinde tespit edildiği, ihlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu, ihlalden yeminli mali müşavirlik ve bağımsız denetim faaliyetleri kapsamında tüzel kişi müşterilerden elde edinilen ticari veriler içinde bulunan kimlik (ad, soyad), iletişim (e-posta adresi, telefon numarası) ve finans (fatura, ticari kayıtlar) kategorilerinde yer alan kişisel verilerin etkilenmiş olabileceğinin düşünüldüğü, ihlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, tespit ile ilgili çalışmaların devam ettiği, ihlale ilişkin olarak ilgili kişilerin şirketten bilgi alabileceği belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7426/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Gureli-Yeminli-Mali-Musavirlik-ve-Bagimsiz-Denetim-Hizmetleri-Anonim-Sirketi
- AstraZeneca İlaç San. ve Tic.Ltd. Şti.
Veri sorumlusu sıfatını haiz AstraZeneca İlaç Sanayi ve Ticaret Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; çalışan adaylarının, “AstraZeneca”daki açık pozisyonlara başvurabilmelerini sağlayan, veri işleyen (Workday Limited) sisteminde ihlal gerçekleştiği, bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in, kullanıcı oturumuna ilişkin verileri izlemek adına bir JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edildiği, değişkenin değerinin, harici kariyer sitesi için HTML kaynağınıinceleyen, örneğin tarayıcının "Kaynağı Görüntüle" özelliğini kullanan kullanıcılar tarafından görülebilir hale geldiği, bahse konu durumdan dolayı, 13 Temmuz 2022 saat 23:53 (İstanbul saati) ila 14 Temmuz 2022 saat 05:32 arasında ve/veya 20 Temmuz 2022 saat 22:06 ila 1 Ağustos 2022 saat 23:15 arasında iş başvurusu yapan çalışan adaylarının kişisel verilerinin kısa süreliğine erişilebilir hale geldiği, ihlalin 31 Temmuz 2022 tarihinde tespit edildiği, ihlalden etkilenen kişi grubunun çalışan adayları olduğu, ihlalden tahmini 981 kişinin etkilendiği, ihlalden etkilenen kişisel verilerin; ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile önceki iş ilişkisi bilgisi, vize durumu, mevcut veya önceki işveren ile ilgili kısıtlayıcı maddelerin ayrıntıları olduğunun tahmin edildiği, buna ek olarak, çalışan adaylarının veri işleyen sistemi üzerinden gönüllü olarak da kişisel URL, iş deneyimi, eğitim, dil, yetenekler ve özgeçmiş verilerini sağlayabildiği açıklamalarında bulunulmuştur.
Kamuoyu Duyuruları
- “Genetik Verilerin İşlenmesindeDikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında KamuoyuDuyurusu Yayımlandı.
Kamuoyu duyurusu ile birlikte genetik verilerin işlenmesinin ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olduğu ve toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabileceği belirtilmiştir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması ve toplumsal alanda da farkındalık oluşturulması gerekliliği vurgulanmıştır. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebileceğinden bahisle 24 Ağustos 2022 tarihi itibariyle genetik verilerin işlenme süreçlerinin önemi dikkate alınarak Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” (“Taslak Rehber”) hazırlanmıştır. Kurul’un 16.08.2022 tarih ve 2022/848 sayılı Kararı ile Taslak Rehber’e ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Taslak Rehber’e ilişkin görüş ve değerlendirmelerin 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.
(Bkz. https://www.kvkk.gov.tr/Icerik/7428/-Genetik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber-Taslagi-Hakkinda-Kamuoyu-Duyurusu) DL Hukuk tarafından hazırlanan Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı Bilgi Notu’na buradan ulaşabilirsiniz.
- Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı.
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi ile bankacılık sektörü uygulamalarında kişisel veri işleme şartları, kişisel verilerin aktarılması, veri sorumlusu bankanın yükümlülükleri detaylı bir şekilde elealınmıştır.
(Bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/12236bad-8de1-4c94-aad6-bb93f53271fb.pdf) DL Hukuk tarafından hazırlanan Kişisel Verilerin Korunmasına İlişkinBankacılık Sektörü İyi Uygulama Rehberi Bilgi Notu’na buradan ulaşabilirsiniz.
Avrupa’daki Güncel Gelişmeler
Güncel Kararlar
- Reklam teknolojisi şirketi Criteo'nunAvrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) aykırı bir şekildekullanıcı profilinin çıkarılması ve kullanıcıların davranışsal reklamlararacılığı ile hedeflenebilmesi için tasarlanan “manipülasyon makinesi” olarakadlandırılan sistemi kullandığı ve bu kapsamda müşteri tahminleri için reklamverenler tarafından Criteo’ya ödeme yapıldığı tespit edilmiştir. Bu doğrultuda,Fransa Veri Koruma Otoritesi (CNIL), reklam teknolojisi şirketi Criteo'ya 60milyon Euro para cezası uygulamaya karar vermiştir.
(Bkz. https://techcrunch.com/2022/08/05/criteo-gdpr-breaches-cnil/
- CNIL, Fransız otel grubu ACCOR’a ilgili kişilerin haklarına saygı göstermediği ve açık rızası olmadan ticari araştırma yaptığı için 600.000 Euro para cezası uygulamaya karar vermiştir.
(Bkz. Commercial prospecting and rights of individuals: ACCORfined 600,000 euros | CNIL) Ek olarak, ACCOR, Avrupa Birliği üyedevletlerinin birçoğunda faaliyet göstermesi sebebi ile CNIL diğer üyedevletlerin veri koruma otoriteleri ile karar taslağını paylaşmıştır. Ancak PolonyaVeri Koruma Otoritesi ile CNIL arasında verilen para cezasının miktarı ileilgili olarak fikir ayrılıklarının olması sebebi ile söz konusu konu AvrupaVeri Koruma Kurulu’na (EDPB) iletilmiştir. EDBP, alınan tedbirlerin dahacaydırıcı olması için CNIL’ye, ACCOR’un 2021 yılı bilançosunun dikkate almasınıve ceza miktarını tekrardan gözden geçirerek arttırması gerektiğini belirtmiştir.
- Romanya Veri Koruma Otoritesi, ilgili kişinin itiraz hakkını kullanmış olmasına rağmen Sephora CosmeticsRomania’nın SMS yolu ile ticari iletiler göndermesi sebebi ile 2.000 Euro paracezası uygulamıştır.
- Romanya Veri Koruma otoritesi, yolcutaşımacılığı yapan bir şirketin internet sitesinde yetersiz bir şekildeaydınlatma yapması sebebi ile söz konusu şirkete uyarıda bulunmuştur. Ayrıca,şirkete, soruşturma sırasında işbirliği yapmadığı için 7.000 Euro para cezası uygulamıştır.
(Bkz. https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Fine_against_CDI_Transport)
- İspanya Veri Koruma Otoritesi, taşınmaz satışsözleşmesi kapsamında müşterisine ait kişisel verileri toplayan emlak şirketinin,müşteri şikâyeti üzerine yaptığı inceleme neticesinde taşınmaz satışsözleşmesinde müşterinin kişisel verilerinin işlenmesine ilişkin bir maddeolmaması veya ilgili kişiye kişisel verilerinin işlenmesine ilişkin herhangibir bilgilendirme yapılmaması sebebiyle GDPR’ın 13. maddesine aykırıdavrandığını tespit etti. Veri sorumlusu şirketin ana faaliyetinin doğrudankişisel veri işlemesi ile bağlantılı olması sebebiyle daha fazla dikkat veözeni göstermesi gerektiğini belirterek 5.000 Euro para cezası uygulamaya kararvermiştir.
(Bkz. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00618/2021)
İhlal, Şikayet ve İncelemeler
- Viyana’da kurulu kar amacıgütmeyen bir kuruluş olan noyb-Euroepan Center for Digital Rights, Mayıs2021’de 500’den fazla sayıda GDPR’a aykırı şekilde çerez kullanan internet sitesiniilgili veri koruma otoritelerine şikayet etmişti. Zira internet siteleri,ziyaretçilerin çerezler üzerindeki kontrolünü oldukça güçleştirici veya çerezkullanımlarını zorlayıcı bir şekilde tasarlanmıştı. Yapılan şikâyetler üzerine, One Trust’ın çerezyönetim platformunu kullanan birçok internet sitesi, çerez kullanımlarınıGDPR’a uygun hale getirerek aldatıcı ayarların engellenebilmesi vekullanıcıların kolay bir şekilde çerez kullanımlarını kontrol edebilmesi içinreddet butonları eklemişti. Yine şikâyetler ile birlikte, OneTrust kendistandart ayarlarını GDPR’a uyumlu hale getirmişti. Böylelikle kullanıcılarınrızasını gerektiren çerez kullanımlarını devre dışı bırakabileceği şekildeinternet siteleri güncellenmişti. Ancak birçok internet sitesinin hala OneTrust’ıGDPR’a aykırı şekilde aldatıcı ayarlar ile kullanmaya devam ettiği tespitedilmiştir. Buna ilişkin olarak da noyb tarafından 226 internet sitesine karşıveri koruma otoritelerine şikâyette bulunulmuştur.
(Bkz. https://noyb.eu/en/226-complaints-lodged-against-deceptive-cookie-banners)
- Avrupa Adalet Divanı’nınkullanıcıların izin vermemesine rağmen Gmail’in ticari elektronik iletigöndermesi uygulamasının E-Gizlilik Direktifi’ne aykırı olduğuna ilişkin kararıolmasına rağmen Gmail’in, istenmeyen e-postalar oluşturmaya devam ettiği tespitedilmiştir. Noyb tarafından pazarlama amacıyla e-posta gönderimininsağlanabilmesi için açık rıza alınmamasından dolayı Google’a karşı CNIL’ye şikâyettebulunulmuştur. Daha önce Avrupa Adalet Divanı’nın kararı olması sebebi ile CNIL’nindiğer üye devlet veri koruma otoriteleri ile işbirliği içerisine girmedenGoogle’a doğrudan para cezası uygulaması beklenmektedir.
(Bkz. https://noyb.eu/en/gmail-creates-spam-emails-despite-cjeu-judgment)
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.